[KB186] Virus, malware y ataques remotos definidos

NOTA:

Esta página ha sido traducida por un ordenador. Haga clic en Inglés bajo Idiomas en esta página para mostrar el texto original. Si encuentra algo que no está claro, por favor, póngase en contacto con su soporte local.

Solución

La mayoría de las amenazas contra las que están diseñados los productos de seguridad de ESET se pueden clasificar como virus, malware o ataques remotos. Aparte de los programas que usted instala en su ordenador, éste puede ser atacado por programas maliciosos (malware), o incluso ser objeto de un ataque a través de la red por parte de alguien que opere un ordenador desde una ubicación remota. El software malicioso y los ataques remotos pueden causar pérdidas emocionales, costarle tiempo y provocar también pérdidas económicas. A continuación encontrará descripciones de algunos de los tipos más comunes de amenazas informáticas, haga clic en los enlaces de abajo para saltar a la sección correspondiente.

Virus | Malware | Ataques remotos

Virus

Un Virus es un programa que se activa adjuntando copias de sí mismo a objetos ejecutables. Los virus pueden llegar a su ordenador desde otros ordenadores infectados, a través de un soporte de datos (CD, DVD, etc.) o a través de una red (local o Internet). Existen varios tipos de virus:

Virus de archivo: Los virus que infectan archivos atacan a los programas ejecutables, como todos los archivos con extensiones ".exe" y ".com".

Virus de script: Los virus de script son un subconjunto de los virus de archivo, escritos en una variedad de lenguajes de script (VBS, JavaScript, BAT, PHP, etc.). Infectan otros scripts (por ejemplo, archivos de comandos y servicios de Windows o Linux) o forman parte de virus multicomponentes. Los virus de script son capaces de infectar otros formatos de archivo, como HTML, si el formato de archivo permite la ejecución de scripts.

Virus de arranque: Los virus de arranque atacan a los sectores de arranque (sector de arranque de medios extraíbles o sector de arranque principal del disco duro) y establecen sus propias rutinas de carga en el arranque

.

Macrovirus: Los virus de macro atacan a los documentos en los que se pueden insertar otros comandos (macros). Estos virus suelen estar incrustados dentro de aplicaciones de procesamiento de textos u hojas de cálculo, ya que las macros se insertan fácilmente en este tipo de archivos.

Los virus también pueden clasificarse según la forma en que realizan su acción. Mientras que los virus de acción directa realizan una acción inmediatamente después de activar el objeto infectado, los virus residentes permanecen y trabajan en la memoria del ordenador.

Malware

Malware es el término que se utiliza para describir programas y técnicas maliciosas que no son virus, pero que igualmente suponen una amenaza para su sistema.

Gusano: Un gusano es un programa independiente que se copia a sí mismo a través de una red. A diferencia de un virus (que necesita que se copie el archivo infectado para replicarse), el gusano se propaga activamente enviando copias de sí mismo a través de la LAN o Internet, la comunicación por correo electrónico o a través de fallos de seguridad del sistema operativo.

También pueden traer consigo malware adicional (como la instalación de programas de puerta trasera - véase más adelante), aunque este comportamiento no se limita estrictamente a los gusanos. Los gusanos pueden causar mucho daño; a menudo se utilizan para "atascar" los canales de comunicación mediante un ataque DoS. Un gusano es capaz de propagarse por todo el mundo, a través de Internet, en cuestión de minutos.

Troyano: Un troyano es un programa malicioso que, a diferencia de los virus o gusanos, no puede copiarse a sí mismo e infectar archivos. Suele encontrarse en forma de archivo ejecutable (.exe, .com) y no contiene nada aparte del propio código del troyano. Por ello, la única solución es eliminarlo.

Los troyanos tienen varias funciones, desde el keylogging (registran y transmiten cada pulsación), hasta el borrado de archivos o el formateo del disco. Algunos contienen una función especial que instala un programa de puerta trasera, (una aplicación cliente-servidor que concede al desarrollador acceso remoto a su ordenador). A diferencia del software común (legítimo) con funciones similares, se instala sin el consentimiento del ordenador cliente.

Adware: Adware es la abreviatura de advertising-supported software, que es un software dedicado a mostrar anuncios. El adware funciona mostrando ventanas emergentes durante la navegación por Internet, estableciendo varios sitios web como página de inicio o abriendo una ventana de interfaz de programa especial.

El adware suele venir incluido en programas de descarga gratuita, y el cliente suele ser informado de ello en el Acuerdo de Licencia de Usuario Final. Los anuncios de adware permiten a los desarrolladores de programas gratuitos obtener ingresos ofreciendo funciones del programa que sólo están disponibles con la versión de pago. En la mayoría de los casos, la instalación de adware entra dentro de las directrices legales: hay muchos programas legítimos que se apoyan en la publicidad. Sin embargo, cuestiones como la asertividad de los anuncios, así como su contenido, pueden hacer que la legalidad de algunos adware sea cuestionable.

