Actividad

Realiza una investigación de por lo menos 10 tipos de códigos maliciosos, de los cuales 5
se encuentren en la categoría de virus y, posteriormente, elabora un cuadro comparativo
considerando los siguientes criterios:

1. Nombre del código malicioso

2. Descripción
3. Principales características
4. Funcionamiento
5. Formas de prevención
6. Formas de protección
7. Formas de reparación o recuperación
8. Similitudes y Diferencias

Finalmente, concluye argumentando la importancia de establecer mecanismos o

herramientas de prevención, protección y recuperación en las organizaciones, así como
una opinión personal sobre cómo se encuentra el nivel de seguridad computacional de las
empresas en México.

1
 Melissa

El virus Melissa se refiere a un virus de macro de computadora que puede infectar

computadoras y puertas de enlace de correo electrónico, cuando los usuarios ejecutan
Microsoft Word 97 o 2000, o Microsoft Outlook 97 o 98. Los grupos de Use net recibieron
por primera vez el virus, creado por David L. Smith, en los últimos años. Década de 1990.
A fines de la década de 1990, algunos usuarios y clientes de correo se cerraron debido a
que los equipos infectados enviaban y recibían correos electrónicos replicados obstruidos.
Empresas como Lucen, Microsoft e Intel tuvieron que cerrar temporalmente sus
servidores de correo electrónico porque el virus generaba enormes cantidades de correos
electrónicos ficticios y obstruía el sistema.

David L. Smith cumplió condena en prisión por crear el virus Melissa.

El virus tiene varias formas y puede infectar una computadora de la siguiente manera:

El virus informático Melissa se creó en la década de 1990.

Los virus como el virus Melissa tienden a ser capturados por otros piratas informáticos y
actualizados, por lo que es posible que las variantes del programa resurjan de vez en
cuando.

1. El virus viene en formato .DOC e intenta replicarse y enviarse a otras computadoras a

través de direcciones de correo electrónico en la computadora. 2. Una variante del virus
hace lo anterior y también intenta eliminar archivos.

3. El usuario recibe un correo electrónico titulado “Mis imágenes” que está en blanco, pero
contiene un archivo adjunto. Cuando se abre, elimina los datos y se envía a sí mismo a
las primeras 40 entradas en la lista de direcciones de correo electrónico de una persona.

Aunque el virus Melissa puede ser un problema, muchas personas con formas más
nuevas de Word o Outlook no tienen problemas con el virus del tipo gusano. No funciona
en Word 2003, 2004, 2007. También se denomina virus de macro porque utiliza lenguaje
de macros. Este es un lenguaje de programación que puede integrarse en otros
2
programas, lo que hace que se ejecuten inmediatamente cuando se abren. La mayoría de
los detectores de virus le dirán si un programa contiene macros antes de que lo abra, para
que pueda decidir si debe hacerlo o no. También puede deshabilitar la apertura de macros
o documentos que los contienen en la mayoría de las computadoras.

La mejor defensa contra el virus Melissa es utilizar un software antivirus actualizado. Esto
no se puede enfatizar lo suficiente, ya que hay muchos otros virus que pueden infectar
una computadora de varias maneras. Siempre es aconsejable no abrir archivos adjuntos
en correos electrónicos cuando no conoce al usuario. Si no está seguro y cree que el
usuario podría ser alguien que conoce, considere llamar a esa persona o enviarle un
correo electrónico para preguntarle si envió un correo electrónico.

Los virus como el virus Melissa tienden a ser capturados por otros piratas informáticos y
actualizados, por lo que es posible que las variantes del programa resurjan de vez en
cuando. Aunque muchas personas tienen software anti-viral, es posible que no lo ejecuten
con la frecuencia necesaria o no lo actualicen con la frecuencia necesaria cuando
aparecen nuevos virus. El tiempo que lleva ejecutar programas de comprobación de virus
u obtener una actualización vale la pena si desea asegurarse de que su computadora
continúe funcionando y esté libre de virus.

En cuanto al programador del virus Melissa, las autoridades trabajaron diligentemente

para atrapar a David Smith, y se necesitaron tres agencias, el FBI, Monmouth Internet y la
Policía Estatal de Nueva Jersey para descubrir a Smith, identificarlo como el programador
y arrestarlo al final. de 1999. Smith es conocido no solo por crear el virus, sino también
por crear el virus más caro para las empresas (hasta ahora), y por estar entre los primeros
procesados ??por crear un peligro vicioso para las personas y las empresas por igual.
Fue multado con $ 5000 dólares estadounidenses (USD) y sentenciado a 10 años de
prisión, pero cooperó con las autoridades y le redujeron la sentencia y las multas. Más
tarde se puso a trabajar para el FBI para rastrear virus, encontrar personas que los
escriban y buscar soluciones cuando ocurren infecciones virales de una computadora o
red.

3
El virus Melissa obstruyó temporalmente los servidores de correo electrónico de varias
empresas importantes a finales de la década de 1990.

CIH

Una de las peores características del CIH, es que ataca el BIOS de la computadora
infectada, en el momento que el reloj de ésta coincide con el 26 de abril de cualquier año.
Pero existen otras versiones, que actúan en otros momentos. Sin embargo, la que se
activa el 26 de abril, es la que más daño a causado desde su descubrimiento.

El virus se propaga en entornos Windows 95, 98 y ME, y no afecta a Windows NT o 2000,

aunque si puede propagarse en estos sistemas.

El CIH, infecta sólo archivos .EXE (PE, Portable Ejecutable de Win32), buscando
espacios vacíos en el cuerpo del archivo. Si encuentra un hueco de un tamaño suficiente,
escribirá en él su código completo. Estos huecos son normales en la estructura de los
archivos PE. En caso de no encontrar el espacio necesario, el virus es capaz de dividirse
en varias partes, usando diferentes agujeros en el archivo, hasta completar todo el código.

Luego, modificará el cabezal del archivo, para ubicar un código de unos 184 bytes, el que
incluye su rutina de arranque, la que apuntará al código principal del virus. A su vez,
cambia la dirección de comienzo del archivo, para que apunte a dicha rutina.

Cuando se ejecuta un archivo o programa infectado, el virus se ejecuta primero y luego

pasa el control al programa original. Cuando el virus tiene el control, lo aprovecha para
replicarse en otro archivo, y así sucesivamente. Para infectar otros ejecutables, utiliza las
funciones IFS (Instalable File System) y API (Application Program Interface), para
interceptar la apertura de los archivos.

El virus puede saltar del ring3 (la capa de software por la que se ejecutan los programas,
incluidos los propios antivirus), al ring0, el nivel más cercano al procesador, y donde se
ejecuta el Kernel, el corazón de Windows. Desde allí intercepta todas las llamadas al
sistema para el acceso a los archivos, realizando sus propias llamadas a los puertos del
Flash BIOS y para el acceso al disco, evitando así el control de Windows.

4
El virus intercepta solo la apertura de archivos. Cuando un .EXE es abierto por el sistema,
el virus lo infecta, siempre que contenga huecos suficientes y en seguida verifica la fecha
del sistema para decidir si debe activar sus rutinas destructivas.

El tamaño del código del virus, es apenas mayor a 1 Kb, y como sobrescribe su código en
el cuerpo de los archivos infectados, no aumenta el tamaño de estos.

