Una importantísima colaboración de José E. Anaya Peguero

En el artículo que reproducimos a continuación -de antemano, el autor -en relación a la heurística de los antivirus- aclara: "No se trata de una crítica a la herramienta, sino de ilustrar por qué no ha de depositarse una confianza ciega en un recurso tan valioso, sin la menor duda, como insuficiente."

También de una manera amena y concreta, opina que la heurística "es un concepto que cada casa de software aborda según su leal saber y entender, lo que significa que hay de heurística a heurística. Cada hijo se parece a su propio padre, aunque todos seamos hijos de alguien." De la mano de su autor podremos "explorar algunas de las causas por las que la heurística "falla". Este artículo es un fragmento de un libro que José Anaya está escribiendo cuidadosamente, como todo lo que él emprende. No importa cuánto tiempo se lleve en escribirlo, el mundo de los especialistas en seguridad informática y un servidor, esperamos con ansiedad la publicación de dicha obra.
Hoy nos congratulamos de publicar este fragmento -de lo que sin duda será una obra valiosa- con su debida autorización.

--------------------------

POR QUÉ FALLA LA HEURÍSTICA DE LOS ANTIVIRUS

José E. Anaya Pedrero

Por qué falla la heurística

Una buena dosis de la confianza que se deposita en los antivirus que recurren a la heurística como arma contra las amenazas nuevas y desconocidas, radica en la idea que se trata de un instrumento infalible. La última solución contra el malware. Pero la realidad es que, incluso productos que de origen se basaron 100% en tecnología heurística, hoy ya no existen. Aquí algunas de las evidencias que muestran que, tan buena como pueda ser, la heurística tiene sus limitaciones.

¿Cuál heurística?

No existe tal cosa como un algoritmo heurístico universal. Puede haber algo parecido a una convergencia conceptual: más o menos todos los antivirus –con la notable excepción de uno de los más prestigiados productos- cuentan con recursos heurísticos; y más o menos hay un consenso en cuánto a en qué consiste. Digamos que básicamente se trata de herramientas que evalúan el comportamiento de una pieza de software para establecer si se trata de un ente malintencionado, ello en lugar de pretender identificar el malware por nombre y apellido. El problema es que cada fabricante tiene su propia forma de implementar la técnica y en ese terreno, hay de todos colores y sabores. Es decir, cada producto tiene su propia heurística y las diferencias son amplias y dramáticas. No es posible comparar la heurística de los productos con base en su código, ya que, además, se trata de secretos industriales. Como consecuencia de las diferencias en la implementación, resulta claro que cada enfoque tiene sus puntos fuertes, pero también sus debilidades, que le son imputables solo a cada producto en lo particular.

El factor especulativo

Como técnica de inteligencia artificial, hay un cierto margen de error derivado de una conclusión incorrecta respecto al análisis de una pieza de software sospechosa. Ningún producto está exento de esta posibilidad. Hay numerosas intrusiones que basan su asalto en diversos módulos separados: unos se ocupan de la instalación, otros de las comunicaciones, otros más de borrar las huellas y aun otros se ocupan de los daños a causar. Varios de esos módulos pueden ser pasados por alto porque no contienen código evidentemente malicioso, lo cual basta para la reinfección. Más grave aun es el hecho de que programas inofensivos pueden ser bloqueados o eliminados a causa de una inferencia equivocada.

Eficiencia

La sofisticación tiene un precio y se llama eficiencia. Una cosa es examinar ciertos puntos de entrada en un programa, y otra muy diferente es practicar una autopsia completa en busca de algo que acaso no esté presente en el código objeto. Y ya que éste tipo de análisis ocurre a menudo en paralelo con el proceso normal, en máquinas virtuales, cabe la posibilidad de que el impacto en el desempeño del sistema sea sensible. En ese escenario, no solo podría haber margen para la ejecución simultánea de distintos componentes del malware, sino que algunos usuarios y administradores de sistemas desactivan parcial o totalmente el recurso heurístico para ganar eficiencia a costa de la seguridad.

Todas las armas cuentan

Ni la mejor heurística es un cortafuegos. La tecnología heurística debe ser contemplada como una línea de defensa, no como la solución total ante las intrusiones. Por ello han desaparecido las soluciones basadas exclusivamente en heurística. Los ataques a los puertos, la navegación inducida, los fraudes al usuario, la publicidad no solicitada, son solo algunos ejemplos de actividad nociva que no puede ser analizada por la heurística porque su misión es evaluar el comportamiento de los programas, y solo de aquellos programas que se ejecutan en el sistema en que se encuentran instalados. Los programas que se ejecutan en las antípodas pueden ser contenidos, a veces, pero no por vía de la heurística. Por ello es preciso contar con tecnologías alternas, incluyendo la tradicional identificación por firmas o huellas digitales, los cortafuegos, los antispam, el antiphishing, etc.

Evolución del malware

Día a día aparecen nuevos campos de cultivo para el malware. Cada nueva aplicación con capacidades de automatización de procesos, llámense scripts, lenguajes de programación, macros, APIs o lo que se prefiera, constituye una oportunidad para que alguien con el suficiente ingenio discurra cómo aprovechar la nueva facilidad con fines aviesos. Las técnicas heurísticas deben adaptarse a las nuevas tecnologías del malware, porque no hay forma de analizar una pieza de software sin conocer el mecanismo de ejecución subyacente. Baste recordar el desastre que causaron los macrovirus de Word Basic cuando aparecieron: ninguna herramienta antivirus estaba preparada para analizar o siquiera verificar una macro de Word porque se trataba de un entorno absolutamente distinto de las estructuras de un ejecutable estandar de DOS o Windows. Los antivirus deben evolucionar al paso del malware, a menudo al precio de modificar el propio antivirus. Por ello no resulta extraño que ciertos productos que solo se revisan en forma anual deban suplir sus limitaciones a base de parches y soluciones "especiales", cuando sería más práctico ajustar los motores de rastreo así sea a mitad del año.

