Tarea 5.2 Investiga sobre estos nombres de código malicioso

• Bomba Lógica

Una bomba lógica es una parte de código insertada intencionalmente en un programa informático que permanece oculto hasta cumplirse una o más condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa. Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía (en un disparador de base de datos (trigger) que se dispare al cambiar la condición de trabajador activo del programador).

El software que es inherentemente malicioso, como virus o gusanos informáticos, frecuentemente contiene bombas lógicas que ejecutan algún programa en un tiempo predefinido o cuando cierta condición se cumple. Esta técnica puede ser usada por un virus o un gusano para ganar ímpetu y para esparcirse antes de ser notado. Muchos virus atacan sus sistemas huéspedes en fechas específicas, tales como un viernes 13, el April fools’ day (‘día de los tontos en abril’) o el Día de los Inocentes (28 de diciembre). Los troyanos que se activan en ciertas fechas son llamados frecuentemente «bombas de tiempo».

Para ser considerado una bomba lógica, la acción ejecutada debe ser indeseada y desconocida al usuario del software. Por ejemplo los programas demos, que desactivan cierta funcionalidad después de un tiempo prefijado, no son considerados como bombas lógicas.

- Algunos ejemplos de acciones que puede realizar una bomba lógica.

• Borrar información del disco duro
• Mostrar un mensaje
• Reproducir una canción
• Enviar un correo electrónico
• Apagar el monitor
• Abre tu Porta CD

Fuente de esta información y más: https://es.wikipedia.org/wiki/Bomba_l%C3%B3gica

• Joke

Un joke es un tipo de virus informático, cuyo objetivo es crear algún efecto molesto o humorístico como una broma. Es el tipo de malware que menos daño produce sobre el ordenador.

Los joke producen efectos muy variados:

• Hay una gran cantidad de jokes que hacen efectos sobre el cursor. Por ejemplo, tambalearlo o cambiar su icono cada pocos segundos.
• Otros juegan directamente con la imagen del monitor, haciéndola girar o dando un efecto de temblor.
• También hay algunos que abren y cierran constantemente la bandeja de CD o DVD, a la vez que muestran mensajes humorísticos en el monitor
• En ocasiones un joke puede producir efectos que al principio pueden asustar, colocando en el monitor una imagen en la que, por ejemplo, parezca que el ordenador ha sido totalmente formateado, con lo que reinicia, apaga o suspende el sistema (normalmente es apagado).
• En ocasiones pueden haber jokes que hagan aparecer en pantalla una pregunta con una única respuesta, y posteriormente mostrar un molesto mensaje por toda la pantalla.
• También los hay que hacen aparecer algún elemento molesto en la pantalla, como una mosca o una rana.
• Por último, encontramos jokes que hacen aparecer una cantidad exagerada de ventanas que el usuario se ve obligado a cerrar una a una
• Igualmente, se pueden crear jokes de cualquier tipo, todo depende de la imaginación de su creador.
• De interés: Cualquier joke puede ser cerrado con el Administrador de Tareas (Windows) o el Monitor del Sistema (Linux-Gnome).

Fuente: https://es.wikipedia.org/wiki/Virus_joke

• Hoax

Un Hoax (del inglés: engaño, bulo) es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena. Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse millonario o crean cadenas de la suerte como las que existen por correo postal. Los objetivos que persigue quien inicia un hoax son: alimentar su ego, captar direcciones de correo y saturar la red o los servidores de correo.

Frecuentemente, circulan por Internet falsos mensajes de alerta sobre virus, conocidos como Hoaxes o bulos. Su finalidad es generar alarma y confusión entre los usuarios.

Fuente y más información: http://www.segu-info.com.ar/malware/hoax.htm

• Keylogger

Un keylogger (derivado del inglés: key ('tecla') y logger ('registrador'); 'registrador de teclas') es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet.

Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático on gusano informático. Incluso puede alterar las búsquedas en Google, creando búsquedas inexistentes y otras páginas adicionales. Se suele descargar comprimido para eludir antivirus. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran screenshots (capturas de pantalla) al realizarse un clic, que anulan la seguridad de esta medida. La mejor medida de esto es formatear la PC..

- Protección

En algunas computadoras podemos darnos cuenta si están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrará cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un keylogger se ejecuta sobre nuestro computador.

Otro signo de que un keylogger se está ejecutando en nuestro computador es el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas.

Anti-spyware

Los programas Anti-spyware  pueden detectar diversos keyloggers y limpiarlos. Vendedores responsables de supervisar la detección del software apoyan la detección de keyloggers, así previniendo el abuso del software.

Firewall

Habilitar un cortafuegos o firewall puede salvar el sistema del usuario no solo del ataque de keyloggers, sino que también puede prevenir la descarga de archivos sospechosos, troyanos, virus, y otros tipos de malware.

Monitores de red

Los monitores de red (llamados también cortafuegos inversos) se pueden utilizar para alertar al usuario cuando el keylogger use una conexión de red. Esto da al usuario la posibilidad de evitar que el keylogger envíe la información obtenida a terceros.