Cuando el archivo infectado se ejecuta, el virus se instala en memoria y se propaga a

todos los demás programas.

El virus posee algunos errores de programación que, en ocasiones, causan bloqueos de

la computadora cuando se ejecutan los programas infectados.

La rutina destructiva utilizada para borrar el disco duro, sobrescribe una parte importante
del disco con ceros, haciendo muy difícil su recuperación.

La memoria Flash BIOS es sobrescrita con código basura, lo que impide el inicio de la
computadora.

Daño causado por el virus

Sobrescribe, rellenando con ceros, los datos guardados en el disco duro. Utiliza para ello
rutinas de acceso directo. La única alternativa para recuperar la información, puede ser a
través de respaldos anteriores, si se disponen de estos.

Destruye tanto los datos (archivos), como el MBR (Master Boot Record) y el sector de
arranque (BOOT) del sistema operativo. Prácticamente todas las variantes de este virus
son capaces de borrar los primeros 2048 sectores del disco duro, lo que equivale a un
mega aproximadamente. El resultado es casi similar a un formateo, y lo realiza eludiendo
las protecciones antivirus del BIOS, y evitando el inicio del sistema. Como consecuencia
de esto, al intentar reiniciar un sistema afectado, se despliega este mensaje:

DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER

Note que el mensaje aparece solo si la siguiente acción destructiva (sobre el BIOS), no se
cumplió aún. También intenta sobrescribir el BIOS (Basic Input/Output System) de la
máquina con basura. Aunque esto ocurre solo si es un BIOS del tipo Flash (regrabable),
5
actualmente todos los motherboards poseen este tipo de chip. Aunque algunos mothers
poseen un jumper para evitar su grabación, la mayoría lo traen habilitado por defecto, y
los usuarios suelen desconocer su ubicación. Si el CIH logra su objetivo, la computadora
no se iniciará, hasta que se cambie la placa madre o se vuelva a programar el Flash
BIOS. 

Cómo el BIOS controla todo el hardware, una vez dañado no hay forma que el usuario por
sus medios pueda restaurarlo, ya que no funcionará ni el teclado, ni el video.

La solución es enviar la motherboard al fabricante o a un servicio técnico especializado en

la programación de EEPROMs, lo que significa costos de mano de obra y fletes que,
sumados, generalmente resultan superiores al costo de una nueva placa.

Además, ya no se fabrican placas para procesadores Pentium MMX o anteriores, lo que

significa el cambio de otros elementos (procesador, y memoria en muchos casos), para
seguir usando la misma computadora. El reemplazo físico del chip del BIOS tampoco es
una solución que se pueda aplicar fácilmente, además de que estos chips no se
consiguen en el mercado.

El KILL_CIH: La herramienta KILL_CIH de Symantec es gratuita, y está diseñada para

descubrir y eliminar en forma segura todas las versiones conocidas del virus W95.CIH de
la memoria, bajo Windows 95 o Windows 98. Si esta herramienta se ejecuta ANTES de
que el virus haya infectado el sistema, también inoculará la memoria de su computadora
previniendo que el virus W95.CIH pueda infectar su sistema, hasta el próximo reinicio del
mismo.
Si usted ya se ha infectado con el virus W95.CIH, debe ejecutar el KILL_CIH, *ANTES* de
intentar poner al día sus definiciones de anti-virus o de escanear su sistema con cualquier
antivirus. Si usted intenta escanear con cualquier anti-virus, antes de ejecutar esta
herramienta, correrá el riesgo de causar que la infección se extienda, debido a las
características del W95.CIH.

KILL_CIH no descubre o quita el W95.CIH virus de los archivos, para ello deberá usar
cualquier antivirus actualizado (podrá encontrar y bajar versiones de evaluación de la
mayoría de ellos desde http://www.vsantivirus.com, incluido el KILL_CIH); KILL_CIH solo

6
desactiva el virus en memoria para que un programa anti-virus pueda desinfectar su
computadora sin que inadvertidamente el virus pueda extenderse al realizar esta acción.

ILOVEYOU

“I love you”, el virus informático más famoso de la historia, cumplió 20 años. Se transmitía
a través de un archivo que llegaba por correo electrónico. Al ser descargado, el gusano
informático se propagaba automáticamente. Infectó 50 millones de equipos en pocos días
y produjo daños por más de 5 mil millones de dólares.

“I Love You”. Con esas palabras se gestó el virus informático más famoso de la historia.
Su autor apeló al amor (o la necesidad de amor) para lograr que ese malware se infiltrara
en millones de dispositivos en todo el mundo. Sabía que, con esas palabras, varios
usuarios caerían en la trampa. Y no se equivocó.

El virus apareció en internet el 4 de mayo de 2000. Salió al mundo por medio de un correo

electrónico con el asunto “ILOVEYOU” y un archivo adjunto con el nombre “LOVE-
LETTER-FOR-YOU.TXT.vbs”. Cuando se abría el documento, no sólo la computadora del
usuario se infectaba, sino que además este gusano informático se auto enviaba a las
direcciones de correo que el usuario tenía guardadas en el Outlook.

Cómo se propaga el virus

El gusano ingresa a la computadora y sobrescribe con su código los archivos con
extensiones .VBS y .VBE. Es decir que busca archivos con diferentes extensiones, los
elimina y crea otros con el mismo nombre y con alguna de las dos extensiones
mencionadas anteriormente.
La “carta de amor” (VBS/LoveLetter) llega por mail con el asunto “ILOVEYOU’” e incluye
un adjunto llamado LOVE-LETTER-FOR-YOU. TXT.vbs que, cuando se ejecuta, crea
varias copias de sí mismo en el disco duro de la computadora.

Una vez accede a la configuración de Windows, el virus se envía a todas las direcciones
de correo que encuentra almacenadas en Microsoft Outlook.
7
“El malware hoy en día puede propagarse a un ritmo rápido, mucho más rápido que el
virus ILOVEYOU hace 20 años, pero las cosas han cambiado desde entonces. Hace
veinte años, nadie había visto un .vbs (secuencia de comandos básica visual) archivo
utilizado con fines maliciosos, lo que causó que muchas personas hicieran clic en el
archivo. Desde el punto de vista de la infraestructura, la capacidad de las redes afectadas,
que incluía redes pertenecientes a gobiernos y empresas, no era nada comparado con la
actualidad, por lo que todo se derrumbó cuando una red se infectó”, subrayó Luis Corrons,
especialista en ciberseguridad de Avast, por medio de un comunicado difundido por la
compañía.

CODE RED

CÓMO SE PROPAGA

1.- El virus se instala en un ordenador y pone en marcha un centenar de procesos que se

dedican a rastrear la Red en busca de ordenadores que tengan instalado el sistema
operativo Windows NT o Windows 2000 y los programas Internet Information Server o
Index Server, todos ellos de Microsoft.

2.- Una vez localizado un ordenador que cumpla estas características, el virus transfiere
una copia de su código al nuevo ordenador, infectándolo.

3.- El proceso se repite sucesivamente con los nuevos ordenadores infectados.