Solo para empezar

Lo dicho hasta aquí puede ser representativo de las causas más frecuentes de "fallas" en los resultados de la heurística, pero no hay duda de que existen muchas otras causas condicionantes de la eficacia de la herramienta, mismas que aplican a cualquier tecnología y a todos los productos.

-------------------------------------------------------------------------

VIRUS NUEVOS:

Alerta-Antivirus
Centro de Alerta Temprana sobre Virus y Seguridad Informática

ENCICLOPEDIA VIRUS
virus informáticos A-Z

Hispasec Sistemas
Seguridad y Tecnologías de la Información

SEGU-INFO
SEGURIDAD DE LA INFORMACIÓN

ZONAVIRUS
elimina virus, troyanos, spyware, adware

ANTIVIRUS IN MEMORIAM (Tercera Parte)

Un apartado especial merece un gran profesional -actuario matemático- de la seguridad informática -uno de los que tienen más tiempo y experiencia en el mercado de los antivirus-, que me ha honrado en mucho con su amistad y gran generosidad, me refiero a:

Francisco Ramos O'Reilly, Director General de Microasist, S.A. de C.V.
Él fue representante (Partner, Reseller, etc.) de ThunderByte en México, durante todo el tiempo que este antivirus estuvo en el mercado. Actualmente es el representante oficial de F-Secure en México y su empresa ofrece -además- toda una gama de productos y servicios de seguridad en los sistemas, contemplando los distintos enfoques y aristas que pudieran presentarse.

Siempre recordaré con mucho cariño el tiempo en que colaboré escribiendo al lado de su magnífico equipo de trabajo, algunos artículos breves. Su sección de noticias es de gran calidad; de hecho, han sido reproducidas -por ello- en el portal T1MSN y a muchas personas les han servido para empezar a entender de manera precisa muchos de los acontecimientos del mundo de la seguridad informática y los virus informáticos.

Algunos de mis artículos:
Puertas traseras o Backdoors
Ingeniería Social
¿Qué son los cortafuegos personales?
¿Qué son los 'honeypots'?
Cómo se elabora una buena contraseña
Heurística antivirus
El Futuro de los AntiVirus
Los Virus en Asistentes Digitales Personales (PDAs)
Virus Informáticos y Virus Biológicos
Virus y Troyanos

Aunque -como ya habrá notado el lector- fueron publicados como CUADERNOS TÉCNICOS en el Centro de Alerta Temprana sobre Virus y Seguridad Informática (que en esa época pertenecía directamente al Ministerio de Ciencia y Tecnología del Gobierno de España, actualmente desincorporado del mismo), primero fueron publicados en la sección de noticias de Microasist.

Esto, representa no solamente un reconocimiento a mi persona. También se logró gracias a la generosidad de Francisco Ramos y Microasist al invitarme a colaborar en su página, en gran medida esto me abrió varias puertas (dar conferencias en ITESM, la UNAM, ASIS International Capítulo México y B-Secure, donde me invitaron motivados por estos trabajos y algunos otros publicados en VIRUSPROT, VIRUS ATTACK, Segu-Info, VSANTIVIRUS, ZONAVIRUS y naturalmente EMPRENDEDORAS, etc.)

La liga http://www.xs4all.nl/~harisha/frans/english/tbav.htm#industry en relación a ThunderByte, me fue proporcionada por el que fue su manager en México, Francisco Ramos.

En estos días publicaré primero la transcripción del contenido de este link -antes de que a algún gracioso se le ocurra desaparecerla- y posteriormente su traducción con algunas notas y observaciones.

Concluyo aclarando que no tengo predilección por empresa alguna de antivirus. Publico en la medida en que tengo información -en ocasiones solicitada directamente a las mismas- y la organizo, procurando difundir lo bueno de cada una de ellas. Lo malo lo sabrán sus clientes en la medida en que les fallen o no cumplan sus expectativas. Por ello recomiendo probar los antivirus, antes de decidirse a adquirirlos como producto y también como servicio.

En época de elecciones... Michael Jackson (malware)

LA MUERTE DE MICHAEL JACKSON UTILIZADA POR MALWARE
¿Cómo fue que ganó el negrito sandía en los EEUU?
¿Por qué perdió John McCain?
... de interés quizá solamente para los mexicanos:
LAS ELECCIONES DEL 2009 EN MÉXICO

(¡El tamaño del rencor de una persona es el tamaño de su miseria como persona!... Y más aún cuando cree en Dios o en algo más)
"...PERDONA NUESTRAS OFENSAS ASÍ COMO TAMBIÉN NOSOTROS PERDONAMOS A LOS QUE NOS OFENDEN..."
¿Se les hacen conocidos?... A los políticos sin escrúpulos y a sus asesores NO.