Spyware: El spyware es un software que utiliza Internet para recopilar diversos datos sensibles sobre el usuario sin que éste sea consciente de ello. Algunos programas Spyware buscan información como las aplicaciones instaladas actualmente y un historial de sitios web visitados. Otros programas Spyware son creados con un objetivo mucho más peligroso: la recopilación de datos financieros o personales con el fin de Robo de Identidad.

Riskware: Este tipo de malware incluye todas las aplicaciones que aumentan el riesgo de seguridad del usuario al ejecutarse. Al igual que la instalación de spyware y adware, la instalación de riskware puede ser confirmada por el acuerdo de licencia. Los "dialers" son un ejemplo común de Riskware: programas que desvían la conexión a un número de pago preestablecido. Estos programas pueden utilizarse legalmente para el pago de servicios de Internet, pero a menudo se utilizan de forma incorrecta y el desvío se produce sin que el usuario sea consciente de ello.

Aplicaciones peligrosas: Se denomina aplicación peligrosa a los programas legales que, aunque sean instalados por el usuario, pueden someterlo a riesgos de seguridad. Algunos ejemplos son los programas comerciales de registro de teclas o de captura de pantalla, las herramientas de acceso remoto, los programas de crackeo de contraseñas y las pruebas de seguridad.

Bulos: Un hoax es una desinformación deliberada enviada por correo electrónico y difundida con la ayuda de un público desprevenido o desinformado. Los bulos suelen estar diseñados para que el usuario haga algo que no debería hacer. Los hoaxes maliciosos suelen aconsejar a los usuarios que eliminen archivos válidos del sistema operativo, alegando que el archivo es un virus peligroso.

En muchos casos, los hoaxes hacen referencia a una institución/empresa creíble para ganar la atención del lector. Por ejemplo, "Microsoft advierte que..." o "CNN anunció". Estos mensajes suelen advertir de consecuencias desastrosas o incluso catastróficas. Las advertencias tienen algo en común: instan a los usuarios a enviar los mensajes a todos sus conocidos, lo que perpetúa el ciclo de vida del bulo. El 99,9% de este tipo de mensajes son bulos.

Los bulos no pueden propagarse por sí mismos, la única forma de protegerse es verificar la autenticidad de las afirmaciones de un mensaje de correo electrónico antes de realizar cualquier acción.

Estafas: En términos generales, las estafas son engaños perpetrados a los usuarios de ordenadores con el fin de obtener un beneficio económico o de robar la identidad. Una de las estafas más comunes consiste en enviar un fax, un correo electrónico o una carta no solicitada desde Nigeria u otro país de África Occidental. La carta parecerá una propuesta comercial legítima, pero exigirá una cuota por adelantado al destinatario. La propuesta es, por supuesto, fraudulenta, y los honorarios pagados por el objetivo son inmediatamente robados.

Otra forma común de estafa incluye mensajes de correo electrónico y sitios web de phishing. El objetivo de estas estafas es obtener acceso a datos sensibles como números de cuentas bancarias, códigos PIN, etc. El acceso suele conseguirse mediante el envío de un correo electrónico que se hace pasar por una persona o empresa de confianza (entidad financiera, compañía de seguros).

El correo electrónico (o la página web a la que se dirige el usuario) puede parecer muy genuino y contendrá gráficos y contenidos que pueden provenir originalmente de la fuente a la que se está suplantando. Se pedirá al usuario que introduzca datos personales, como números de cuentas bancarias o nombres de usuario y contraseñas. Todos estos datos, si se presentan, pueden ser fácilmente robados y utilizados de forma indebida.

Cabe señalar que los bancos, las compañías de seguros y otras empresas legítimas nunca solicitarán nombres de usuario y contraseñas en un correo electrónico no solicitado. Para más información sobre bromas, estafas y phishing, click here.


Ataques remotos

Técnicas especiales que permiten a los atacantes comprometer sistemas remotos. Se dividen en varias categorías:

Ataques DoS: El DoS, o Denegación de Servicio, es un intento de hacer que un ordenador o red no esté disponible para sus usuarios previstos. Los ataques DoS obstruyen las comunicaciones entre los usuarios afectados, impidiendo que continúen de forma funcional. Un método común de ataque consiste en saturar la máquina objetivo con peticiones de comunicaciones externas, de modo que la máquina objetivo no pueda responder al tráfico legítimo, o responda tan lentamente que quede efectivamente indisponible. Este tipo de ataques suele provocar una sobrecarga del servidor. Los ordenadores expuestos a ataques DoS suelen necesitar ser reiniciados para poder funcionar correctamente.

Los objetivos de los ataques DoS son los servidores web y el objetivo es hacer que no estén disponibles para los usuarios durante un determinado periodo de tiempo.