CÓMO ATACA

1.- El virus está programado para empezar a propagarse los días 1 de cada mes. La
próxima vez será el 1 de agosto de 2001, a las 0.00 horas GMT (las 2.00, hora española)

MÁS INFORMACIÓN

Los ordenadores de EE UU pasan sin problemas la hora más crítica del 'Código Rojo'

La activación del virus 'Código Rojo' desata la alerta en Internet

El Pentágono afirma que el 'Código Rojo' ha afectado a 115.000 páginas

Alerta en EE UU ante un nuevo ataque del 'Código Rojo'

8
2.- Los días 20 de cada mes, los ordenadores infectados comienzan lo que se conoce
como ataque de negación de servicio, un envío masivo de peticiones de información al
servidor web de la Casa Blanca.

Sus posibles efectos:

1.- Si el ordenador infectado tiene instalada una versión estadounidense del sistema
operativo, el virus "derribará" el servidor web y mostrará en la pantalla el mensaje:
""HELLO! Welcome to http://www.worm.com! Hacked by Chinese!" (¡Hola! bienvenidos a
http://www.worm.com. ¡Pirateado por los chinos!). No obstante, no se ha confirmado que
el virus provenga de este país.

PUBLICIDAD

2.- El servidor que sufre el ataque, "agobiado" por un número de peticiones que no puede
atender, deja de funcionar.

3.- Más importante: el tráfico de datos generado por los ordenadores infectados podría
saturar total o parcialmente las líneas de comunicación y, por tanto, hacer más lenta la
navegación por la Red o, incluso, dejar ciegas algunas zonas de la misma.

OTRAS CLAVES

1.- El virus fue bautizado como "Código rojo" por la firma china de los mensajes y en
honor a la bebida "Code Red Mountain Dew" que, según sus descubridores, les mantuvo
despiertos mientras abrían las tripas del programa.

2.- Lo que hace peligroso al virus no es sólo el número de ordenadores que puede infectar
sino el tráfico de datos que éstos generan al rastrear la red. El tráfico producido por un
solo ordenador infectado puede llegar a ser de aproximadamente un 1GB de datos cada
12 horas. En buenas condiciones de transmisión, la capacidad de propagación del virus
podría llegar al medio millón de ordenadores al día.

3.- El virus puede ser modificado fácilmente por cualquiera que tenga conocimientos de
programación. Estas mutaciones podrían suponer el ataque a más ordenadores -no sólo
al de la Casa Blanca- y un aumento en la capacidad de infección del virus que, a su vez,
podría acarrear una mayor saturación de las líneas.

9
4.- Por primera vez en la historia de la red, un organismo oficial, el Centro para la
Protección de la Infraestructura Nacional, en representación del Gobierno y las empresas
de EE UU, ha hecho un llamamiento internacional para alertar sobre el peligro del virus y
pedir a los usuarios que tomen las medidas oportunas.

Blaster

Efectos 

Blaster realiza las siguientes acciones:

Realiza ataques de denegación de servicio (DoS) contra el sitio

web windowsupdate.com durante los días 15 a 31 de cada mes, y durante todos los días
de los meses de septiembre a diciembre de cualquier año. Puede llegar a provocar el
bloqueo y reinicio del ordenador atacado, debido a errores de codificación del gusano.
Provoca un aumento del tráfico de red por los puertos TCP 135 y 4444, y UDP 69.

Método de Infección 

Blaster crea el archivo MSBLAST.EXE en el directorio de sistema de Windows. Este

archivo es una copia del gusano.

Blaster crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

windows auto update = msblast.exe
De esta manera, consigue ejecutarse cada vez que se inicie Windows.

Blaster realiza el siguiente proceso de infección:

El gusano crea un mutex llamado BILLY para comprobar que se encuentra

activo. Blaster verifica que la versión de Winsock del sistema sea 1.00, 1.01 ó 2.02, y que
haya una conexión válida a Internet; en caso de que no haya conexión, entra en un bucle
que realiza dicha comprobación cada 20 segundos.

Blaster genera direcciones IP aleatorias de forma sucesiva, empezando por la red donde

se encuentra el ordenador donde se está ejecutando, y pasando después a la siguiente
red de clase B (redes con máscara de subred 255.255.0.0).
10
Blaster intenta aprovechar en la máquina remota, identificada mediante la anterior
dirección IP, la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC.

Si lo consigue, Blaster lanza una sesión remota y obliga al ordenador atacado a realizar

una conexión desde el puerto TCP 4444 de la máquina atacada al puerto UDP 69 de la
máquina atacante.

Cuando se establece dicha conexión, el ordenador atacado descarga a través de TFTP

una copia del gusano. Para ello, el propio gusano incorpora un servidor TFTP.

Una vez finalizada la descarga, procede a la ejecución remota del archivo enviado, lo cual
provoca que el gusano pueda también propagarse desde el equipo atacado.

Método de Propagación 

Blaster se propaga atacando direcciones IP generadas aleatoriamente. Estas direcciones

IP pertenecen tanto a la red en la que se encuentra el ordenador atacado, como a redes
de clase B (cuya máscara de subred es 255.255.0.0).

Blaster intenta aprovechar en dichas direcciones IP la vulnerabilidad conocida

como Desbordamiento de búffer en interfaz RPC. En caso de conseguirlo, descarga en el
ordenador atacado una copia de sí mismo, para lo cual incorpora su propio servidor TFTP.

Otros Detalles  

Blaster está escrito en lenguaje Ensamblador. Este gusano tiene un tamaño de

6176 Bytes cuando está comprimido mediante UPX, y de 11296 Bytes una vez
descomprimido.

El código de Blaster contiene las siguientes cadenas de texto, aunque no son mostradas

en ningún momento:

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ? Stop making money and fix your software!!

Sobig.F

11
Una variante más dañina del gusano informático Sobig y otra del MSBlast se están
propagando desde el martes, creando un colosal atasco en el tráfico de Internet. La
empresa británica de seguridad Messagelabs asegura que el primero de ellos es el que se
propaga con la mayor rapidez de la historia de la Red.

Lunes. Los ataques comienzan cuando el virus MSBlast, también conocido

como Blaster o LoveSan infecta los ordenadores de cientos de miles de usuarios de todo
el mundo. Los expertos alertan de que no hay tanta actividad desde la aparición de
los Código Rojo y Nimda.

Martes. Otros dos gusanos entran en acción, convirtiendo la navegación por la Red en un

tormento sin igual para muchos internautas. Primero Nachi, también conocido
como MSBlast.D, W32Welchia o W32.Nachi atasca las redes de grandes compañías,
como Lockheed Martin o Air Canada. Su principal característica es que infecta los PC
aprovechando la vulnerabilidad en los sistemas operativos Windows 2000 y Windows XP,
que ya debilitó previamente MSBlast, según han indicado los expertos. Paradójicamente,
el gusano provoca la descarga desde Internet de los parches contra el MSBlast.

Una nueva y más dañina variante del virus Sobig, conocida como Sobig.F comienza a

extenderse a través del correo electrónico a una velocidad alarmante, según la compañía
de seguridad Central Command.

