Medios de entrada más habituales para los virus

La primera pregunta que debemos plantearnos es a través de que medios un virus puede atacar o introducirse en nuestro ordenador. Si conocemos perfectamente la respuesta, seremos capaces de proteger esas posibles vías de entrada para impedir posteriores infecciones. Los virus utilizan los siguientes medios para ello:


Unidades de disco extraibles: las unidades de disco son aquellos medios de almacenamiento en los que se guarda información, mediante ficheros, documentos o archivos. Con ellos se puede trabajar en un ordenador para, posteriormente, utilizarlos en otro diferente. Algunos de estos medios de almacenamiento pueden ser los disquetes, CD-ROMs, unidades Zip y Unidades Jazz. Estos dos últimos tipos no son más que unos discos especiales con mayor capacidad que los disquetes. Si alguno de ellos se encontrase infectado y trabajásemos con él en un ordenador, éste será infectado.
Redes de ordenadores: Una red es un conjunto o sistema de ordenadores conectados entre sí físicamente, para facilitar el trabajo de varios usuarios. Esto quiere decir que existen conexiones entre cualquiera de los ordenadores que forman parte de la red, pudiendo transferirse información entre ellos. Si alguna de esta información transmitida de un ordenador a otro estuviese infectada, el ordenador en el que se recibe será infectado.
Internet: Cada día más se utilizan las posibilidades que brinda Internet para obtener información, realizar envíos y recepciones de ficheros, recibir y publicar noticias, o descargar ficheros. Todas estas operaciones se basan en la transferencia de información, así como en la conexión de diferentes ordenadores en cualquier parte del mundo. Por tanto, cualquier virus puede introducirse en nuestro ordenador al mismo tiempo que la información recibida. A través de Internet la infección podría realizarse empleando diferentes caminos como los siguientes:
Correo electrónico: En un mensaje enviado o recibido se pueden incluir documentos o ficheros (fichero adjunto o anexado, "attached"). Estos ficheros podrían estar infectados, contagiando al ordenador destinatario.
Páginas Web:Las páginas que visitamos en Internet son ficheros de texto o imágenes escritos en un lenguaje denominado HTML. No obstante también pueden contener programas denominados Controles ActiveX y Applets de Java que son programas. Estos sí pueden estar infectados y podrían infectar al usuario que se encuentre visitando esa página.

¿Qué elementos infectan los virus?

El objetivo primordial de los virus son los ficheros que se encuentran en un medio de almacenamiento como los discos duros o disquetes. Más concretamente serán infectados todos aquellos archivos, ficheros o documentos (los tres términos indican el mismo concepto, en general) que tengan la característica de ser programas. Un programa no es más que un fichero cuya extensión es EXE o COM, que se puede ejecutar para que realice determinadas operaciones.

También existen virus que se encargan de infectar ficheros que no son programas. No obstante, estos ficheros contendrán elementos, denominados macros, incluidos en ellos. Estas macros son programas que el usuario puede incluir dentro de un determinado tipo de archivos.

Otro de los objetivos fijados por los virus para sus ataques suelen ser los propios medios de almacenamiento. De esta forma, atacando a los lugares en los que se guardan ficheros, el daño provocado afectará a toda la información contenida en ellos.

¿Qué son los virus?:

¿Qué son los virus?:

Son programas que se introducen en nuestros ordenadores de formas muy diversas. Este tipo de programas son especiales ya que pueden producir efectos no deseados y nocivos. Una vez el virus se haya introducido en el ordenador, se colocará en lugares donde el usuario pueda ejecutarlos de manera no intencionada. Hasta que no se ejecuta el programa infectado o se cumple una determinada condición, el virus no actúa. Incluso en algunas ocasiones, los efectos producidos por éste, se aprecian tiempo después de su ejecución (payload).

Inteco participa en la Cuarta Jornada de divulgación de la Cátedra de Riesgos en Sistemas de Información

Inteco participa en la Cuarta Jornada de divulgación de la Cátedra de Riesgos en Sistemas de Información

La jornada que tiene por título Compliance, Controles Internos y Gestión de Riesgos en el ámbito del Sector Bancario Español pretende ayudar a las organizaciones de servicios financieros y entidades bancarias a que cumplan con los retos de la identificación y cálculo de los riesgos operacionales.

