Virus de Internet, Spam DataMinning y Business Intelligence - ProfesorPonce (Sección Alumnos)

Breaking

Profesional Review Magazine

sábado, 24 de septiembre de 2011

Virus de Internet, Spam DataMinning y Business Intelligence

.
Variedad: Virus de Internet, Spam DataMinning (SDM) y Business Intelligence (BI)

Nota: A partir de ahora abreviaremos el término Spam Dataminning como SDM y el término Business Intelligence como BI.

Habíamos mencionado anteriormente que las Variedades Principales de virus comparten características propias de grupo en cuanto a las modalidades de ingreso, mecanismo de ataque, método de replicación interna y sistema de autoprotección.

Siguiendo el análisis, esto favorece el conocimiento del Técnico Reparador Profesional, porque las herramientas de protección actuales deben ser catalogadas de acuerdo a esas variedades principales, sin importar la cantidad de tipos de virus que hayan en cada variedad principal.

Actualmente existen tres tipos de herramientas antivirus principales para protegerse de todas las Variedades de virus. Le doy algunos ejemplos:

  • Para las Variedades de Virus Clásico y Virus de Macro se debe seleccionar un antivirus clásico del tipo Norton, McAffee, Kapersky, Avast, Avg, Nod32, etc. Perdón por los que no menciono, pero esto es un seminario técnico, no un sistema de venta de antivirus, por eso sólo menciono algunos ejemplos. Junto al seminario se entrega a los presentes una lista exhaustiva de herramientas antivirus y se mencionan los productos más importantes del mundo
  • Para la Variedad Virus de Internet SDM y BI se debe seleccionar un antivirus anti-spam del tipo AdAware, MalwareBytes, SpyBot, Windows Defender, etc.
  • Para la Variedad de Troyanos o Cliente-Servidor, el técnico debe elegir un Firewall como el incorporado a Windows u otro free como ZoneAlarm. 
En otro punto del seminario analizaremos cada producto antivirus, pero ahora es importante que el técnico sepa que algunos productos incorporan los tres tipos de herramientas, mientras que otros productos son específicos para una Variedad Principal o incluso algunos productos fueron creados SÓLO PARA UN TIPO DE VIRUS, no para una variedad completa.

El problema actual de la protección antivirus, es que los tecnicos DESCONOCEN esta clasificación y al elegir productos DEJAN DESPROTEGIDO AL SISTEMA porque la combinación de antivirus es defectuosa y NO PROTEGE CONTRA LAS TRES VARIEDADES DE VIRUS.

El técnico debe proteger equipos nosólo recomendando un antivirus, sino un CONJUNTO DE PRODUCTOS que funcionen complementando sus fortalezas. En realidad el técnico debería instalar (y configurar) en un sistema, con el fin de considerarlo seguro, una combinación de tres productos:
  • Antivirus para Virus Clásicos y Macros
  • Antivirus para Virus de Internet, SDM y BI
  • Firewall (que protege contra troyanos además de sus funciones de seguridad habituales)
La clave de la protección es que la COMBINACION de productos sea la adecuada.

Es por eso que en estos seminarios alentamos a los técnicos a conocer VARIEDADES Y TIPOS de virus para especializarse en la protección.

Esta variedad de virus (Internet, SPM y BI) en particular incluye a todos los virus que ingresan a los ordenadores vía internet, consumen ancho de banda para sus propios fines y que pueden robar información de los sistemas.

Constituyen actualmente la variedad más numerosa por la cantidad de tipos de virus que posee y han sobrepasado a los Virus de Macro debido a la proliferación de conexiones de internet a nivel mundial.

Están asociados inevitablemente a conexiones dificultosas, interrumpidas y lentas, provocadas por el consmo de ancho de banda que usan para sus fines.

En otro segmento del seminario hablaremos de los síntomas que muestra una infección por esta variedad de virus.

Tipos principales de virus en esta variedad
  • Virus de correo electronico: se incluyen en esta tipología a los virus que afectan al correo electrónico porque (sub-tipo 1) se incorpora alguna instrucción html o script que explota alguna debilidad del sistema, (sub-tipo 2) a los virus que explotan debilidades de algún lenguaje de macros del cliente de correo o (sub-tipo 3) a los que llegan atachados juanto al e-mail.

    Los sub-tipos 1 y 2 no requieren de la ejecución del usuario, porque se ejecutan automáticamente sin intervención humana. El sub-tipo 3 requiere que el usuario abra el atachado, provocando la ejecución del mismo. El atachado puede traer un virus de Cualquier variedad ( Clásico, Spam DM BI o Troyano).

    Los sub-tipos 1 y 2 pueden ser descriptos como

    Mail-bombers:
    que son programas especialmente preparados para enviar un número definido de copias de un e-mail a una víctima, con el objeto de saturar su casilla de correo e-mail. Normalmente este tipo de trabajo se hace infectando a una computadora con un programa que se controla por control remoto ( troyano ) y hace que la computadora infectada envíe correos masivos. El mail bomber envía multiples correos a una sola casilla de correo. No necesriamente el mail-bomber debe ser un troyano, sino que puede incluir dentro de sí mismo las instrucciones sin necesidad de ser controlado remotamente.