Miércoles. A mediodía, el Sobig roza en España las 70.000 infecciones, protagonizando

siete de cada ocho casos de ordenadores afectados por códigos maliciosos, según los
datos recogidos por el Centro de Alerta Temprana sobre Virus y Seguridad Informática
(CAT), dependiente del Ministerio de Ciencia y Tecnología. En menos de 24 horas, se
hace con el tercer puesto en la lista de virus más detectados por la red del CAT, que lo
considera de riesgo "alto", y supone ya el 23,3% de las infecciones detectadas, sólo
superado por el 28,1% de Klez.H, aparecido a mediados de abril, y el Mimail, que ha
protagonizado un 27,3% de los contagios desde que surgió a principios de mes.

sta última versión, programada para ser interrumpida el 10 de septiembre, no difiere

mucho de las variantes anteriores, que según se cree facilitan a los propagadores de
correo basura, o spammers, utilizar los ordenadores de sus víctimas para hacer envíos
desde el anonimato.

12
Jueves. El CAT cifra en 134.000 las infecciones en las últimas 24 horas. Panda Software
confirma que Sobig se ha convertido en el virus que se difunde con más rapidez de la
historia de Internet y advierte de un mayor riesgo de infección en las empresas ya que se
propaga a través de redes internas.

Díficil detección

El virus, que utiliza la libreta de direcciones del usuario para propagarse, muta y utiliza
direcciones de nombres conocidos, como "ibm.com" o "icrosoft.com", para obstaculizar la
detección. Emplea encabezados de mensaje similares a los que se utilizan habitualmente
en el correo basura, como "Re: Thank You" o "Re: approved". Los ficheros infectados
suelen llevar las extensiones ".scr" (salvapantallas) o ".pif", y títulos como
"your_document.pif", "details.pif", o "thank_you.pif". Se trata de la mutación de un virus
descubierto el pasado 10 de enero, programado en un sencillo lenguaje Visual C++, que
se ha puesto en 24 horas a la cabeza en rapidez de propagación a nivel mundial. En
esencia, se trata de un gusano de Internet, cuyo objetivo es colapsar las redes y
entorpecer el normal uso de los equipos informáticos. Sin embargo, según José Manuel
Crespo de Panda Software, en realidad se trata de un virus combinado que incorpora,
además, un troyano para poder acceder a la información disponible en los ordenadores
que infecta y posee la capacidad para distribuirse por las redes internas de las empresas.

Si el usuario no abre el fichero adjunto, está a salvo, pero según señalan los expertos
informáticos, muchos internautas suelen abrirlo aun sin conocer el contenido. Si a esta
práctica se suma un correo electrónico falso que asegura ser un remedio de Microsoft
contra el MSBlast y que, en su lugar, contiene una aplicación que deja las puertas
abiertas a posibles ataques de piratas informáticos, el cóctel es explosivo.

La forma de detectar si un ordenador está infectado es realizar una búsqueda del fichero
vs32ppr.exe, que confirma la existencia del virus.

SQL Slammer

En enero del 2003, Slammer probó que tan dañino podía ser un gusano para los servicios
públicos y privados. El gusano liberaba una avalancha de paquetes de red, y la cantidad
de datos que transmitía a través del Internet causó que
varios servidores suspendieran actividades casi inmediatamente. Entre las víctimas del

13
gusano se encontraron Bank of America, el servicio de emergencias estadounidense 911
y una planta.

La historia de Slammer comenzó el 25 de enero de 2003, cuando en un plazo de apenas

diez minutos consiguió infectar a decenas de miles de servidores en todo el mundo,
colapsando Internet de manera global. La reaparición de este gusano de apenas
376 bytes, que había permanecido prácticamente inactivo desde 2003.

Los intentos de ataque detectados se dirigieron a un total de 172 países, con el 26% de

las ofensivas hacia redes estadounidenses. Además, las direcciones IP que iniciaron el
mayor número de asaltos relacionados con el SQL Slammer están registradas
en China, Vietnam, México y Ucrania.

Método de Infección

Slammer realiza el siguiente proceso de infección:

Llega al ordenador procedente de otro servidor SQL y queda residente en memoria.

Carga tres funciones API de la Winsock (estándar de gestión de redes):

Socket y Sendto (WSW_32.DLL), para su envío.

GetTickCount (KERNELL32.DLL), para obtener la IP aleatoria del servidor al que intentará

atacar.

Comienza a enviar masivamente archivos de 376 Bytes con el código del gusano a través

del puerto 1434.

Debido a este proceso continuo y los múltiples envíos se llega a generar un ataque de tipo
DDoS (denegación de servicios distribuido) sobre dicho puerto.

Slammer no crea ni modifica ficheros. Tampoco modifica el registro de Windows.

Método de propagación

Llega al servidor procedente de otro servidor SQL. Una vez en el equipo, busca

otras máquinas que actúen como servidores de SQL, para infectarlas. Para ello
aprovecha una vulnerabilidad de tipo Desbordamiento de búfer, que existe en aquellos
servidores que no tengan instalado el Service Pack 3.

14
Efectos

Slammer provoca los siguientes efectos en el servidor afectado:

Aumenta el tráfico de red a través del puerto UDP 1434 (SQL Server Resolution Service
Port).

Ralentiza e incluso llega a bloquear el servidor.

Puede provocar la caída del servicio de correo electrónico.

Puede provocar el bloqueo de la red.

Bagle

Beagle o también conocido como Bagle es un gusano (malware) escrito en distintos

lenguajes de programación, comprimido y/o encriptado, se propaga a través de correo
electrónico y redes P2P. Si el gusano llega por correo electrónico, el asunto del mensaje
varía con cada versión, su remitente siempre es falso y contiene adjuntos. Este gusano
es capaz de actualizarse desde diferentes sitios de Internet y de desactivar muchos de
los programas de seguridad instalados.

A través de los años, los autores del gusano Bagle o Beagle han demostrado una gran
habilidad para lograr cambios técnicos y de distribución en el código del malware, Bagle
ha evolucionado incorporando nuevas técnicas de infección, de reproducción y de
ingeniería social, logrando una gran efectividad en su reproducción y cantidad de
infecciones. Cada una de las distintas versiones que han aparecido, es capaz de
cosechar distintos tipos de información.

Funcionalidad. - Si bien durante sus cientos de versiones el mismo ha ido cambiando

la forma de beneficiarse, sus funcionalidades pueden resumirse en:

 Envío de SPAM: su principal medio de distribución.

 Robo de direcciones de correo electrónico: le permite realizar ataques de
Phishing y favorecer el SPAM, así como la venta, por parte de sus autores de las
direcciones obtenidas.
 Robo de información confidencial: su principal beneficio.}
 Instalación de Backdoors: le permite establecer futuros puntos bases de ataques.

15
Componentes. - La información que las distintas versiones recolectan a través de sus
componentes es:

 IP, NAT, Nombre de la computadora infectada y su dominio

 Nombres de usuario y contraseña de POP3/IMAP
 Captura de datos de Usuario grabados por el navegador
 Configuración de cuentas FTP, navegadores web y clientes de correo.
 Contraseñas de administradores de passwords.
 Usuario y contraseña de aplicaciones de mensajería instantánea
 Usuario y contraseñas de dispositivos de acceso remoto RAS
 Usuario y contraseñas de sitios de Home-Banking
 Hashing de contraseñas.