En el entorno actual, en el que los cambios van sucediendo de forma vertiginosa en las organizaciones y en los mercados, la identificación y cálculo de los riesgos operacionales son enormes retos para los bancos y las organizaciones de servicios financieros. Con el fin de ayudar a las organizaciones a que cumplan estos retos, en esta jornada se discutirán estos temas desde un enfoque práctico y de la gestión de riesgos de la información.

Inteco-CERT hablará de 12:30 a 13:00 hrs sobre el Diagnóstico de Seguridad de la Banca Online y el resto de actores implicados.

Datos del evento:

Evento: Cuarta jornada de la segunda edición de la Cátedra de Riesgos en Sistemas de Información. Compliance, Controles Internos y Gestión de Riesgos en el ámbito del Sector Bancario Español

Fecha: 17 de Noviembre de 2008
Horario: De 9:15 a 13:30 hrs
Lugar: Aula Magna IE
C Maria de Molina 11
28006 Madrid

Agenda del evento

Boletines de Seguridad MS - Noviembre 2008

Boletines de Seguridad MS - Noviembre 2008

Microsoft ha publicado dos nuevos Boletines de Seguridad en Noviembre (en inglés), que proporcionan parches para vulnerabilidades descubiertas recientemente.

Los parches desarrollados por Microsoft son:

MS08-068: Importante (Windows y W. Server)
MS08-069: Crítica (Windows, W. Server y Office)

Instale en su equipo aquellos parches que sean de aplicación al software que utiliza en su sistema.

Para mantener la seguridad de su sistema recomendamos a todos los usuarios de Windows que visiten el sitio web de Windows Update (para actualizaciones automáticas).

Nuevo portal web de INTECO-CERT: Estadísticas de la Red de Sensores de Inteco

Nuevo portal web de INTECO-CERT: Estadísticas de la Red de Sensores de Inteco

La red de sensores de INTECO la forman un conjunto de más de 170 entidades que aportan diariamente información relativa a virus y spam distribuidos a través del correo electrónico. Estos datos se ofrecen de forma gratuita a todos los usuarios a través de este nuevo portal.

Gracias a los datos remitidos por las entidades pertenecientes a la red de sensores de INTECO, se pone a disposición de todos los usuarios este nuevo portal. En él se pueden conocer diferentes estadísticas sobre los virus más distribuidos a través de correo electrónico, así como el impacto del correo basura, más conocido como spam.

Dentro de las estadísticas de virus, se muestra información sobre los virus más distribuidos por correo electrónico así como un mapa nacional de incidencias de virus. Por otro lado, se ofrecen diferentes estadísticas sobre el impacto del spam en España que os invitamos a visitar.

Esperamos que estas estadísticas sean de utilidad para todos vosotros.


nuevo portal

.

Actualización crítica de seguridad de Microsoft

Fuera del ciclo habitual de actualizaciones de Microsoft, segundo Martes de cada mes, se ha lanzado una actualización; crítica para los sistemas Windows XP, 2000, Server 2003 e importante en Vista y Server 2008.

Esta actualización repara una nueva vulnerabilidad del servicio Server a través de una petición RPC que permite la ejecución remota de código.

Recomendamos a todos los usuarios, domésticos y Administradores de Sistemas, que actualicen con la mayor brevedad posible sus Sistemas Operativos, ya que esta vulnerabilidad está siendo explotada activamente por un nuevo gusano de nombre Gimmiv.

Puede obtener más información del parche en MS08-067.

Para más información sobre esta vulnerabilidad consulte los avisos de seguridad de Inteco-CERT:

Aviso no Técnico
Aviso Técnico

Nuevas secciones en la web de INTECO-CERT

En nuestra labor de concienciación y difusión de información de seguridad hemos incorporado nuevas secciones, entre las que se encuentran nuevos servicios de información.

Algunos de estos servicios, como los relativos a Virus y Vulnerabilidades que ya se ofrecían desde nuestra anterior etapa en Alerta-Antivirus, han sido actualizados para ofreceros un mejor servicio.