DNS Poisoning: Mediante el envenenamiento de DNS (Servidor de Nombres de Dominio), los hackers pueden engañar al servidor DNS de cualquier ordenador haciéndole creer que los datos falsos son legítimos y auténticos. La información falsa se almacena en la caché durante cierto tiempo, lo que permite a los atacantes reescribir las respuestas DNS de las direcciones IP. Como resultado, los usuarios que intenten acceder a sitios web envenenados por DNS descargarán virus informáticos o gusanos en lugar del contenido original del sitio web.

Escaneo de puertos: El escaneo de puertos se utiliza para determinar qué puertos del ordenador están abiertos en un host de red. Un escáner de puertos es un software diseñado para encontrar dichos puertos.

Un puerto informático es un punto virtual que gestiona los datos entrantes y salientes, lo cual es crucial desde el punto de vista de la seguridad. En una red grande, la información recogida por los escáneres de puertos puede ayudar a identificar posibles vulnerabilidades. Este uso es legítimo.

Aun así, el escaneo de puertos suele ser utilizado por los hackers que intentan comprometer la seguridad. Su primer paso es enviar paquetes a cada puerto. Según el tipo de respuesta, es posible determinar qué puertos están en uso. El escaneo en sí no causa ningún daño, pero hay que tener en cuenta que esta actividad puede revelar potenciales vulnerabilidades y permitir a los atacantes tomar el control de ordenadores remotos.

Se aconseja a los administradores de red que bloqueen todos los puertos no utilizados y protejan los que están en uso de accesos no autorizados.

Desincronización TCP: La desincronización TCP es una técnica utilizada en los ataques de TCP Hijacking. Se desencadena por un proceso en el que el número secuencial de los paquetes entrantes difiere del número secuencial esperado. Los paquetes con un número secuencial inesperado se descartan (o se guardan en el almacenamiento del buffer si están presentes en la ventana de comunicación actual).

En la desincronización, ambos puntos finales de comunicación descartan los paquetes recibidos, momento en el que los atacantes remotos son capaces de infiltrarse y suministrar paquetes con un número secuencial correcto. Los atacantes pueden incluso manipular o modificar la comunicación.

Los ataques TCP Hijacking tienen como objetivo interrumpir las comunicaciones servidor-cliente y/o peer-to-peer. Muchos ataques pueden evitarse utilizando la autenticación para cada segmento TCP. También se aconseja utilizar las configuraciones recomendadas para sus dispositivos de red.

SMB Relay: SMBRelay y SMBRelay2 son programas especiales capaces de realizar ataques contra ordenadores remotos. Los programas aprovechan el protocolo de compartición de archivos Server Message Block, que está integrado en NetBIOS. Lo más probable es que un usuario que comparta cualquier carpeta o directorio dentro de la LAN utilice este protocolo de compartición de archivos. Dentro de la comunicación de la red local, se intercambian hashes de contraseñas.

SMBRelay recibe una conexión en el puerto UDP 139 y 445, retransmite los paquetes intercambiados por el cliente y el servidor, y los modifica. Después de conectarse y autenticarse, el cliente se desconecta. SMBRelay crea una nueva dirección IP virtual. Se puede acceder a la nueva dirección mediante el comando "net use \192.168.1.1". La dirección puede ser utilizada por cualquiera de las funciones de red de Windows. SMBRelay retransmite la comunicación del protocolo SMB, excepto la negociación y la autenticación. Los atacantes remotos pueden utilizar la dirección IP mientras el ordenador cliente esté conectado.

SMBRelay2 funciona según el mismo principio que SMBRelay, excepto que utiliza nombres NetBIOS en lugar de direcciones IP. Ambos pueden realizar ataques de "hombre en el medio". Estos ataques permiten a los atacantes remotos leer, insertar y modificar los mensajes intercambiados entre dos puntos finales de comunicación sin ser advertidos. Los ordenadores expuestos a este tipo de ataques suelen dejar de responder o reiniciarse inesperadamente. Para evitar los ataques se recomienda utilizar contraseñas o claves de autenticación.

Ataques ICMP: ICMP (Internet Control Message Protocol) es un protocolo de Internet muy popular y utilizado. Es utilizado principalmente por los ordenadores en red para enviar diversos mensajes de error.

Los atacantes remotos intentan explotar las debilidades del protocolo ICMP. El protocolo ICMP está diseñado para una comunicación unidireccional que no requiere autenticación. Esto permite a los atacantes remotos desencadenar ataques DoS (Denegación de Servicio), o ataques que dan acceso a individuos no autorizados a los paquetes entrantes y salientes.

Ejemplos típicos de un ataque ICMP son los ataques ping flood, ICMP_ECHO flood y smurf. Los ordenadores expuestos a un ataque ICMP experimentarán un rendimiento significativamente más lento en las aplicaciones que utilizan Internet y tendrán problemas para conectarse a Internet.

Para saber más sobre amenazas, ataques remotos y malware, visita nuestra Enciclopedia de Amenazas.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.