Tareas. - Gracias a sus múltiples funcionalidades es capaz de realizar las siguientes

tareas:

 Instalación de troyanos y backdoors que permiten el control remoto de

las maquinas infectadas y la creación de redes de bots (zombies).
 Manipulación de DNS y archivos de host del sistema.
 Auto-actualización y descarga de otros malwares como el troyano
Mitglieder.
 Inyección de distintas funcionalidades del sistema operativo.
 Finalización de procesos y servicios de aplicaciones de seguridad
(antivirus, firewalls, IDS) y del sistema operativo.
 Residencia camuflada en memoria.
 Cambio de íconos de sus adjuntos para pasar desapercibido.
 Utilización de ingeniería social en el cuerpo y asunto del mensaje.
 Generación de nombres de archivos aleatorios (o conocidos por el
usuario) para facilitar el engaño.
 Generación de ID para cada computadora infectada.
 Catalogación de equipos infectados.
 Rápida modificación de su código que obliga a los antivirus a su
actualización excepto a aquellos que lo detectan con capacidades
16
 proactivas.
 Explotación de vulnerabilidades solucionadas o sin solución así como 0-
days.
 Capturas y envió de pantallas.
 Capturas de teclas Keylogger.
 Auto-caducidad luego de un período de tiempo.
 Recolección y robo de contraseñas para muchas aplicaciones.
 Falsear direcciones de mails de origen.
 Motor propio de envío de correo (SMTP).
 Conexión de sitios remotos para la realización de distintas acciones.
 Encriptación y compresión de distintas partes de su código mediante
diferentes técnicas.
 Aprovechamiento de las botnets creadas mediante su componente de
backdoor.
 Evita actualizaciones de programas de seguridad.
 Evita el envío de correos electrónicos a empresas de seguridad.
 Prevención contra ataques de otros malware como NetSky.

TIPOS
Como ya se mencionó, Beagle se vale de diferentes componentes para realizar sus
tareas. Los programas (en su mayoría otros malware) de los que se vale para
realizar sus funciones son:

 Gusano Beagle: es el encargado de instalar los otros componentes, llevar

registro de lo realizado, eliminar "competidores", controlar las redes de bots y
mantenerse actualizado desde distintos sitios de Internet.

 Mitglieder/Beagooz: troyano encargado de realizar el envío masivo de mail,

vulnerar todo el software de seguridad, robar datos y actualizarse.

 Tooso/Tango: troyano que vulnera y desactiva los componentes de

seguridad del sistema y detiene procesos y servicios de actualización de
software. Ambos son detectados como variantes de Beagle.

 Lodear/Lodeight: troyanos desarrollados para buscar, obtener y actualizar

17
 distintos miembros de la familia desde Internet. Son detectados como
variantes de Beagle.

 Monikey: gusano desarrollado para facilitar la propagación mediante el

envío masivo de correo y la utilización de redes P2P.

 LDPinch, Tarno y Vipgsm: permiten el robo de contraseñas de distintos

programas.

 Formglieder: utilizado para obtener información confidencial como datos

bancarios y financieros. Es detectado como variante de Beagle.
MyDoom

A pesar de que el virus Mydoom no produce pérdida de datos, hemos creído oportuno
realizar este informe sobre su acción dada la gran repercusión social y a la enorme
propagación que está generando.

“El gusano Mydoom lleva camino de convertirse en uno de los más nocivos de cuantos se
han extendido por Internet en los últimos meses (1 de cada 6 mensajes de correo han
sido infectados). Los expertos de las compañías antivirus han advertido que Mydoom se
extiende más rápidamente que Sobig F. y Klez, dos de  los virus más peligrosos de 2003.”

Mydoom es un gusano que se propaga a través del correo electrónico en un mensaje con
características variables y a través del programa de ficheros compartidos KaZaA.

Tiene capacidades de puerta trasera, lo cual permite que un usuario remoto pueda
acceder al equipo infectado.

¿Qué clases hay?

Este gusano proviene del virus Mimail, virus sin efectos dañinos, pero con gran capacidad
de propagación a través del envío masivo de correos.

Fue identificado por primera vez el 26 de enero de 2004, y se presenta en dos versiones:
versión .A y .B, esta última detectada el 28 de enero de 2004.

La nueva variante es aún más peligrosa que la anterior, ya que está diseñada para
impedir que muchos programas antivirus puedan actualizarse correctamente.

18
Otra diferencia de la nueva variante en relación con Mydoom.A. es que, está diseñada
para causar ataques de denegación de servicio contra los servidores de la compañía
Microsoft, mientras que el primero lanzaba ataques contra la web www.sco.com.

NOTA:  En las últimas horas se ha detectado la aparición de dos nuevos virus

relacionados con Mydoom. Uno de ellos es Doomjuice.A (W32/Doomjuice.A.worm). Se
trata de un gusano que se propaga a través de Internet, para ello, utiliza la puerta trasera
creada por Mydoom.A y Mydoom.B con el fin de realizar copias de sí mismo en los
ordenadores afectados por estos gusanos. Doomjuice.A lanza ataques de Denegación de
Servicio Distribuída (DDoS) contra el sitio web www.microsoft.com. El otro es Deadhat  y
desinstala las versiones del virus Mydoom que encuentre y luego trata de neutralizar la
protección anti-virus de la computadora. Ambas, a diferencia del Mydoom original, no
viajan a través del correo electrónico, sino que buscan direcciones e-mail en máquinas
conectadas infectadas.

¿Cómo actúa?

W32/MyDoom es un gusano de email, con un componente de puerta trasera, que busca

direcciones en el disco duro del sistema infectado y las utiliza para enviarse  también
como remitente, por lo que no se sabe de dónde procede realmente.

El gusano incita al usuario a abrir un archivo de programa adjunto. El icono de dicho

fichero representa un archivo de texto, a fín de engañar al usuario.

Cuando se ejecuta por primera vez, el gusano abre el bloc de notas, y muestra caracteres
sin sentido, del tipo:

19
El gusano instala el código dañino en el sistema y se envía a sí mismo a todos los
contactos de la libreta de direcciones localizados en archivos con las siguientes
extensiones: WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB y PL

Usa mensajes con asuntos, textos y nombres de archivos adjuntos variables. El mensaje
suele medir de 30 a 35 Kb.

Instalación

Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:

%TEMP%\Message

c:\windows\system\shimgapi.dll

c:\windows\system\taskmon.exe

NOTA : La carpeta TEMP está ubicada en “c:\windows\temp”, “c:\winnt\temp”, o “c:\

documents and settings\[usuario]\local settings\temp”, de acuerdo al sistema operativo.

En todos los casos, “c:\windows” y “c:\windows\system” pueden variar de acuerdo al

sistema operativo instalado (“c:\winnt”, “c:\winnt\system32″, “c:\windows\system32″, etc.).

20
Y modifica o crea las siguientes entradas en el registro:

HKCU\Software\Microsft\Windows\CurrentVersion\Run

TaskMon = c:\windows\system\taskmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TaskMon = c:\windows\system\taskmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion

\Explorer\ComDlg32\Version

HKCU\Software\Microsoft\Windows\CurrentVersion

\Explorer\ComDlg32\Version

Para crear la puerta trasera agrega el archivo SHIMGAPI.DLL en el directorio SYSTEM de

WINDOWS, y lo ejecuta como un proceso hijo (child process) de EXPLORER.EXE.

La clave de registro modificada para esta tarea es la siguiente:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

El gusano Mydoom B. puede además enviarse a equipos ya infectados por la versión A.