En todo lo que va de junio -de acuerdo con la Alerta Temprana sobre Virus y Seguridad Informática-, que ya está por terminar, solamente un código malicioso (WORM_BLAZEBOT.A [Trend Micro]) de peligrosidad media, ninguno de peligrosidad alta o extrema. Puros de peligrosidad mínima o baja.
Pareciera que en el universo de los creadores de malware, la "caballada" -últimamente anda muy flaca-, pero no es así. Sergio de los Santos de Hispasec, afirma que "los troyanos actuales son cada vez más peligrosos, por lo que los ataques resultan más devastadores". Nos dice algo interesantísimo -en lo cual invito a mis amables y muy apreciados lectores, a reflexionar y subir sus comentarios-, a saber:
"En virustotal.com recibimos 30000 archivos diarios para que sean comprobados por 33 motores antivirus distintos. De esos, unos 15000 son realmente malware, o al menos es detectado por los antivirus. Las casas antivirus están teniendo serios problemas para asimilar la avalancha de malware que se produce hoy en día. Tanto en cantidad como por calidad. Si hace cinco años se conocían 70000 muestras de virus, hoy en día pasa del millón y medio. Han tenido que investigar mucho más en los últimos cuatro años que en los 15 anteriores. Los niveles de detección son aceptables todavía, pero a costa de muchos falsos positivos (detección heurística paranoide) que hace que la sensación del usuario usando el antivirus no sea la más adecuada.
De los 15000 positivos que recibimos diariamente, el 30 por ciento de ellos pertenecen a los llamados troyanos bancarios. Estos son sin duda los más peligrosos. Existe toda una industria del malware dedicada a crear este tipo de troyanos, que roba las contraseñas de la banca online. En estos casos el daño del troyano al infectado es real, pues puede, literalmente, robarle del banco, realizando transferencias a otras cuentas una vez que ha obtenido las contraseñas adecuadas que utiliza el usuario para operar online.
...Hoy en día sólo se tienen intereses económicos. Poco queda de la época romántica (anterior a 2004) en la que se creaban virus por ego, investigación... prácticamente sólo queda el interés comercial, el robo y el lucro. No hay interés en crear malware que no sea para un fin económico concreto. La gran mayoría se decanta por el “adware” (mostrar publicidad no deseada) y el resto al robo de información sensible del sistema. Lo hacen mafias organizadas específicamente dedicadas a la creación en masa de malware, de manera que funcionan como cualquier otra empresa (clandestina)."
Y en relación a qué tipo de empresas son las que más se hackean, menciona:
"En general les sirve cualquiera. Les interesa más los recursos de ese sistema (la capacidad del ordenador del que puedan obtener el control) que los datos en sí. Los datos los obtienen de forma mucho más sencilla de los sistemas de los usuarios. No es necesario asaltar un servidor muy protegido de un banco, cuando puedes robar los datos directamente de los usuarios. Para ellos, prácticamente, es como robar un caramelo a un niño."
Recomienda:
"No usar la cuenta de administrador en Windows. Usar la cuenta de un usuario sin privilegios.
- Actualizar el sistema. No sólo Windows, sino todos los programas que tengamos instalados.
- Mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red.
Estos tres consejos anteriores, sin lugar a dudas, son los más importantes. Por desgracia no son los que se dan habitualmente en los medios no especializados. Además:
- Utilizar un antivirus actualizado a diario. No confiar en él totalmente.
- Utilizar un antispyware y cortafuegos. Informarse sobre su uso en lo posible. Si no se saben manejar, se vuelven inútiles."
Y para todos aquellos que gusten de la prospectiva y deseen reflexionar sobre posibles escenarios, uno de los "futuribles" a considerar, bien puede girar alrededor de lo que este autor pronostica -más no necesariamente prospecta- al hablar -sin caracterizar con cuidado el corto mediano y largo plazo, lo cual no es tan sencillo de plantearse- del futuro del malware, cuando le preguntan hacia dónde se dirige el futuro del sector (de los creadores de malware desafiando a la seguridad -o mejor dicho inseguridad informática- y a todos los usuarios de la gran red de redes).
Responde:
"Hacia troyanos cada vez más específicos, peligrosos y complicados de analizar. Últimamente utilizan cada vez técnicas más complejas para impedir que sean estudiados por empresas como Hispasec, ofuscando y complicando el código para que pasen desapercibidos la mayor cantidad de tiempo posible. Con respecto a los ataques, están cada vez más automatizados, tienen mayor efectividad y resultan más devastadores."
Fred Cohen - "el padre de los virus"-en su tesis doctoral dilucidaba en el caso específico de los virus la inexistencia de un algoritmo general para deshacerse de una vez por todas de ellos
Imagínense, si por su mente hubiese pasado con claridad todas las linduras que actualmente se nos presentan dejando atrás la sola amenaza de los virus informáticos-en el sentido original de la palabra- ; esto es, troyanos, intrusiones, correos engaños con "premio" y toda clase de "cibergamberradas". Prospectar sobre el futuro del malware, pasa necesariamente por toda una evaluación crítica del futuro de la heurística, la criptografía y la mejor estrategia para suministrarles una educación y una ética profunda a casi todos los usuarios de Internet.
No son "enchiladas" (¡enchílame otras dos a la veracruzana con mole verde!), establecer un buen juego de actores que intervengan en el underground en su faceta malévola con genuina alma de esquiroles y, todos aquellos que deseen contrarrestarlos o defender a todas sus posibles víctimas, para después hablar de buenos escenarios (serios, no los que salgan de un consumo excesivo de mariguana o cualquier otra droga), plantear "futuribles" y "futurables" que conlleven a realizar construcciones dinámicas para enfrentar ese futuro al que todos llegaremos algún día (¡eso espero! o por lo menos lo que quede de la humanidad en el futuro), que no es destino ni porvenir, sino devenir. Esto es, la acción humana configura el futuro al que habremos de llegar, y este es múltiple sin ser un juego de poker, sino el más fino, frío y siniestro ajedrez donde todas las jugadas son importantes.



VIRUS NUEVOS:

Slegon (Peligrosidad: 1 - Mínima). Reportado por: Symantec
W32.Slegon [Symantec]
Gusano que descarga ficheros de servidores web y se propaga a través de dispositivos extraíbles.
29/06/2009.