Actualidad Vulnerabilidades

Últimas vulnerabilidades descubiertas
Histórico con más de 32.000 registros
Enlaces a parches para evitar ser vulnerables
Buscador avanzado
Actualidad Virus

Últimos virus detectados, con información de las acciones que realizan y los pasos a seguir para facilitar su prevención y desinfección
Histórico con más de 8.000 registros
Buscador avanzado de virus
Estadísticas de ámbito nacional e internacional
Otros servicios de nueva incorporación son los Avisos de Seguridad. Estos avisos orientados por perfiles ? con el objetivo de llegar a un público más amplio- contienen información práctica relevante que facilita la prevención y protección ante incidentes de seguridad.

Avisos de seguridad

Última hora sobre las amenazas más relevantes
Adecuados para diferentes perfiles: técnico y no técnico
Información práctica para facilitar la prevención y protección
También se han incorporado las estadísticas de la Red de Sensores de Inteco, desde las que se puede consultar información estadística de virus y correo no deseado (spam).

Esperemos que todas estas secciones os sean de utilidad, y os recordamos que nos podéis transmitir cualquier impresión o mejora del portal a nuestro buzón de Sugerencias.

La Mensajería Instantánea es una Gran Fuente de Virus y de Ataques contra la Seguridad Informática

Las empresas aún no están bien protegidas, según la consultora Gartner Group



El uso de la Mensajería Instantánea se está incrementando muy rápidamente. Esto no pasa desapercibido para los piratas informáticos que han encontrado en esta tecnología un nuevo vector de ataque. Es más, la mayoría de las organizaciones aún no protegen de manera adecuada este nuevo e interesante recurso. Así lo advierte la prestigiosa firma consultora Gartner Group. Según la misma las empresas han tomado conciencia, ya, de que deben proteger sus correos electrónicos pero, aún, no se utiliza la misma cantidad de recursos en defender a la Mensajería Instantánea.

Los virus y troyanos de IM se transmiten de dos maneras diferentes. O bien, como archivos ejecutables adjuntos o bien como textos hyperlinks que dirigen a las víctimas a páginas web maliciosas. En muchos casos los virus no se activan automáticamente. Aprovechando la ingeniería social, esta vía también es utilizada para muchos intentos de phishing o de difusión de keyloggers

"Entrenar a los usuarios para que sean más desconfiados de los mensajes instantáneos, aún cuando sean de personas de su lista, debe se parte también de la estrategia global. Finalmente, las precauciones permanentes de parchear rápidamente, y la utilización de software antivirus y firewalls personales continúan siendo efectivas contra las amenazas de IM" dijo Peter Firstbrook, Director de Investigación de Gartner´s Information Security and Privacy research group

Spyware y Virus Informáticos Amenazan a Yahoo! Messenger.

Las vulnerabilidades encontradas son Buffers Overflows en el control ActiveX que maneja las funcionalidades de la Webcam. Los más preocupante es que ya han aparecido en internet los "exploits" que son los scripts necesarios para aprovechar estos fallos del software. Cualquier hacker puede valerse de ellos para atacar a los usarios de Yahoo Messenger.




Con estos códigos se pueden difundir facilmente nuevos virus informáticos, spywares, keyloggers, bots para "secuestrar" nuevos computadores que serán integrados en redes zombies o botnets, etc. Generalmente se induce a la víctima a conectarse a un link de una página "infectada" y luego se le descargan los códigos maliciosos.

Según reporta el blog de la empresa de seguridad informática Symantec, Yahoo ya ha publicado rápidamente los parches necesarios para subsanar este fallo en la seguridad. Es imprescindible que los usuarios del Messenger actualicen su sistema a la brevedad posible.

Los Virus Informáticos y el Spam ya se Aprovechan del iPhone.

La primer finalidad del spyware existente en dicha página web es "secuestrar" al computador infectado mediante un bot e incorporarlo a una red zombie o botnet. La finalidad de dicha red zombie es enviar spam masivo a través de Internet.