Para ello, su componente backdoor escanea la red por direcciones IP generadas al azar,
e intenta conectarse a puertos TCP/3127, utilizado por Mydoom. Si la máquina escaneada
está infectada, entonces Mydoom se transfiere a ella y es ejecutado de inmediato. De ese
modo las computadoras infectadas son actualizadas a la nueva versión sin necesidad de
recibir un nuevo correo con el gusano.

Efectos

El gusano busca direcciones de correo electrónico en todos los ficheros con las siguientes
extensiones (: WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB y PL), reenviándose
automáticamente.

Abre un troyano de acceso por puerta trasera en las máquinas infectadas permitiendo que
un posible intruso controle el equipo infectado de forma remota.

21
El gusano realiza ataques de denegación de servicio, a las siguientes direcciones:

Estos ataques consisten en el envío de ráfagas de solicitudes GET HTTP. Ambos ataques
se realizan en forma simultánea.

El 1 de marzo de 2004, el Mydoom está previsto que deje de propagarse, pero su rutina
backdoor seguirá funcionando

Sasser

Efectos 
Sasser.A provoca el reinicio de los ordenadores con Windows XP/2000 cuando intenta
afectarlos, aprovechando la vulnerabilidad LSASS. Cuando se realiza esta acción.

Sasser.A muestra el siguiente mensaje en pantalla:

Método de Infección 
Sasser.A crea los siguientes archivos:
AVSERVE.EXE en el directorio de Windows. Este archivo es una copia del gusano.

WIN.LOG en el directorio raíz de la unidad C:. Este archivo contiene la dirección IP del

ordenador afectado.

Sasser.A crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
avserve.exe = %windir%\ avserve.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Sasser.A consigue ejecutarse cada vez que se inicia Windows.

22
Método de Propagación 
Sasser.A se propaga a través de Internet, atacando ordenadores remotos. Para ello,
realiza el siguiente proceso:

Sasser.A lanza 128 hilos simultáneos, con los que genera direcciones IP aleatorias.

Intenta acceder a dichas direcciones IP a través del puerto TCP 445.

Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta

vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido
convenientemente actualizados.

En caso afirmativo, abre un shell en el puerto TCP 9996, con el que Sasser.A crea y

ejecuta el script CMD.FTP, detectado por los productos Panda como W32/Sasser.ftp.
Dicho script descarga el gusano por FTP, a través del puerto TCP 5554, al sistema
vulnerable.

La copia de sí mismo descargada tendrá un nombre variable %número%_UP.EXE,

donde %número% es un número aleatorio.

Cuando Sasser.A explota la vulnerabilidad LSASS, provoca un desbordamiento

de buffer en el programa LSASS.EXE, lo cual desencadena el reinicio del ordenador.

Sasser.A sólo se propaga de manera automática a ordenadores con Windows XP/2000.

Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo
correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En
este último caso, Sasser.A convertiría dicho ordenador en un nuevo foco de propagación.

Cuadro Comparativo

23
Nombre del
código Descripción Principales características Funcionamiento Formas de protección
malicioso
es que ataca el BIOS de la El virus se propaga en entornos Sobrescribe, rellenando con ceros, los Para mantenerse protegido, tenga en cuenta los
siguientes consejos:
datos guardados en el disco duro. Utiliza Cambie la fecha de su ordenador todos los 26 de
computadora infectada, en Windows 95, 98 y ME, y no afecta a abril.
para ello rutinas de acceso directo. La Instale un buen antivirus en su ordenador. Pulse
aquí para conseguir el antivirus de Panda más
CIH el momento que el reloj de Windows NT o 2000, aunque si única alternativa para recuperar la
adaptado a sus necesidades.
Mantenga su antivirus actualizado. Si admite
información, puede ser a través de
actualizaciones automáticas, configúrelas para
ésta coincide con el 26 de puede propagarse en estos
respaldos anteriores, si se disponen de que funcionen siempre así.
Tenga activada la protección permanente de su
abril de cualquier año. sistemas. estos. antivirus en todo momento.
El virus Melissa se refiere a El virus viene en formato .DOC e El virus Melissa infecta archivos de La mejor defensa contra el virus Melissa es
un virus de macro de Word aprovechando su capacidad de utilizar un software antivirus actualizado. Esto
intenta replicarse y enviarse a otras
computadora que puede
ejecutar Scripts de Visual Basic. Sus no se puede enfatizar lo suficiente, ya que hay
infectar computadoras y computadoras a través de
puertas de enlace de acciones principales son las siguientes: muchos otros virus que pueden infectar una
Melissa direcciones de correo electrónico en
correo electrónico, cuando Infecta a MS Word y éste a todos los computadora de varias maneras. Siempre es
los usuarios ejecutan la computadora. 2. Una variante del
archivos que se abren. Cambia ciertas aconsejable no abrir archivos adjuntos en
Microsoft Word 97 o 2000,
virus hace lo anterior y también configuraciones para facilitar la correos electrónicos cuando no conoce al
o Microsoft Outlook 97 o
98. intenta eliminar archivos. infección. usuario.
es un virus escrito en Conocido por los usuarios como el El gusano sobrescribe con su código los La solución. Para evitar los efectos del I love
“Virus del amor”, pertenece a la archivos con extensiones .VBS y .VBE.
VBScript. En mayo de 2000 Elimina los archivos con extensiones you es necesario elaborar un parche,
categoría de gusano, capaz de .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y
infectó aproximadamente crea otros con el mismo nombre y
reproducirse a través de las redes programa informático que se aplica sobre otro
extensión .VBS en el que introduce su
ILOVEYOU 50 millones de electrónicas ,modifica los ficheros del
código. También localiza los archivos
ordenador infectado y se transmite a con extensión .JPG, .JPEG, .MP3 y que, instalado en el servidor de correo, sea
computadores provocando
través del correo electrónico cuando .MP2, los elimina, y crea otros donde el
nuevo nombre está formado por el capaz de reconocer la firma del virus  y
pérdidas de más de 5.500
el internauta abre el fichero donde se
nombre y la extensión anterior más VBS
millones de dólares aloja. como nueva extensión real. frenarlo.
El virus se instala en un El virus está programado para Si el ordenador infectado tiene instalada Automatique Code Red Worm enlèvement
outil es la solución más destacada y eficiente
ordenador y pone en una versión estadounidense del sistema para una amenaza Code Red Worm, ya que ha
sido diseñado por los profesionales de la
marcha un centenar de informática que han trabajado mucho para
operativo, el virus "derribará" el servidor
desarrollar una impresionante técnica eficaz
procesos que se dedican a empezar a propagarse los días 1 de para eliminar esta infección crítico desde el PC
web y mostrará en la pantalla el . El software es una herramienta totalmente
rastrear la Red en busca fiable y eficaz, porque el fin de utilizar la utilidad
mensaje: ""HELLO! Welcome to se requiere ninguna habilidad técnica ni un uso
de ordenadores que tengan novato también puede hacer uso del software y
hacer que su sistema libre de la infección.
Code Red instalado el sistema cada mes. La próxima vez será el 1 http://www.worm.com! Hacked by
Funciona sólo tiene unos pocos pasos para
completar la tarea por lo que es el horario de
operativo Windows NT o Chinese!" (¡Hola! bienvenidos a opción también. Después de usar el software
que puede escanear, detectar y eliminar
Windows 2000 y los
http://www.worm.com. ¡Pirateado por amenazas Code Red Worm rápidamente. Por
programas Internet de agosto de 2001, a las 0.00 horas lo tanto, si usted también está esperando una
sólida herramienta para deshacerse de los
los chinos!). No obstante, no se ha
Information Server o Index programas espía y luego el tiempo de espera
ha terminado y ahora se puede usar
Server, todos ellos de confirmado que el virus provenga de convenientemente automático Code Red
Worm enlèvement outil para completar el
Microsoft. GMT este país. trabajo.