Blazebot (Peligrosidad: 3 - Media). Reportado por: Trend Micro
WORM_BLAZEBOT.A [Trend Micro]

Gusano que se propaga por redes de compartición de archivos P2P, utilizando nombres de conocidas aplicaciones. Una vez que infecta un ordenador, realiza gran cantidad de modificaciones en el registro de Windows, entre ellas para impedir la restauración del sistema e imposibilitar el acceso al Editor del Registro y al Intérprete de Comandos.

29/06/2009.

Koobface.JG (Peligrosidad: 1 - Mínima). Reportado por Trend Micro
WORM_KOOBFACE.JG [Trend Micro]
Gusano que descarga e instala otro código malicioso y se propaga a través de Twitter.
29/06/2009.

RealBot (Peligrosidad: 1 - Mínima). Reportado por Sophos
W32/RealBot-A [Sophos]
Gusano con la capacidad de actuar como puerta trasera que se ejecuta continuamente en segundo plano a la espera de recibir ordenes a través de canales IRC.
28/06/2009.

Magania.BIPG (Peligrosidad: 1 - Mínima). Reportado por Quick Heal
TrojanGameThief.Magania.bipg [Quick Heal]
Gusano que trata de robar información sensible en el equipo infectado.
28/06/2009.

Un poco de heurística de los antivirus

Análisis Heurístico: detectando malware desconocido
Autores: David Harley, Security Author and Consultant
Andrew Lee, Chief Research Officer de ESET
Fecha: Martes 27 de marzo del 2007

Introducción a la heurística avanzada de ESET NOD32
Antivirus

Heurísticas primitivas (antivirus) - 25 de enero de 2007

Heurísticas antivirus inteligentes - 25 de marzo de 2007

N O D 3 2 Expert Antivirus System

Virus Bulletin: Reflexiones sobre detección heurística

¿EL ANTIVIRUS QUE UTILIZO ME PROTEGE? (Juan Carlos Zampatti Maida)

Mitos y verdades en la seguridad de los antivirus
VSantivirus No. 732 - Año 6 - Martes 9 de julio de 2002
Por Marcos Rico

Eset NOD32 y otros antivirus
Enero 29, 2007

Malware y Técnicas Proactivas en el Punto de Trabajo
Ignacio M. Sbampato
Vicepresidente para Latinoamérica
ESET LLC

Heurística en la detección de amenazas

Ignacio Sbampato y Lic.. Cristian Borghello
Eset Latiinoamérica

PROTECCIÓN ANTE LA INCERTIDUMBRE
TECNOLOGÍA PROACTIVA B-HAVE DE BITDEFENDER PARA LUCHAR FRENTE A MÚLTIPLES AMENAZAS

Kaspersky Lab patenta la tecnología de análisis heurístico
[ 26/06/2009 - 08:15 CET ]
Kaspersky Lab anunció que se ha hecho acreedor a una nueva patente (Patente No. 7 530 106) para la tecnología de análisis heurístico en los Estados Unidos.

Heurística en los antivirus (Información proveniente de ESET).

Por último, algo que publiqué hace algunos años en la página de Microasist, empresa al mando de mi buen amigo Francisco Ramos, que cuenta también con todo un equipo bastante conocedor en materia de seguridad de los sistemas. Posteriormente, fue publicado en VIRUSPROT y en la Alerta Internacional sobre Virus y Seguridad Informática.
Meditaré en esos días, algo nuevo y contundente para opinar sobre heurística, haciéndolo verdaderamente con propiedad.

Heurística de los Antivirus

Por Arnoldo Moreno Pérez

Las técnicas heurísticas nacen de la necesidad de una “detección genérica” de los virus informáticos. Se llama detección genérica a la posibilidad de detectar “cualquier virus” aún sin haberlo analizado antes y sin estar en la base de datos del antivirus que se esté considerando. Esto pareciera que carece de sentido pero es tan simple como buscar “instrucciones comunes” de los virus para advertir de la posibilidad de que un archivo o programa esté infectado.

Cuando analizamos las primeras instrucciones de cualquier archivo, veremos instrucciones para detectar los parámetros de la línea de comandos, borrar la pantalla, llamar a alguna función, ejecutar alguna macro, etc.. No obstante tratándose de un virus suelen ser otras bien diferentes como activar el cuerpo del virus o buscar más archivos para intentar implantarles su código.

La experiencia es sin duda lo que lleva a una persona a reconocer algo infectado de algo limpio en cuestión de segundos. Esa “experiencia” se ha pretendido introducir en los programas antivirus bajo el nombre de “heurística”.

El funcionamiento de la heurística es sencillo, primero se analiza cada programa sospechoso sin ejecutar las instrucciones, lo que hace es desensamblar o "descompilar" el código de máquina para deducir que haría el programa si se ejecutara. Avisando que el programa tiene instrucciones para hacer algo que es raro en un programa normal, pero que es común en un virus.

Sin duda el principal problema de las técnicas heurísticas ha sido los falsos positivos. A pesar de que se han mejorado mucho en los últimos años, siguen sin conseguir demasiada efectividad (aunque hay algunas excepciones). El problema más que en la calidad de la rutina heurística está en la interpretación que el usuario realice de ese aviso heurístico. Si es poco experimentado estará constantemente mandando muestras a su casa de antivirus ya que “el antivirus le dijo que podía tener un virus”.

Entendiendo la Heurística como un indicador de probabilidad de contagio, esto nos lleva a considerarla como un sistema de detección mejorada que al incluirla los antivirus nos permite establecer un sistema de alerta y de prevención ante la aparición de mutaciones de virus o de nuevos virus.