La información ha sido suministrada por la empresa de Seguridad Informática, Secure Computing. Según Paul Henry, vice presidente de tecnología de Secure Computing "Esto confirma otra vez la tendencia en expansión de difundir malware a través de páginas web".

Virus de PC, Spyware, Virus Troyanos y otros tipos de códigos maliciosos se han difundido tradicionalmente por medio de emails pero "Con esta amenaza, vemos otra vez la incorporación de un componente o vector de ataque originado en una página web que se añade a los virus informáticos y malware basado en correo electrónico", dijo Paul Henry.

Hackers Utilizan Servidores Oficiales de Gobiernos Como Argentina, Brasil y Colombia, Para Alojar Sitios de Phishing

Según el blog de la empresa de seguridad informática y fabricante de antivirus Symantec, se han detectado URLs de numerosos gobiernos alojando sitios donde se practica el phishing. Sólo en Junio se menciona además de Brasil, Argentina y Colombia a Tailandia, Ucrania, China, Hungria, etc.






Este hecho pone de manifiesto otro tema al que debería prestársele máxima atención. Normalmente, se supone, que los gobiernos deben ser quienes cuentan con una seguridad informática muy robusta. Pero, de acuerdo a lo que está sucediendo parecería que la realidad es muy distinta y que, por lo menos, sus servidores web son bastante vulnerables.

Otra de las ventajas que obtienen los hackers al "infiltrarse" en este tipo de páginas web, es el alto volúmen de consultas que suelen tener.

Se Incrementan los Virus Informáticos y Spyware que Atacan IM.

Ultimamente se han identificado nuevos virus informáticos o gusanos - Worms - que atacan a IM (Mensajería Instantánea). Entre ellos están el YahooSpyMon, el SpyPal, el InsideChatSpy y el StealthChatMon. Con ver los nombres, ya se revelan las "intensiones" y las palabras sobran...




"Dado que la mayoría de los departamentos de IT ha asegurado el email pero han dejado desprotegida la Mensajería Instantánea - IM - es totalmente natural que los hackers ajusten su enfoque para utilizar esta vía para introducir spyware y códigos malignos, es la vía de la menor resistencia" dijo Don Montgomery, Vicepresidente de marketing de la empresa de seguridad informática Akonix.

Akonix reporta haber detectado 226 nuevos virus informáticos, gusanos, spywares y códigos malignos que amenazan a los sistemas tipos Messenger.

Hackers y Botnets Redoblan sus Ataques a Bancos e Internautas

La empresa de Seguridad Informática SecureWorks ha dectectado recientemente un gran aumento en la actividad del virus troyano Storm del cual se han bloqueado cerca de 20 millones de copias.




"El virus troyano Storm se apoya en la ingeniería social como su mejor aliado por lo tanto es realmente importante que los usuarios de computadores mantengan la guardia en alto y sospechen de todos los emails no solicitados que incluyan archivos adjuntos o links" dijo J. Stewart Senior Security Researcher de SecureWorks.

Asimismo, la empresa de seguridad informática, reporta un gran incremento en los ataques de hackers a bancos. Estos aumentaron en un 81% en el último año. La mayoría de los ataques provienen de Rusia, Europa Oriental y China, según los investigadores de SecureWorks.

Dos Conocidos Virus Informáticos Siguen Infectando Masivamente.

La mutación permanente del código del virus informático o del virus troyano impide su correcta detección por medio del antivirus tradicional. Es imprescindible actualizar el archivo de firmas para lograr una correcta detección. Mediante esta estrategia, los autores del virus troyano Prg y los del virus informático Storm están logrando infectar a miles y miles de víctimas desprevenidas que, por falta de conocimientos o por negligencia o pereza no actualizan diariamente su software antivirus.




Marshal, empresa dedicada a la seguridad informática y a email security, ha emitido un comunicado advirtiendo de nuevas mutaciones del famoso virus de pc Storm. Según Marshal, y otras fuentes como el Internet Storm Center existe desde hace unos días una nueva campaña de spam cuyo objetivo es lograr nuevas infecciones.