24
Nombre del
código Descripción Principales características Funcionamiento Formas de protección
malicioso
Realiza ataques de Blaster crea el archivo Descargue gratis la utilidad Panda
denegación de servicio MSBLAST.EXE en el directorio de
(DoS) contra el sitio
web windowsupdate.com d sistema de Windows. Este archivo es QuickRemover pulsando sobre el icono que
urante los días 15 a 31 de una copia del gusano. Blaster genera direcciones IP
cada mes, y durante todos Blaster crea la siguiente entrada en aleatorias de forma sucesiva, aparece a continuación. ...
los días de los meses de empezando por la red donde se
el Registro de Windows:
septiembre a diciembre de
Blaster HKEY_LOCAL_MACHINE\ Software\
encuentra el ordenador donde se
cualquier año. Puede llegar Ejecute Panda QuickRemover, haciendo doble
a provocar el bloqueo y está ejecutando, y pasando después
Microsoft\ Windows\ CurrentVersion\
reinicio del ordenador a la siguiente red de clase B (redes
atacado, debido a errores Run con máscara de clic sobre el archivo y siga las indicaciones que
de codificación del gusano. windows auto update = msblast.exe subred 255.255.0.0).
Provoca un aumento del De esta manera, consigue ejecutarse le aparecen en pantalla. ...
tráfico de red por los
puertos TCP 135 y 4444, y cada vez que se inicie Windows.
UDP 69. Reinicie el equipo.
Una variante más dañina El virus, que utiliza la libreta de Si posee una conexión de banda ancha de 24
del gusano informático S direcciones del usuario para horas, puede ejecutar Virus Stopper para que
obig y otra propagarse, muta y utiliza examine sus casillas cada 5 o 10 minutos por
del MSBlast se están Los ataques comienzan cuando el direcciones de nombres conocidos,
ejemplo, y borre los mensajes del gusano,
propagando desde el virus MSBlast, también conocido como "ibm.com" o "icrosoft.com",
evitando que su correo se sature.
martes, creando un como Blaster o LoveSan infecta para obstaculizar la detección.
colosal atasco en el los ordenadores de cientos de Emplea encabezados de mensaje
Sobig.F tráfico de Internet. La miles de usuarios de todo el similares a los que se utilizan Si utiliza conexión telefónica, ejecute el
empresa británica de mundo. Los expertos alertan de habitualmente en el correo basura, programa antes de conectarse con su
seguridad Messagelabs que no hay tanta actividad desde como "Re: Thank You" o "Re: programa de correo habitual, a los efectos de
asegura que el primero la aparición de los Código approved". Los ficheros infectados
eliminar rápidamente todos los mensajes
de ellos es el que se Rojo y Nimda. suelen llevar las extensiones ".scr"
propaga con la mayor (salvapantallas) o ".pif", y títulos infectados, evitando estar conectado
rapidez de la historia de como "your_document.pif", demasiado tiempo para descargar sus
la Red. "details.pif", o "thank_you.pif". mensajes.
cuando en un plazo de Slammer realiza el siguiente proceso Descargue gratis la utilidad Panda
de infección:
apenas diez minutos
Llega al ordenador procedente de
consiguió infectar a otro servidor SQL y queda residente QuickRemover pulsando sobre el icono que
Llega al servidor procedente de otro
decenas de miles de en memoria. servidor SQL. Una vez en el equipo,
Carga tres funciones API de la aparece a continuación. ...
servidores en todo Winsock (estándar de gestión de busca otras máquinas que actúen
el mundo, colapsando redes): como servidores de SQL, para
SQL Slammer Socket y Sendto (WSW_32.DLL), infectarlas. Para ello aprovecha una Ejecute Panda QuickRemover, haciendo doble
Internet de manera global. para su envío.
vulnerabilidad de tipo
La reaparición de este GetTickCount (KERNELL32.DLL), Desbordamiento de búfer, que existe clic sobre el archivo y siga las indicaciones que
para obtener la IP aleatoria del
gusano de apenas servidor al que intentará atacar. en aquellos servidores que no tengan
instalado el Service Pack 3.
376 bytes, que había Comienza a enviar masivamente le aparecen en pantalla. ...
archivos de 376 Bytes con el código
permanecido prácticamente
del gusano a través del puerto 1434.
inactivo desde 2003. Reinicie el equipo.
también conocido como Si bien durante sus cientos de Beagle se vale de diferentes 1- Descarga la utilidad Elibagla de Satinfo
Bagle es un gusano versiones el mismo ha ido cambiando componentes para realizar sus tareas. haciendo clic en este enlace
(malware) escrito en la forma de beneficiarse, sus Los programas (en su mayoría otros
distintos lenguajes de funcionalidades pueden resumirse en: 2- Haz doble clic sobre el archivo ejecutable
malware) de los que se vale para
programación, comprimido • Envío de SPAM: su principal medio para instalarlo
y/o encriptado, se propaga de distribución. realizar sus funciones son:
a través de correo • Robo de direcciones de correo  Gusano Beagle: es el encargado de 3- Verifica que en el menú desplegable Unidad,
electrónico y redes P2P. Si electrónico: le permite realizar instalar los otros componentes, llevar eliges la ubicación C:\ (o la partición que
el gusano llega por correo ataques de Phishing y favorecer el registro de lo realizado, eliminar contenga el sistema operativo)
Bagle electrónico, el asunto del SPAM, así como la venta, por parte
"competidores", controlar las redes de
mensaje varía con cada
de sus autores de las direcciones bots y mantenerse actualizado desde 4- Verifica también que esté marcada la opción
versión, su remitente
obtenidas. distintos sitios de Internet. Eliminar Ficheros Automáticamente
siempre es falso y contiene
adjuntos. Este gusano es • Robo de información confidencial:  Mitglieder/Beagooz: troyano
capaz de actualizarse su principal beneficio.} encargado de realizar el envío masivo
5- Haz clic en el botón Explorar para lanzar el
desde diferentes sitios de • Instalación de Backdoors: le análisis de Elibagla. Cuando finalice el
de mail, vulnerar todo el software de escaneo, se generará un informe llamado
Internet y de desactivar permite establecer futuros puntos
muchos de los programas bases de ataques. seguridad, robar datos y actualizarse. infosat.txt que será guardado en la raíz
de seguridad instalados. C:\infosat.txt