Esta técnica permite "barrer" diferentes tipos de códigos dentro de los archivos, que sean susceptibles de ser malignos. Códigos que son genéricos dentro de los archivos maliciosos y que siempre suelen ser parecidos. O por lo menos respetar parte de las cadenas de comandos que activan los virus.

Pero ¿cómo opera un antivirus? Los virus tienen patrones de códigos que son como sus "huellas digitales". Los software antivirus buscan estos patrones, pero sólo de los que tienen almacenados en su lista (por esto la actualización es tan importante). Estos productos también pueden valerse de la heurística, es decir, analizan los archivos para detectar comportamientos similares a los de los virus.

Cada día crece el número de nuevos virus y la alternativa para poder neutralizarlos, sin haber programado antes el antivirus para su reconocimiento, es la denominada “búsqueda heurística”. A través de ella, el programa antivirus analiza el código de los programas buscando instrucciones, acciones sospechosas o indicios que delaten la presencia de virus en la computadora, de acuerdo a los patrones habituales empleados por los códigos maliciosos.

El método Heurístico es una tecnología de programación que dentro de sus rutinas de detección de especies virales, incluye las cadenas clásicas que son similares, parecidas o afines a virus auténticos. El método heurístico, si no está bien programado, es susceptible de incurrir en resultados falsos positivos o negativos. Además, al encontrar un virus desconocido, variante de otro existente, el antivirus que emplea este método de búsqueda no podrá eliminar eficientemente el virus y mucho menos reparar el archivo o área afectada.

Para que un antivirus detecte y elimine eficientemente a un virus así como también repare los daños ocasionados, debe incluir en la base de datos de sus rutinas de detección y eliminación el exacto micro código viral de esa especie. Sin embargo la técnica de búsqueda heurística de virus por "familias" es una forma eficiente de detectar a especies virales que pertenecen a una misma familia, aunque no es un método absolutamente exacto o eficiente.

-------------------------------------------------------

Finalmente recuerdo con mucho cariño, el que fue llamado Primer ciberchat en español sobre virus, con los comentarios de todo un gran profesional, José Luis López de VSANTIVIRUS (de gloriosa historia) y representante de ESET en Uruguay

Buscaré retomar las preguntas y respuestas dada, para darles mejor respuesta y detallarlas en este blog, actualizando algunas cosas.

Algunos artículos curiosos o interesantes

Elementos teórico-prácticos útiles para conocer los virus informáticos
Lic. Ramón Orlando Bello Hernández y Ms C. Ileana R. Alfonso Sánchez
ACIMED v.11 n.5 Ciudad de La Habana sep.-oct. 2003
ISSN 1024-9435 versión impresa

¿Qué es un virus informático?


Fuente de “Cómo han surgido los virus...” : Enciclopedia Encarta
[© 2000 - Enrique A. Quagliano]
www.recursos-pc.com.ar

Inseguridad informática: Un concepto dual en seguridad informática
Jeimy J. Cano, Ph.D
Profesor de Cátedra de la Facultad de Derecho y del Departamento de Sistemas y
Computación de la Universidad de los Andes, donde se concentra en los temas de
Seguridad Informática, Computación Forense y Evidencia Digital.
Coordinador Académico de la IV Jornada Nacional de Seguridad Informática – ACIS
2004. Mayor información: http://www.acis.org.co. Contacto: jcano@uniandes.edu.co

¿Expertos, Especialistas o Profesionales en inseguridad informática?
Por Jeimy J. Cano, Ph.D, CFE. Profesor- Investigador. GECTI. Universidad de los Andes

Solución a la inseguridad informática
Autor: Manuel Gimeno. Vicepresidente de Safelayer Secure Communications y director económico-financiero de la Fundación Auna (18/08/2003)

SEGURIDAD INFORMÁTICA. Leyes sobre seguridad informática.
Lic. Francisco Javier Uriona Herbas
CICLO DE CONFRENCIAS Y MESAS REDONDAS
Cochabamba, Noviembre de 2008

Inseguridad Informática y Computación Anti-forense: Dos Conceptos Emergentes en Seguridad de la Información
Por Jeimy J. Cano, Ph.D., CFE
Copyright © 2007 ISACA. All rights reserved. www.isaca.org.

Analfabetismo digital y sus implicaciones en la Seguridad Informática
J. Lizama-Mendoza (Facultad de Ciencias Políticas, Universidad Nacional Autónoma de México, Asociación Mexicana de Investigadores de la Comunicación (AMIC)) y M. Farias-Elinos (3Lab. de Investigación y Desarrollo de Tecnología Avanzada (LIDETEA), Coord. Gral. de
Investigación, Dirección de Posgrado e Investigación / Escuela de Ingeniería, Universidad La
Salle, Benjamín Franklin 47, Col. Hipódromo Condesa, México, DF, 06140, México Tel: +52-55-5278-9530, Fax: +52-55-5515-7631 elinos@ci.ulsa.mx y Grupo de Seguridad de RedCUDI (Internet-2 México) http://seguridad.internet2.ulsa.mx.).

Seguridad informática y software libre.
Estructura de Hispalinux
Jorge Ferrer (Hispalinux) y Javier Fernández-Sanguino (Hispalinux).

Seguridad Informática
Jose Ignacio Sánchez Marín (topo@rigel.deusto.es), Gorka Gorrotxategi Zurimendi (zgor@int80h.net) y Pablo Garaizar Sagarminaga (txipinet@txipinet.com)
Este documento ha sido escrito por miembros de e-GHOST, y su contenido es libre de ser reproducido en otros medios bajo las condiciones de la Licencia FDL (GNU Free Documentation License).

VIRUS NUEVOS (11-27 de junio de 2009).