El truco consiste en invitar al usuario a entrar a alguna página de alguna comunidad (estas van cambiando) y se les envía un login y un password provisorio y se le pide "confirmar" su participación. La web a la que es dirigido está infectada con el virus Storm. Además, diariamente, se está cambiando la versión, con lo cual será imposible su detección si el antivirus no está actualizado.

En la nota Hackers y Botnets Redoblan sus Ataques a Bancos e Internautas, se puede encontrar más información sobre otros métodos de infección que utiliza el virus de pc Storm para atacar a redes y PCs

Asimismo, la empresa de seguridad informática SecureWorks, advierte sobre la detección de nuevas variantes del Virus Troyano Prg. Los hackers autores de este virus informático están utilizando otra estrategia muy rentable y peligrosa para los usuarios. Están ocultando al troyano dentro de publicidades y avisos que publican en sitios dedicados a la búsqueda de personal.

Cuando el internauta clickea algún aviso, inmediatamente queda infectado y toda la información que aparezca en su navegador será capturada y enviada a los hacker autores del virus troyano. Según los expertos en seguridad informática de SecureWorks, los hackers están actualizando este virus cada 5 días.

YouTube Está Siendo Utilizado Para Enviar Spam y Spyware.

YouTube Está Siendo Utilizado Para Enviar Spam y Spyware. Los Hackers Aprovechan la Opción "Invitar Amigos" Para Enviar Email Spam Desde los Servidores de YouToube.

Según advierte la empresa de Seguridad Informática Marshal, especializada en email security, spammers están utilizando una nueva táctica que burla fácilmente a los filtros anti-spam. Esta consiste en aprovechar la herramienta de YouTube que permite invitar a amigos a ver y compartir videos.




De esta manera se reciben emails cuyo remitente es "service@youtube.com" los cuales, obviamente, sobrepasan los filtros de spam con mayor facilidad pues provienen de una fuente "legal" y de "renombre" como es YouTube. El inconveniente es que invitan a los usuarios a conectarse a links de páginas fraudulentas.

De manera similar, en Agosto, los hackers utilizaron un virus informático de tipo troyano, para generar automáticamente un número muy grande de buzones de correo de Gmail y de Hotmail y luego efectuaron un envío masivo de spam.

Virus Informáticos y Spyware Aprovechan Facilidades. La Mitad de los Usuarios Particulares No Tienen Antivirus y Anti-Spyware o No los Tienen Actualiz

Virus Informáticos y Spyware Aprovechan Facilidades. La Mitad de los Usuarios Particulares No Tienen Antivirus y Anti-Spyware o No los Tienen Actualizados.


La empresa de seguridad informática McAfee y NCSA acaban de publicar un estudio que realizaron entre usuarios de PC particulares - home users - en Estados Unidos. La conclusión principal es que "Del dicho al hecho, hay mucho trecho". O sea que los usuarios creen y piensan una cosa y la realidad es muy distinta.




Por ejemplo, cerca del 90 % cree que tiene un software anti-virus y el 70% cree que tienen un antispyware. Pero en la realidad, sólo el 50% tiene un antivirus actualizado en la última semana y sólo el 55% tiene en realidad un producto anti-spyware.

Otro datos llamativos del survey de McAfee, son que más de la mitad - el 54% - reconoce haber tenido un virus de PC en alguna oportunidad y que el 74% reconoce haber recibido emails de phising. El 44% cree tener actualmente algún tipo de spyware o adware instalado en su computador.

Sin embargo, y a pesar de la falta de protecciones adecuadas como antivirus actualizados, anti-spam, antispyware o firewalls personales, el 90% utiliza el computador de su casa para almacenar información delicada y para realizar transacciones financieras por internet. Luego nos lamentamos...!!!

La Mitad de las Empresas Bloquean O MySpace o Facebook. La Mayoría lo Hace para Defenderse de Virus Informáticos y Spyware.

Las empresas se están viendo muy afectadas por toda esta nueva ola de actividades antes desconocida. Los virus de PC, el Spyware, el Spam, los Keyloggers y demás códigos malignos acechan a los sistemas y las pérdidas de horas de trabajo (productividad) y de banda ancha hacen peligrar los planes de negocio.