25
Nombre del
código Descripción Principales características Funcionamiento Formas de protección
malicioso
“El gusano Mydoom lleva Este gusano proviene del virus W32/MyDoom es un gusano de email, Ante todo, si ha recibido un mensaje con
camino de convertirse en Mimail, virus sin efectos dañinos, con un componente de puerta trasera, algunas de las características descritas en el
uno de los más nocivos de pero con gran capacidad de apartado Método de propagación, no ejecute el
que busca direcciones en el disco duro fichero adjunto y borre el mensaje, incluso de la
propagación a través del envío
cuantos se han extendido
masivo de correos. del sistema infectado y las utiliza para carpeta de Elementos Eliminados.
por Internet en los últimos Fue identificado por primera vez el 26
meses (1 de cada 6 de enero de 2004, y se presenta en enviarse también como remitente, por
Después, si durante el proceso de análisis
lo que no se sabe de dónde procede Panda Antivirus o Panda ActiveScan detecta a
MyDoom mensajes de correo han dos versiones: versión .A y .B, esta
sido infectados). Los última detectada el 28 de enero de realmente. Mydoom.A, elimínelo siguiendo las
expertos de las compañías 2004. El gusano incita al usuario a abrir un
instrucciones que le indique el programa.
La nueva variante es aún más
antivirus han advertido que
peligrosa que la anterior, ya que está archivo de programa adjunto. El icono Además, como precaución adicional, ejecute
Mydoom se extiende más diseñada para impedir que muchos
de dicho fichero representa un archivo nuestra utilidad gratuita Panda QuickRemover,
rápidamente que Sobig F. y programas antivirus puedan que reparará automáticamente todos los
Klez, dos de  los virus más actualizarse correctamente. de texto, a fín de engañar al usuario. posibles desperfectos que el virus haya
peligrosos de 2003.” causado en su ordenador.
Sasser.A provoca el reinicio Sasser.A crea los siguientes Si lo consigue, comprueba si el Para eliminar el gusano Sasser, el mejor
archivos: ordenador remoto presenta la método es, en primer lugar, proteger el
AVSERVE.EXE en el directorio de
Windows. Este archivo es una copia vulnerabilidad LSASS. Esta sistema mediante la activación del firewall. En
de los ordenadores con del gusano. Windows XP, dirigirse a Menú Inicio >
vulnerabilidad es crítica en los sistemas
WIN.LOG en el directorio raíz de la Configuración > Panel de control > Conexiones
unidad C:. Este archivo contiene la operativos Windows XP/2000 que no
de red. Después, hacer clic con el botón
dirección IP del ordenador afectado. han sido convenientemente actualizados. derecho del ratón en la conexión a Internet y
Windows XP/2000 cuando Sasser.A crea la siguiente entrada en
En caso afirmativo, abre un shell en el hacer clic en Propiedades. Seleccionar la ficha
el Registro de Windows:
Sasser HKEY_LOCAL_MACHINE\ puerto TCP 9996, con el que Sasser.A Opciones avanzadas, después marcar la casilla
SOFTWARE\ Microsoft\ Windows\
crea y ejecuta el script CMD.FTP, Proteger mi equipo y mi red limitando o
intenta afectarlos, CurrentVersion\ Run
impidiendo el acceso al mismo desde Internet y
avserve.exe = %windir%\ detectado por los productos Panda
avserve.exe aplicarla al hacer clic en Aceptar.
como W32/Sasser.ftp. Dicho script
donde %windir% es el directorio de
aprovechando la Windows. descarga el gusano por FTP, a través
A continuación, se debería actualizar el
Mediante esta entrada, Sasser.A del puerto TCP 5554, al sistema sistema, ya sea mediante el uso de Windows
consigue ejecutarse cada vez que se
inicia Windows. vulnerable. Update o bien bajando e instalando el parche
vulnerabilidad LSASS. que se adecue a su sistema operativo.

Importancia de la seguridad informática en las Empresas.

En la actualidad, estamos viviendo varios episodios de ciberataques a empresas.
Importantes organizaciones, tanto públicas como privadas, han sufrido estos ataques a
sus sistemas informáticos. Estos ciberataques no sólo afectan a clientes o inversores de
dichas compañías, sino que pueden llegar a afectar a la seguridad nacional o regional de
los distintos estados además de la propia empresa.

Si una empresa quiere ser competitiva en los tiempos que corren debe contar con
sistemas, recursos y plataformas TIC ágiles y con un alto nivel de disponibilidad, lo que
exige una gestión efectiva y un amplio proceso de transformación digital. El proceso de
transformación digital en el que están inmersas la mayoría de organizaciones y la
sociedad en general, permite que se puedan cometer ataques contra la seguridad
informática de las empresas desde cualquier parte del mundo utilizando como
herramienta tan solo un ordenador. Es por esto que las organizaciones tienen que prestar
especial atención a protegerse de posibles ataques eventuales ya que nadie está a salvo
de los malware.
26
 Conclusiones

En la actualidad, estamos viviendo varios episodios de ciberataques a empresas.

Importantes organizaciones, tanto públicas como privadas, han sufrido estos ataques a
sus sistemas informáticos. Estos ciberataques no sólo afectan a clientes o inversores de
dichas compañías, sino que pueden llegar a afectar a la seguridad nacional o regional de
los distintos estados además de la propia empresa.

Si una empresa quiere ser competitiva en los tiempos que corren debe contar con
sistemas, recursos y plataformas TIC ágiles y con un alto nivel de disponibilidad, lo que
exige una gestión efectiva y un amplio proceso de transformación digital. El proceso de
transformación digital en el que están inmersas la mayoría de organizaciones y la
sociedad en general, permite que se puedan cometer ataques contra la seguridad
informática de las empresas desde cualquier parte del mundo utilizando como
herramienta tan solo un ordenador. Es por esto que las organizaciones tienen que prestar
especial atención a protegerse de posibles ataques eventuales ya que nadie está a salvo
de los malware.

Cuando los sistemas informáticos de una organización reciben el ataque de un malware,

se inicia un proceso de recuperación por parte de los sistemas informáticos de la
organización muy difícil de conseguir. Es un proceso difícil ya que es muy complicado
investigar qué ha pasado realmente, cuáles son las causas de que ese ataque haya
podido penetrar en nuestros sistemas informáticos. Este ciberataque se puede investigar,
pero se debe invertir tiempo y dinero ya que supone muchos costes. Lo más aconsejable
para las organizaciones es reinstalar de nuevo todo y restaurar los ficheros críticos de la
copia de seguridad.

No obstante, si una organización ha tomado las medidas que describimos anteriormente

no tendría por qué recibir ningún ataque informático, aunque actualmente, ninguna
organización privada o pública se encuentra exenta de riesgos en su seguridad
informática.

27
 Bibliografía

 http://www.vsantivirus.com/cih-descr.htm
 https://www.infobae.com/america/tecno/2020/05/07/i-love-you-el-virus-informatico-
mas-famoso-de-la-historia-cumplio-20-anos/
 https://www.computerworld.es/economia-digital/code-red
 https://www.pandasecurity.com/es/security-info/40369/information/Blaster
 https://elpais.com/tecnologia/2003/08/20/actualidad/1061368082_850215.html
 https://www.ecured.cu/Virus_Slammer
 Borghello C. La historia sin fin: Virus Bagle. Recuperado 03 de mayo de 2021.
Obtenido de
http://www.eset-la.com/pdf/prensa/informe/historiasinfinvirusbagle.pdf.
 MASHEVSKY Y. The Bagle botnet. Recuperado 03 de mayo de 2021. Obtenido
de https://securelist.com/analysis/36046/the-bagle-botnet/.
 https://www.pandasecurity.com/es/security-info/44140/information/Mydoom.A/
 https://www.recoverylabs.com/ayuda-y-soporte/data-recovery-white-papers/
informes-de-investigacion/virus-mydoom/

28