Agent.AVE (Peligrosidad: 1 - Mínima). Reportado por Quick Heal
TrojanDropper.Agent.ave [Quick Heal]
Troyano para la plataforma Windows que se registra como un servicio más del sistema.
27/06/2009

Winloggot (Peligrosidad: 1 - Mínima). Reportado por: Symantec
Trojan.Winloggot [Symantec]
Troyano para la plataforma Windows que infecta el fichero de Winlogon.
27/06/2009

IRCBot.AES (Peligrosidad: 1 - Mínima). Reportado por Sophos
W32/IRCBot-AES [Sophos]
Troyano para la plataforma Windows con funcionalidad de puerta trasera a través de canales IRC.
26/06/2009

SillyFDC.BCC (Peligrosidad: 1 - Mínima). Reportado por: Symantec
W32.SillyFDC.BCC [Symantec]
Gusano para la plataforma Windows que se propaga copiándose a unidades del sistema, bien a dispositivos extraíbles, bien a carpetas de red mapeadas.
26/06/2009

Murlo.BBX (Peligrosidad: 1 - Mínima). Reportado por Quick Heal
TrojanDownloader.Murlo.bbx [Quick Heal]
Troyano para la plataforma Windows que descarga ficheros de Internet.
26/06/2009

Rimecud.E (Peligrosidad: 1 - Mínima). Reportado: Panda Security
Rimecud.E [Panda Security]
Gusano que descarga otro código malicioso y se propaga a través de redes P2P, MSN Messenger y dispositivos extraíbles.
25/06/2009

FakeAV.UD (Peligrosidad: 1 - Mínima). Reportado por: Sophos
Troj/FakeAV-UD [Sophos]
Troyano que afecta a las plataformas Windows y que incluye funcionalidades de descarga.
25/06/2009

Ransom.FD (Peligrosidad: 2 - Baja). Reportado por: Trend Micro
WORM_RANSOM.FD [Trend Micro]
Gusano que cifra archivos del equipo infectado y se propaga a través del correo electrónico.
25/06/2009

Agent.65024.FD (Peligrosidad: 1 - Mínima). Reportado por: AhnLab
Win-Trojan/Agent.65024.FD [AhnLab]
Troyano para la plataforma Windows que descarga nuevos ficheros que se instalan como un servicio del sistema y acceden a su vez a más ficheros remotos que se instalan en la máquina comprometida.
24/06/2009

Rustock.23412 (Peligrosidad: 1 - Mínima). Reportado por: AhnLab
Dropper/Rustock.23412 [AhnLab]
Troyano para la plataforma Windows que se instala como un servicio del sistema y envía Spam a direcciones aleatorias. Posteriormente se descarga ficheros de sitios maliciosos remotos con nuevo malware.
24/06/2009

Remetrac (Peligrosidad: 1 - Mínima). Reportado por: Microsoft
TrojanDownloader:Win32/Remetrac.A [Microsoft]
Troyano para la plataforma Windows que se conecta con sitios web remotos para descargarse otros ficheros que contienen nuevo malware.
23/06/2009

Dwnldr.HTJ (Peligrosidad: 1 - Mínima). Reportado por: Sophos
Troj/DwnLdr-HTJ [Sophos]
Troyano para la plataforma Windows que modifica el registro del sistema para ejecutarse cada vez que un usuario inicia sesión.
23/06/2009

Waledoc.121356 (Peligrosidad: 1 - Mínima). Reportado por: AhnLab
Win-Trojan/Waledoc.121356 [AhnLab]
Troyano para la plataforma Windows que modifica el registro para ejecutarse con cada reinicio del sistema.
23/06/2009

LockScreen.P (Peligrosidad: 1 - Mínima). Reportado por: Enciclopedia Virus
WIN32/LOCKSCREEN.P [Enciclopedia Virus], Backdoor.Win32.Agent.agvr [Otros]
Troyano para la plataforma Windows que bloquea el acceso al sistema operativo exigiendo el envío de un SMS o algún tipo de recompensa para poder desbloquear la máquina.
22/06/2009

Zbot.AA (Peligrosidad: 1 - Mínima). Reportado por Fortinet, Bit Defender
W32/Zbot.AA!tr [Fortinet], Trojan-Spy.Win32.Zbot.gen [Kaspersky], TR/Spy.ZBot.8192.2 [AVIRA], PWS:Win32/Zbot.PM [Microsoft], Trojan.Spy.ZBot.UO [Bit Defender]
Troyano que modifica varias entradas del registro de Windows, especialmente para modificar la configuración de la caché de Internet Explorer y que resulte más difícil conocer los ficheros descargados.
Detiene la ejecución de varios cortafuegos.
22/06/2009

Sillyfdc.BBY (Peligrosidad: 1 - Mínima). Reportado por Symantec
W32.SillyFDC.BBY [Symantec]
Gusano para la plataforma Windows que se propaga a través de los dispositivos extraíbles que se conecten al equipo.
22/06/2009

Akbot.A (Peligrosidad: 2 - Baja).Reportado por: Sophos
Troj/Akbot-A [Sophos]
Troyano que proporciona una puerta trasera para conseguir acceso y control del sistema comprometido a través de canales IRC.
21/06/2009

Sdbot.DHY (Peligrosidad: 2 - Baja). Reportado por: Trend Micro
WORM_SDBOT.DHY [Trend Micro]
Gusano que se propaga a las unidades de red compartidas detectadas en el sistema comprometido.
Dispone de funcionalidad de puerta trasera que permite el acceso de usuarios remotos al sistema comprometido utilizando canales IRC.
21/06/2009