La empresa de Seguridad Informática Barracuda Networks fabricante de appliance para filtrar el spam, ha hecho un estudio del cual se desprende que el 50% de las organizaciones bloquean el acceso de sus empleados a MySpace, o a Facebook o a ambos. Además, más del 20% monitorean activamente la actividad de los empleados.

Según Dean Drako, presidente y CEO de Barracuda Networks "Aunque todas las implicaciones del Spyware no son siempre comprendidas, muchos clientes se preocupan por los efectos del spyware en la productividad y en la seguridad, y por lo tanto desean protección"

Principales Fabricantes de Antivirus

Existen, aproximadamente, una decena de empresas de seguridad informática especializadas en el desarrollo y comercialización de productos antivirus que funcionan en diversas plataformas y sistemas operativos. Como se comentó más arriba los productos antivirus tradicionales se basan todos en tecnología reactivas y más o menos similares.

Dentro de las limitaciones orgánicas que reseñamos, a la hora de elegir un producto antivirus, se deberían tener en cuenta los siguientes factores:

- Certificaciones otorgadas

- Soporte local del producto

- Sistema de Actualizaciones

- Herramientas de Gestión y Control

- Recursos necesarios para su funcionamiento

- Funciones adicionales como Firewall personal, Anti-Spyware, etc.

A continuación listamos a los principales fabricantes de Antivirus:

Mac Afee - USA

Symantec - USA

Trend Micro - Taiwán

Kaspersky - Rusia

Sophos - Gran Bretaña

Panda - España

F Secure - Finlandia

Norman - Noruega/Holanda

Bit Defender - Rumanía

Grisoft - República Checa

GFI - Malta

Frisk - Islandia

Entidades Certificadoras de Antivirus

A la hora de seleccionar un producto antivirus, es importante verificar las certificaciones que ha conseguido el producto. Nos referimos a entidades especializadas y más o menos "imparciales" y que actúan de acuerdo a criterios profesionales. Por otro lado es aconsejable no dejarse influenciar mucho por los "premios" o "distinciones" comerciales que otorgan las publicaciones del sector ya que estas generalmente no cuentan con los laboratorios y técnicos necesarios para analizar en profundidad los productos antivirus y, además, en otros casos prevalecen sus intereses comerciales a los puramente profesionales.
Más información sobre este tema en: "Cuidado con las Comparativas de Antivirus!!!"
Las principales entidades que certifican productos de seguridad informática en general, y antivirus en particular son las siguientes:
ICSA LABS: Entidad Estadounidense que certifica productos de Seguridad Informática como Antivirus, Firewalls, Anti-Spyware, etc.
Ver: Certificaciones de Antivirus - ICSA Labs
VIRUS BULLETIN: Empresa Británica, cercana a la empresa fabricante de antivirus Sophos. Desde hace más de una década editan la prestigiosa publicación de Virus Informáticos, Virus Bulletín.
Ver: Certificaciones de antivirus - Virus Bulletín
SECURE COMPUTING : Editan el magazine del mismo nombre con información sobre seguridad informática, productos antivirus, firewalls, etc. y otorgan dos certificaciones, Check Mark Level 1 y Check Mark Level 2
Ver: Certificación de antivirus - Check Mark Level 2

Antivirus Gratis

Muchos Fabricantes de Antivirus suministran versiones gratuitas "light" destinadas a usuarios finales. En otros casos, sólo se ofrecen versiones demos o versiones trial para testear las bondades de cada producto. Aquí ofrecemos varios links donde se pueden conseguir estos antivirus gratis:

Productos Gratis
Antivirus Kaspersky
Grisoft - AVG Antivirus
Antivirus Panda - Online
NOD 32 Antivirus
Antivirus CLAM para Unix
Antivirus Gratis para iPod

Para Qué sirven los Antivirus Tradicionales

Sin embargo, y a pesar de las falencias reseñadas en cuanto a la ineficacia para detectar nuevos virus, los Antivirus cumplen varias funciones en nuestra estrategia defensiva frente a los virus informáticos:

Nos sirven para protegernos de los Virus Conocidos, o sea que ya están incorporados a nuestra base de datos. Con ellos podemos revisar disquetes, CDs, memorias USB, discos portátiles y archivos que llegan por correo electrónico.
Sirven para desinfectar archivos o dispositivos infectados con algún virus conocido y, de esta manera, poder utilizarlos sin peligro
Obviamente será de una vital importancia actualizar nuestro antivirus muy frecuentemente. Como mínimo, una vez al día.