Software anti-keylogging

El software para la detección de keyloggers está también disponible. Este tipo de software graba una lista de todos los keyloggers conocidos. Los usuarios legítimos del PC pueden entonces hacer, periódicamente, una exploración de esta lista, y el software busca los artículos de la lista en el disco duro. Una desventaja de este procedimiento es que protege solamente contra los keyloggers listados, siendo vulnerable a los keyloggers desconocidos o relativamente nuevos.

 Fuente y más información: https://es.wikipedia.org/wiki/Keylogger

• Clicker

El clickjacking, o secuestro de clic, es una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su computadora cuando hacen clic en páginas web aparentemente inocentes . En uno de los muchos navegadores o plataformas con alguna vulnerabilidad, un ataque de clickjacking puede tomar la forma de código embebido o script que se ejecuta sin el conocimiento del usuario; por ejemplo, aparentando ser un botón para realizar otra función.

La directiva de la Unión Europea de 2011 sobre privacidad, conocida como ley de cookies, obliga a los sitios que almacenan datos sobre sus visitantes a incluir una advertencia. Recientemente, se ha comprobado el ataque a sitios web que consiste en modificar la advertencia incluida en el sitio para que su clic sea desviado abriendo un sitio web diferente. Los ataques detectados incluyen publicidad no visible dentro del aviso de privacidad. Al hacer clic en cualquier parte del aviso aparece la página del sitio publicitado.

Fuente: https://es.wikipedia.org/wiki/Clickjacking

• Ransomware

Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Normalmente un ransomware se transmite tanto como un troyano como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará y cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

Tipos de Ransomware: Reveton, CryptoLocker, CryptoLocker.F y TorrentLocker, CryptoWall, Mamba, TeslaCrypt

Esta información más la definición de cada tipo que hay de Ransomware aquí: https://es.wikipedia.org/wiki/Ransomware

• Downloader

Es un tipo de troyano que tiene como principal función la de descargar otros archivos maliciosos. Esta clase de amenazas no hace algún daño en sí, sino que descarga otros archivos maliciosos para el ordenador. El troyano se encarga, no solo de descargar el/los archivos, sino también de ejecutarlos o preparar la máquina para su ejecución automática al inicio.

Fuente: https://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)

• Rootkit

Un rootkit permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa root, que significa 'raíz' (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa kit, que significa 'conjunto de herramientas' (en referencia a los componentes de software que implementan este programa). El término rootkit tiene connotaciones peyorativas ya que se lo asocia al malware.

En otras palabras, usualmente se lo asocia con malware, que se esconde a sí mismo y a otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden ser GNU/Linux, Solaris o Microsoft Windows para remotamente comandar acciones o extraer información sensible.

Típicamente, un atacante instala un rootkit en una computadora después de primero haber obtenido un acceso al nivel raíz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contraseña (ya sea por crackeo de la encriptación o por ingeniería social). Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización. Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las computadoras o que roban contraseñas sin el conocimiento de los administradores y de los usuarios de los sistemas afectados. Los rootkits pueden estar dirigidos al firmware, al hipervisor, al núcleo, ó , más comúnmente, a los programas del usuario.

La detección del rootkit es complicada pues es capaz de corromper al programa que debería detectarlo. Los métodos de detección incluyen utilizar un sistema operativo alternativo confiable; métodos de base conductual; controles de firma, controles de diferencias y análisis de volcado de memoria. La eliminación del rootkit puede ser complicada o prácticamente imposible, especialmente en los casos en que el rootkit reside en el núcleo; siendo a veces la reinstalación del sistema operativo el único método posible que hay para solucionar el problema.

Algunas versiones españolas de programas lo han traducido como « Encubridor».

Ejemplos

Algunos troyanos han utilizado estos rootkits no-persistentes (FU Rootkits) que cargan en la memoria una vez que ellos se encuentran instalados:

• SuckIT
• Adore
• T0rn
• Ambient's Rootkit (ARK)
• Hacker Defender
• First 4 Internet XCP (Extended Copy Protection) DRM
• RkU Test Rootkit & Unreal
• Rootkit de núcleo : UACd (Agrega un driver de muy bajo nivel llamado UACd.sys)
• Rootkits de Macintosh

Fuente: https://es.wikipedia.org/wiki/Rootkit

• Browser Hijack

Secuestro del navegador es una forma de software no deseado que modifica un navegador de configuración 's sin el permiso del usuario, para inyectar la publicidad no deseada en el navegador del usuario. Un secuestrador del navegador puede sustituir a la existente página de inicio , página de error, o de búsqueda con su propio. Estos se utilizan generalmente para forzar los accesos a un determinado sitio web , aumentando su publicidad los ingresos.

Algunos secuestradores de navegador también contienen software espía , por ejemplo, algunos instalar un keylogger software para recopilar información como la banca y correo electrónico los detalles de autenticación. Algunos secuestradores de navegador también puede dañar el registro en los sistemas Windows , a menudo de forma permanente.

Algunos secuestro del navegador puede invertirse fácilmente, mientras que otros casos pueden ser difíciles de revertir. Existen varios paquetes de software para evitar que dicha modificación.