Troresba (Peligrosidad: 1 - Mínima). Reportado por: Symantec
W32.Troresba [Symantec]
Gusano que se propaga a todos los dispositivos extraíbles y unidades de red compartidas que se conectan en el sistema comprometido.
Inhabilita el acceso a ciertas unidades del sistema e intenta crear usuarios pertenecientes al grupo de administradores.
20/06/2009

Agent.KFZ (Peligrosidad: 2 - Baja). Reportado por: Sophos
Troj/Agent-KFZ [Sophos]
Troyano con funcionalidad de puerta trasera que permite acceder al sistema comprometido a través de canales IRC.
20/06/2009

Agent.KFY (Peligrosidad: 1 - Mínima). Reportado por: Sophos
Troj/Agent-KFY [Sophos]
Troyano que se instala para ejecutarse en cada reinicio del sistema comprometido.
19/06/2009

Agent.KFI (Peligrosidad: 1 - Mínima). Reportado por: Sophos
Troj/Agent-KFI [Sophos]
Troyano para la plataforma Windows que modifica el registro para ejecutarse al iniciar el sistema.
19/06/2009

Koceg.AB (Peligrosidad: 1 - Mínima). Reportado por: Microsoft
Backdoor:Win32/Koceg.AB [Microsoft]
Troyano que recopila credenciales de FTP y que posee funcionalidad de puerta trasera, puede recibir instrucciones para descargar e instalar otro código malicioso.
19/06/2009

FakeAlert.CM (Peligrosidad: 1 - Mínima). Reportado por: McAfee
FakeAlert-CM [McAfee], FakeAlert-CM!fde9cf1d7ce7 [McAfee], Win-Trojan/Fraudload.109571.F [AhnLab], TR/Dldr.FakeRean.12 [AVIRA], FakeAlert.KO [AVG], Gen:Trojan.Heur.6035CA9FEE [Bit Defender], TrojanDownloader.FraudLoad.wb [Quick Heal], Trojan.Downloader-71062 [ClamAV], Trojan.Packed.2463 [Doctor Web], Win32/FakeAlert.ALS [Computer Associates], Trojan-Downloader.Win32.FraudLoad.wbpw [F-Secure], Gen:Trojan.Heur.6035CA9FEE [G DATA], Trojan-Downloader.Win32.FakeRean [Ikarus], Trojan-Downloader.Win32.FraudLoad.wbpw [K7 Computing], Trojan-Downloader.Win32.FraudLoad.wbpw [Kaspersky], Trojan.Dldr.FakeRean.12 [McAfee], Win32/Adware.WinPCDefender [ESET], W32/Renos.GZF [Norman], Adware/WinPcDefender [Panda Security], Mal/EncPk-HH [Sophos], Trojan/Downloader.FraudLoad.wbpw [Hacksoft], Trojan-Downloader.Win32.FakeRean!IK [Emsisoft], TROJ_FAKEAL.CA [Trend Micro], Win32.Adware.WinPCDefender [VBA (VirusBlockAda)], Trojan.DL.FraudLoad.GZJ [VirusBuster], Trojan-Downloader/W32.FraudLoad.109571.D [Otros]
Troyano que se instala como proceso del servidor y que modifica opciones de centro de seguridad de Microsoft Windows.
18/06/2009

Bckdr.QVN (Peligrosidad: 1 - Mínima). Reportado por: Sophos
Troj/Bckdr-QVN [Sophos]
Troyano que se propaga a través de un mensaje de correo electrónico con un enlace que lleva al programa malicioso. Modifica el registro para ejecutarse al inicio del sistema operativo.
18/06/2009

Virauto (Peligrosidad: 1 - Mínima). Reportado por: Microsoft
Worm:Win32/Virauto.A [Microsoft]
Gusano que se propaga a través de los dispositivos del sistema y de archivos ZIP. Tiene funcionalidad de puerta trasera y modifica el fichero Host para evitar la actualización de los antivirus.
18/06/2009

SillyFDC.BBW (Peligrosidad: 1 - Mínima). Reportado por Symantec
W32.SillyFDC.BBW [Symantec]
Gusano que se propaga a los dispositivos extraíbles que se conectan al sistema comprometido.
Modifica parámetros de configuración que alteran el comportamiento por defecto de varios elementos del sistema comprometido.
17/06/2009

MSNworm.GM (Peligrosidad: 1 - Mínima). Reportado por Panda Security
W32/MSNworm.GM.worm [Panda Security]
Gusano que se propaga a través del programa MSN Messenger a través del envío de imágenes manipuladas.
17/06/2009

Zbot.EX (Peligrosidad: 1 - Mínima). Reportado por Microsoft
PWS:Win32/Zbot.EX [Microsoft]
Troyano que recopila contraseñas y las envía al atacante remoto. Puede evitar las aplicaciones de firewall instaladas en el equipo.
17/06/2009

Ilomo.FO (Peligrosidad: 1 - Mínima). Reportado por Trend Micro, Per Antivirus
TROJ_ILOMO.FO [Trend Micro], Troj/Ilomo.FO [PerAntivirus]
Troyano que instala código malicioso para ejecutarse en cada reinicio del sistema comprometido.
16/06/2009

Rsplug.E (Peligrosidad: 1 - Mínima). Reportado por Trend Micro
OSX_RSPLUG.E [Trend Micro]
Troyano para MAC OS, que se propaga a través de páginas maliciosas.
16/06/2009

Small.AIXR (Peligrosidad: 1 - Mínima). Reportado por: Quick Heal.
TrojanDownloader.Small.aixr [Quick Heal]
Troyano que descarga otros ficheros de código malicioso de Internet que luego registra como servicios del sistema.
16/06/2009

Mutafrog (Peligrosidad: 2 - Baja). Reportado por: Symantec, Per Antivirus
Symantec (2).
VBS.Mutafrog [Symantec], VBS.Mutafrog [PerAntivirus], VBS.Mutafrog!inf [Symantec]
Gusano para la plataforma Windows que infecta todas las unidades extraíbles conectadas al equipo comprometido y a todos los ficheros PHP, ASP y HTM de la máquina.
15/06/2009

Snapper.C (Peligrosidad: 1 - Mínima). Reportado por: Panda Security
W32/Snapper.C.worm [Panda Security]
Gusano que crea pantallazos de la actividad el ordenador cada 9 segundos. Se propaga dejando copias de sí mismo en todos los dispositivos conectados al ordenador infectado.
15/06/2009

Bancos.MV (Peligrosidad: 1 - Mínima). Reportado por: Microsoft.