Opiniones de los Expertos de Virus y Desarrolladores de Antivirus

Virusprot.com consultó con varios de los más prestigiosos expertos en la lucha contra los Virus Informáticos. Estas son, brevemente, las opiniones vertidas. En el artículo titulado "Panorama Actual de la Seguridad Antivirus" se pueden consultar más detalladamente y también comprender los problemas con los Virus de PC




Miguel Angel Martín de Computer Associates: “Ninguna empresa puede protegerse al 100% contra unVirus de Zero Day”
Fernando de la Cuadra de Panda Software: “Las soluciones Antivirus necesitan un salto cuántico...Se basan en tecnología de hace 10 años. Se debe tender a un nuevo método de detección...”

Efectividad del Antivirus Vs. Velocidad de Propagación

En la siguiente tabla se ve como han ido perdiendo "utilidad" o "eficacia" los antivirus tradicionales, debido al gran aumento en la velocidad de propagación de los virus informáticos. Es verdad que la mayoría de los softwares antivirus han mejorado muchísimo sus tiempos de respuesta y actualización y los departamentos de marketing de los fabricantes de antivirus insisten mucho en que en "sólo" 4 o 5 horas suministran una actualización o vacuna, pero la verdad es que ...cuando esta llega, el daño ya está hecho!!!. Desde hace un par de años, bastan unos pocos minutos para causar una gran epidemia de virus en todo el planeta!!!

Los “Naintis”
•Epidemia de Virus se producía después de varias semanas de haber aparecido el Virus Informático
•Antivirus actualizado (Vacuna informática) en 3 días

Los 99´s
•Epidemia de Virus se producía después de varias horas de haber aparecido el Virus Informático
•Antivirus actualizado (Vacuna informática) en 6 horas

Desde 2003
•Epidemia de Virus se produce después de algunos Minutos de haber aparecido el Virus Informáticos
•Antivirus actualizado (Vacuna informática) en 4-5 horas

Conclusiones
Los Antivirus actuales no son muy eficaces para combatir los Zero Day Virus o Virus de Hora Cero. No importa la marca del software antivirus o el fabricante. Todos utilizan la misma tecnología reactiva que se comentó al comienzo de esta “Guía de Antivirus”. Las técnicas de detección preventivas como el escanéo heurístico sólo sirven en algunos casos, pero en la mayoría fracasan pues los hackers o autores de virus hacen varias pruebas hasta que consiguen traspasarlas.

Nuevas Vias de Difusión y Propagación de Virus de PC:

Utilización del Correo electrónico para el envío de archivos adjuntos infectados
Aprovechamiento de la Banda Ancha (24x7) y el adsl , que determina la posibilidad que millones de computadores estén conectados permanentemente aún cuando sus usuarios no los están utilizando.
Fallos (Vulnerabilidades o Agujeros de Seguridad) en los softwares que se utilizan como Sistemas Operativos, Navegadores, Firewalls, Antivirus, etc.
Adsl Inalámbrico (Wireless 802.11b y 802.11g ). Estas permiten el Warvirusing que consiste en “inyectar” cientos de miles de correos infectados aprovechando access points desprotegidos . Ver “Wardriving” y “Warchalcking”


Como se observa, en los últimos años los virus informáticos ya no llegan ocultos en los disquetes ni en los CDs, si no en los adjuntos de los emails, o son “inyectados” en nuestros sistemas aprovechando los agujeros de seguridad del S.O. o del Browser y que nuestro computador está siempre conectado a Internet. Es decir, que muchos virus penetran al sistema sin nuestra participación activa.