Programas de secuestro Muchos navegador se incluyen en los paquetes de software que el usuario no eligió, y se incluyen como "ofertas" en el instalador para otro programa, a menudo incluidos, sin instrucciones de desinstalación, oa la documentación de lo que hacen, y se presentan de una manera que está diseñado para ser confuso para el usuario medio, con el fin de engañarlos para que la instalación de software adicional no deseado.

Hay varios programas de secuestrador del navegador puede entrar como adjuntos de correo electrónico, descargas de torrente y con cualquier archivo suspiciocus por lo que debe downlads archivos de fuente de confianza.

Fuente: https://en.wikipedia.org/wiki/Browser_hijacking

• Diales

Se trata de un programa que marca un número de teléfono de tarificación especial usando el módem, estos NTA son números cuyo coste es superior al de una llamada nacional.

Estos marcadores se suelen descargar tanto con autorización del usuario (utilizando pop-ups poco claros) como automáticamente. Además pueden ser programas ejecutables o ActiveX.

En principio sus efectos sólo se muestran en usuarios con acceso a la Red Telefónica Básica (RTB) o Red Digital de Servicios Integrados (RDSI) puesto que se establece la comunicación de manera transparente para el usuario con el consiguiente daño económico para el mismo. Aunque la tarificación no funcione con los usuarios de PLC, Cablemódem, etc. afecta al comportamiento del ordenador ya que requiere un uso de recursos que se agudiza cuando se está infectado por más de un dialer.

Los marcadores telefónicos son legítimos siempre y cuando no incurran en las malas artes que los han definido como Malware que son los siguientes trucos:

No se avisa de su instalación en la página que lo suministra.

Hace una reconexión a Internet sin previo aviso, o lo intenta.

Se instala silenciosamente en el ordenador utilizando vulnerabilidades del navegador, programa de correo electrónico (email), otros programas de acceso a Internet o el propio sistema operativo.

Puede dejar un acceso directo al escritorio sin conocimiento del usuario.

Puede instalarse unido a otros programas como barras de mejora para el navegador.

No informa de los costes de conexión.

Afortunadamente hay muchos programas que pueden detectar y eliminar los dialers, entre ellos las mayoría de los antivirus actuales, sin olvidar los programas gratuitos que podemos encontrar en los enlaces que hay en esta misma página. Podemos decir que hoy en día la tecnología nos brinda la posibilidad de que en las llamadas salientes dejemos de trabajar con planillas de excel y tengamos un sistema informático que pueda pedir las llamadas de a una. El discador predictivo permite automatizar el proceso de discado y búsqueda de un contacto de forma de asignarlo a un agente una vez que la comunicación se establece. A través del discador predictivo se puede realizar el manejo del flujo de contactos en una campaña de tres maneras, que serían : PREVIEW. Donde el agente solicita un nuevo contacto presionando una tecla o botón y se le envía al agente la información del contacto y el agente realiza la llamada y registra el resultado de la misma. PROGRESIVO. Aquí el gestor de campañas reserva a un agente y comienza a llamar de a uno a los contactos disponibles en la campaña y cada vez que realiza un contacto real transfiere la llamada al operador reservado. PREDICTIVO. Eldiscador predictivo estudia como se van dando las llamadas y cuando a nivel estadístico tiene la certidumbre que un operador ,por ejemplo, se liberará en cinco segundos, empieza a realizar la llamada antes de que alguien se libere. Si por algún motivo la llamada se logra y aún no hay nadie libre, lo pone en espera con música o información grabada y muy probablemente antes de cinco segundos habrá un operador libre para atenderla.

Fuente y más información: https://es.wikipedia.org/wiki/Dialer

• Dropper

Un dropper es un programa (componente de malware) que se ha diseñado para "instalar" algún tipo de malware (virus, backdoors, etc.) a un sistema de destino. El código malicioso puede ser contenido dentro del dropper (una sola etapa) en ya disponible como una manera de evitar ser detectados por los programas antivirus o el dropper se puede descargar el programa viral en la máquina de destino una vez activado (en dos etapas). Puede dañar tu equipo si no lo eliminas. El virus dropper puede ser utilizado para robarte tu identidad o para dañar el rendimiento de tu PC.

Fuente: https://es.wikipedia.org/wiki/Dropper_(malware)

• PWStealer

Stealer (en español "ladrón de información") es el nombre genérico de programas informáticos maliciosos del tipo troyano, que se introducen a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito.

Roban información privada, pero sólo la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas, desencriptan esa información y la envían al creador.

Infostealer puede afectar también al servicio de correo electrónico MSN Messengerl  , enviando mensajes falsos e incluso introduciendo en ellos datos incluidos por los usuarios en sus mensajes a través de dicho servicio.

Otro problema causado por stealer puede ser la desconexión involuntaria de un sitio web.

Estos programas pueden detectarse y eliminarse mediante software antivirus, aunque la mejor forma de evitarlos consiste en no abrir documentos anexos a correos electrónicos enviados por remitentes desconocidos o dudosos.

Fuente: https://es.wikipedia.org/wiki/Stealer_(inform%C3%A1tica)