Trojan.Banker.LEM (BitDefender), Win32/Spy.Bancos.NLR (ESET),
PWS-Banker!l (McAfee).

Troyano que recopila contraseñas del equipo infectado y las envía a direcciones de correo determinadas. Se instala en el equipo como un complemento del navegador web.
15/06/2009

Sapaq (Peligrosidad: 1 - Mínima). Reportado por: Symantec.
W32.Sapaq [Symantec].
Virus que descarga software malicioso adicional y se dispersa a través de redes locales.
14/06/2009

Drowor.C (Peligrosidad: 1 - Mínima). Reportado por: Enciclopedia Virus.
WIN32/DROWOR.C [Enciclopedia Virus].
Gusano que infecta redes y unidades locales.
14/06/2009

Autorun.delf.CB (Peligrosidad: 1 - Mínima). Reportado por: ESET .
Virus.Win32.Delf.ct [Kaspersky], Generic.dx [McAfee], Win32/AutoRun.Delf.CB [ESET], Win32.HLLW.Autoruner.1073 [Doctor Web]
Gusano que se dispersa a través de las unidades locales y extraibles y que, entre otros efectos, activa un salvapantallas y abre la bandeja del CD/DVD.
14/06/2009

Lanc.A (Peligrosidad: 1 - Mínima). Reportado por: ESET.
Virus.Win32.Lanc.a [Kaspersky], W32.Lanc [Symantec], W32/Generic.m [McAfee], Win32/Lanc.A [ESET]
Virus que busca ficheros con extensión doc, para crear replicas infectadas de estos.
13/06/2009

Foilo.A (Peligrosidad: 1 - Mínima). Reportado por: Sophos.
Troj/BdFoilo-A [Sophos]
Troyano para la plataforma Windows que instala varios servicios con ombres parecidos a conocidos drivers
13/06/2009

Tiotua.R (Peligrosidad: 1 - Mínima). Reportado por: Sophos.
W32/Tiotua-R [Sophos].
Gusano que se dispersa a través de dispositivos extraíbles y clientes de mensajería instantánea.
13/06/2009

SillyDl.NUQ (Peligrosidad: 1 - Mínima). Reportado por: Abuse.ch, ThreatExpert, Virus Total.
Trojan.Downloader-71066 [ClamAV], BHO.IXV [AVG], TR/Obfuscator.FH.44 [AVIRA], Trojan.DownLoad.36339 [Doctor Web], Win32/SillyDl.NUQ [Computer Associates], Trojan-Downloader:W32/FraudLoad.EP [F-Secure], W32/Trojan3.AYA [FRISK Software], Trojan-Downloader.Win32.FraudLoad.epb [Kaspersky], Trojan-Downloader.Win32.FraudLoad.epb [K7 Computing], Win32/TrojanDownloader.Small.OPX [ESET], Trojan.Obfuscator.FH.44 [McAfee], VirTool:Win32/Obfuscator.FH [Microsoft]
Troyano que llega al ordenador en un adjunto de correo electrónico, simulando ser una falsa actualización de algún cliente de correo electrónico.
12/06/2009

SillyFDC.BBU (Peligrosidad: 1 - Mínima). Reportado por: Symantec.
W32.SillyFDC.BBU [Symantec]
Gusano que se propaga a los dispositivos extraíbles que se conectan al sistema comprometido.
Modifica parámetros de configuración que alteran el comportamiento por defecto de varios elementos del sistema comprometido.
12/06/2009

SillyFDC.BBV (Peligrosidad: 1 - Mínima). Reportado por: Symantec, Per Antivirus.
W32.SillyFDC.BBV [Symantec], W32/SillyFDC.BBV [PerAntivirus].
Troyano que redirige el trafico mediante la manipulación del fichero hosts y deshabilita la mayoría de los servicios de Windows.
12/06/2009

Pinit.L (Peligrosidad: 1 - Mínima). Reportado por: Enciclopedia Virus.
Win32/Pinit.L [Enciclopedia Virus].
Gusano para plataforma Windows que se propaga a través de carpetas compartidas.
12/06/2009

Buzus.AYNC (Peligrosidad: 1 - Mínima). Reportado por: Quick Heal.
TrojanDropper.Buzus.aync [Quick Heal].
Troyano que se conecta con sitios web de contenido pornográfico y podría descarga ficheros en el sistema comprometido.
11/06/2009

BDoor.CEO (Peligrosidad: 1 - Mínima). Reportado por: McAfee.
BackDoor-CEO!f07ecd589ec0 [McAfee]
Troyano que se conecta a servidor de Internet.
11/06/2009

Delf.FCC (Peligrosidad: 1 - Mínima). Reportado por: Sophos.
Troj/Delf-FCC [Sophos]
Troyano para plataforma Windows que puede comunicarse con un servidor remoto a través de HTTP
11/06/2009