Elementos Adicionales de un Software Anti virus:

Como vimos, el escáner -elemento básico del software antivirus – sólo es capaz de detectar los virus de pc conocidos, por lo tanto es necesario “ingeniérselas” para detectar los virus informáticos desconocidos, o sea programas “dañinos” cuyos patrones aún no están incorporados a las bases de datos de nuestro software antivirus. Para ello, los desarrolladores de antivirus utilizan diversas estrategias:

El Chequeo de Integridad: Consiste en sacar una “huella” de cada archivo (más exactamente un checksum) y verificar que éste no se altere. Si se detecta una modificación en el mismo se asume que el archivo ha sido infectado por un virus de pc


El Escaneo Heurístico: Consiste en analizar los archivos en búsqueda de comandos “sospechosos”. Hay ciertos comandos que son muy utilizados por los autores de virus y que suelen aparecer frecuentemente. Si en un archivo “desconocido” se encuentran varios de estos comandos, se puede catalogar a este de “sospechoso” o “posible virus”. El problema de las técnicas heurísticas es que suelen dar “falsos positivos”, es decir que catalogan como “posibles virus” a archivos que no lo son

Los Virus en los Noventa y la Aparición de los Antivirus

Para analizar la efectividad del software antivirus, es preciso comprender qué es un virus de pc, como actúa y como se propaga. Sin conocer esta información, es imposible estructurar una estrategia adecuada de protección contra esta amenaza.

Un virus de pc, es un programa informático con capacidad de replicación con el objeto de difundirse rápida y masivamente para infectar a una gran cantidad de usuarios. Esta difusión se realiza a través de diferentes vias y su finalidad es provocar daños de distinta índole en archivos, sistemas y usuarios. Un detalle importante a tener en cuenta es que el Virus informático se “adhiere” al archivo original o sea que lo modifica. Un archivo infectado consta de dos elementos: el programa o software original y el código del virus.


A diferencia de los virus, los gusanos informáticos no infectan archivos existentes ni los modifican. El gusano informático es un archivo (o programa) independiente. También existen los Virus Troyanos (o Caballos de Troya), los Keyloggers, etc. Esta distinción, importante para los técnicos, no lo es normalmente para la mayoría de los usuarios y, por lo tanto, en esta guía utilizaremos el término popular de “Virus Informático” o “Virus” para diversos códigos maliciosos, sin detenernos en clasificaciones muy técnicas. Aquí podrá encontrar amplia información sobre Virus Informáticos o Virus de pc . Un caso aparte y de mucha importancia para la seguridad informática, es el Spyware que debe combatirse con los software Anti-Spyware pues, en general y a pesar de algunas creencias que circulan en el mercado, los Software Antivirus no detectan ni eliminan Spyware. Este tema se analiza en la Guía Anti-Spyware.


En los noventa esta difusión se llevaba a cabo por medio de disquetes que se distribuían personalmente o por correo, por lo tanto los “contagios” eran bastante lentos y una epidemia demoraba en producirse varias semanas o meses.

Una vez que los fabricantes recibían la primer muestra del virus, en 48 o 72 horas estaba elaborada la “vacuna “ o antivirus y, por consiguiente, casi siempre se evitaban grandes epidemias.

La vacuna, no es más ni menos que un software escrito específicamente para detectar y eliminar al otro “software dañino” denominado virus informático. Como se observa, el antivirus (o vacuna informática) es una solución “reactiva” que sólo se puede producir a partir de la muestra del virus de pc.

VELOCIDAD DE PROPAGACIÓN DE VIRUS

Es evidente que la velocidad de propagación de los virus informáticos ha aumentado dramáticamente. No es lo mismo que los virus lleguen en disquetes o CDs que deben ser transportados físicamente a que lleguen por emails masivos.
En estudios realizados por diversos expertos en seguridad informática y virus se determinó lo siguiente:-ICSA LABS – Tiempo para producir una epidemia en Internet1) Code Red: 12 horas2) Klez: 2 – 5 horas3) Slammer: 10 minutos

window.google_render_ad();

F-SECURE – Tiempo que demoró en infectarse con el virus Blaster un PC conectado a Internet sin protección : 27 segundos
SOPHOS - Tiempo que demoraron en infectarse varios PCs desprotegidos:A los 10 minutos, el 40% estaba infectadoA los 60 minutos, el 90% estaba infectado