GUSANOS

GUSANO: CODE RED

• Este gusano es residente en la memoria e

intercepta las funciones normales del servidor. Este

tiene la facilidad de replicarse hasta llegar al

agotamiento de todos los recursos del sistema.

GUSANO: CODE RED

Este gusano aprovechaba el desbordamiento de búfer así

ejecutaba el código capaz de tomar el control del servidor web,

a través de las extensiones de la Interfaz de Programación de

Aplicación del Servidor Internet (ISAPI).

Para propagarse escanea servidores de una lista de direcciones

IP y al encontrar un servidor vulnerable intenta ingresar por el

puerto 80 (HTTP).

Es recomendable reiniciar tu maquina e instalar los

Parches disponibles.

GUSANO: CIH (CHERNOBYL)

• Se propaga en entornos de Windows 95 y 98.

• Su objetivo es atacar la BIOS de la computadora.

• El CIH infecta solo a los archivos .EXE, buscandoespacios en el cuerpo del archivo. Si esteencuentra un espacio suficiente escribirá su códigoahí.

• Luego modificara el archivo con la rutina dearranque con el código del programa malicioso.

Al ejecutar ese archivo se activa primero el gusano

después de tener el control comienza a replicarse en

otros archivos.

• Intenta sobrescribir la BIOS con código basura, lo

que impide el inicio de la computadora.

• Tiene como resultado casi el formateo de la

maquina.

GUSANO: CIH (CHERNOBYL)

GUSANO: KLEZ

• Este virus explota una vulnerabilidad en el Internet

Explorer por la cual es capaz de auto ejecutarse

con solo visualizar el correo electrónico en el que

llega como adjunto.

• El virus es capaz de impedir el arranque del sistema

y de inutilizar ciertos programas.

GUSANO: MELISSA

• El virus es conocido como W97M_Melissa.

• Nos puede llegar en un archivo adjunto en un mensaje

electrónico, enviado por alguien conocido.

• Dicho mensaje, incluye en asunto (en inglés): “Important

message from…” (Mensaje importante de…) y en el

cuerpo del mensaje: “Here is that document you asked

for … don’t show anyone else ;-)“, donde se indica que

dicho documento fue solicitado por usted (y que no se

lo muestre a nadie más).

GUSANO: MELISSA

• Este virus infecta a Microsoft Word y éste a todos los

archivos que se abren, cambia ciertas

configuraciones para facilitar la infección, modifica

algunas cosas en el registro del sistema y además

desactiva la protección contra virus de macros del

Office.

• Se auto-envía por correo, como un mensaje

proveniente del usuario a las primera 50 direcciones

de la libreta de su correo.

GUSANO: SASSER (BIG ONE)

• Sólo afecta a equipos Windows 2000/XP y Windows

Server 2003 sin actualizar.

• Analizan una cantidad de direcciones IP aleatorias

que buscan sistemas vulnerables.

• El virus instala un servidor FTP(Protocolo de

transferencia de archivos) para que otros equipos

infectados puedan descargarlo.

GUSANO: SASSER (BIG ONE)

• Después cuando encuentra un equipo vulnerable,

el gusano abre una conexión remota en el equipo

y hace que el equipo remoto descargue una copia

del gusano (denominada avserve.exe) en el

directorio de Windows.

GUSANO: BAGLE (BEAGLE)

• Gusano que se difunde mediante el envió masivo

de correo electrónico a direcciones que captura

de diversos ficheros en la máquina infectada.

• Utiliza un truco de ingeniería social muy simple pero

efectivo, consistente en hacerse pasar por un

mensaje de prueba con un fichero adjunto que usa

el icono de la calculadora de Windows, lo que

parece que hace pensar a las víctimas que es

inofensivo.

GUSANO: BAGLE (BEAGLE)

• Además de las molestias que causa la rutina de

envío masivo de correo, lo que hace más peligroso

a este gusano es su capacidad de la puerta

trasera. El gusano se queda residente en la

máquina infectada y aguarda comandos de un

usuario remoto no autorizado, que podría obtener

control total del sistema infectado, dependiendo

de la configuración del sistema y de la red.

GUSANO: WIN32/SIMILE (ETAP)

• Son los primeros virus híbridos que han aparecido,

capaces de atacar tanto sistema Linux como

Windows.

• Frethem es un gusano muy engañoso que suele

tener como asunto “Re: Your password!”. Es muy

fácil infectarse con él, ya que el virus se activa

automáticamente con la pre visualización del

mensaje en el Outlook Express.

GUSANO: WIN32/SIMILE (ETAP)

• El virus tiene también la capacidad de

reconstruirse, variando completamente su

apariencia. Mediante un avanzado proceso,

puede aumentar o disminuir su código viral.

Luego del proceso de reconstrucción, el virus

busca archivos con extensión .EXE (ejecutables)

todos los directorios de todas las unidades de disco

locales y aquellas compartidas a través de una red.

GUSANO: NIMDA

• El virus Nimda es un gusano que se disemina a

través del correo electrónico.

También posee otras formas de difundirse:

• Por la Web

• Por carpetas compartidas

• Por transferencia de archivos

GUSANO: NIMDA

• El gusano Nimda recuperan la lista de direcciones

encontradas en las libretas de direcciones de

nuestro correo electrónico para así enviar a todos

sos destinatarios sin texto y con un asunto escogido

en forma aleatoria. Agrega al mensaje un adjunto

llamado Readme.exe o Readme.eml . (Los virus

poseen una extensión .eml.)

• El virus Nimda también es capaz de tomar el

control del servidor Web.