    Otro tipo de virus que encuadra en esta tipología son los Gusanos, que usan el correo de la computadora infectada para re-enviar mails a otros usuarios. Por lo regular no es controlado por control remoto,sino que incuye dentro de sí mismo las instrucciones para leer la lista de contactos del usuario y re-enviarse.
  • Spam o Junk Mail es el típico correo basura de publicidad no solicitada. Muchos clientes de correo actuales incluye filtros que impiden la recepción de correo proveniente de ciertas casillas. Son más molestos que peligrosos porque sólo ocupan parte del espacio de almacenamiento.
  • Bots conversacionales o virus chateadores: no son considerados virus, pero los nombro debido a que tienen características poco comunes. Son una nueva generación de programas que se abren durante una sesión del browser invitando a conversar o pueden aparecer como un usuario de una sala de chat.

    El término bot hace referencia a roBOT. Este tipo de programa tiene programado un conjunto de oraciones y al iniciar la sesión de chat uno puede ver que el usuario tiene sólo un conjunto limitado de frases, es muy repetitivo y cuando intentamos entablar una conversacion con él, por lo general ignora el contenido de nuestros mensajes y vuelve insistentemente sobre el tema que el robot tiene programado. Están creados para capturar frases de una sesión de chat y leer datos de esas frases. Sirven para capturar direcciones de e-mail, teléfonos y todo lo que un usuario desprevenido pueda dejar escribir en una sesión de chat. En algunos sitios aparecen como ventanitas que indican que "tal chica está disponible para chatear", invitando a los usuarios a comunicarse con el robot.
  • Scripts víricos: Consisten en un script para el cliente de algún programa de chateo. Cuando se accede a un canal de IRC, se recibe por DCC un archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobrescriba con el "script.ini" maligno. Los autores de ese script acceden de ese modo a información privada de la PC, como el archivo de claves, y pueden remotamente desconectar al usuario del canal IRC.
  • Virus de clientes P2P ( Ares, Torrent, etc ): en realidad son un mito urbano, lamentablemente algunos pseudo-técnicos aún creen en ellos.  Los clientes P2P o Person Two Person, son programas comunes que se comportan como servidores de archivos. Pero en realidad las infecciones no son producto del programa P2P sino del archivo que se baja. La PC que se infecta por un archivo bajado es porque no tenía las protecciones antivirus completas o funcionando adecuadamente.
  • Virus de tecnología web: corresponden a las páginas web atacantes. Una página web está escrita en código interpretado ( html ) que no puede contener virus. Pero el código html puede incluir SCRIPTS. Un script es un conjunto de instrucciones escritas en algún lenguaje de programación ( Java, JavaScript, Php, ASP, Sql, MySql, etc ). Ese código de programación puede contener código preparado para atacar la pc, leer información, destruir datos, etc.  Los principales navegadores del mundo incorporan protección contra web atacantes, lo que añade seguridad adicional a la protección del antivirus.
  • Adware: son programas que se entregan gratuitamente al usuario pero que incorporan publicidad que se visualiza cuando está on-line. Ese concepto inicialmente fue explotado por el gestor de descargas Getright y el navegador web Opera. Posteriormente se distorsionó el concepto y estos programas, además de la publicidad, comenzaron a recolectar información del usuario sin notificación previa
  • BHO o Browser Helper Objects: son programas que en apariencia son inofensivos que el usuario descarga e instala en su sistema. A veces el usuario debe descargarlo aceptando un largo acuerdo en el cual se acepta que el programa realice cualquier acción en su computadora sin opción a reclamar.
  • Códecs: son programas que permiten decodificar un formato de video o audio para que los programas multimedia tipo Windows Media Player pueda reproducirlos. Se instalan como complementos del software principal. En realidad un codec no puede contener virus, pero los codecs se distribuyen en paquetes que incorporan varios codecs y se instalan en el sistema mediante un programa instalador. Los instaladores pueden contener virus o instrucciones para instalar virus dentro de las PC. Es por eso que los técnicos recomendamos que los usuarios descarguen codecs sólo de sitios comprobados.
  • Hijacker: son programas que se especializan en cambiar la página de inicio de cualquier navegador, impidiéndole al usuario configurar como página inicial la que el mismo desee. Usan técnicas muy agresivas y por más que el usuario lo intente, reinstalan la página programada por el hijacker. Generalmente usan técnicas de modificación del registro y algunos ( los más sofisticados ) impiden a los admin ingresar al registro porque deshabilitan la ejecución de regedit.
  • Keylogger: son programas preparados para almacenar en un archivo todo lo que el usuario ingrese a través del teclado. Son ingresados con el fin de capturar contraseñas e información confidencial y por lo general trabajan en forma conjunta con otro virus ( puede ser un troyano ), para enviar la información grabada a alguna cuenta de correo o subirla mediante servicio ftp a alguna web.
  • Spyware: se define como spyware a todo programa espía, considerando que es todo aquel programa que sin el conocimiento del usuario recolecta información de su equipo o de las páginas visitadas en internet. Envían la información recolectada a una cuenta de correo o la suben a una página web mediante FTP
  • Rootkit: Los rootkits se iniciaron bajo los sistemas operativos Unix, basándose en un conjunto de herramientas específicamente modificadas para ocultar la actividad de quien las utilizará. Por esto, se define a rootkit como un conjunto de herramientas especiales que permiten esconder procesos activos, archivos en uso, modificaciones al sistema, etc., de manera que las utilidades de seguridad tradicionales no puedan detectarlas una vez en el sistema. Cuando se habla de “técnicas rootkit” en un código malicioso, básicamente nos referimos al hecho de que el malware en cuestión es capaz de aprovechar funciones propioas o de herramientas externas para esconder una parte o todo su funcionamiento.

Temas relacionados