1 Busca informacin acerca de las herramientas de proteccin de equipos informticos.

La Herramienta de eliminacin de software malintencionado de Microsoft revisa equipos que usan Windows 7, Windows Vista, Windows XP, Windows 2000 y Windows Server 2003 en busca de infecciones con software malintencionado especfico y comn, como Blaster, Sasser y Mydoom, y contribuye a eliminar las infecciones detectadas. Cuando el proceso de deteccin y eliminacin ha finalizado, la herramienta muestra un informe que describe el resultado, incluyendo, en su caso, qu malware se detect y elimin. Microsoft presenta una versin actualizada de esta herramienta el segundo martes de cada mes, y en la medida en que sea necesario para responder a incidentes de seguridad. La herramienta est disponible en Microsoft Update, Windows Update y en el Centro de descarga de Microsoft. Nota La versin de la herramienta que proporciona Microsoft Update y Windows Update se ejecuta en segundo plano y, a continuacin, informa si se detect alguna infeccin por malware. Para ejecutar esta herramienta ms de una vez al mes, use la versin de esta pgina web o instale la versin disponible en el Centro de descarga. Dado que los equipos pueden parecer funcionar con normalidad cuando estn infectados, es buena idea ejecutar esta herramienta con regularidad aunque su equipo parezca no tener ningn problema. Tambin debe usar un software antivirus actualizado, como Microsoft Security Essentials, para contribuir a proteger su equipo de otro malware. Para descargar la versin ms reciente de esta herramienta, visite el Centro de descarga de Microsoft. Tambin puede llevar a cabo un examen en lnea de su equipo usando el Microsoft Safety Scanner.

2-Caracteristicas tcnicas, definicin, clasificacin y consecuencias en los equipos informticos de los siguientes virus
Virus: I love you En qu consista I Love You? Se trataba de un correo electrnico cuyo gancho era su ttulo, 'I Love You' ('Te quiero', en ingls), as como el nombre del documento de texto asociado a l ('Love-Letter-For-You', una carta de amor para ti). Al ejecutar el fichero, el gusano modificaba los ficheros del ordenador infectado y se auto enviaba por correo electrnico a todas las direcciones de la vctima. Entonces, con una Internet prcticamente en paales, el virus se extendi rpidamente; afect a cerca de 50 millones de ordenadores en todo el planeta una semana despus de su aparicin, es decir, el 10% de las mquinas conectadas a la Red de redes. El 'virus del amor' mostr cmo combinar tcnicas de gusano con un poco de ingeniera social para distribuir 'malware' a una cantidad ingente de ordenadores en Internet. Ahora el cibercrimen es un lucrativo negocio.

"El virus del amor mostr como iban a ser los problemas de seguridad", comenta Paul Fletcher, de MessageLabs.

Virus:Zone.H

Nombre completo del virus: Trojan.Multi/Zone.H

- Tipo de cdigo: Trojan [Caballo de Troya: programa que parece beneficioso o til pero resulta ser malicioso en algn momento. No se propaga por si mismo.] - Plataformas afectadas: Multi: Afecta a las plataformas W32 [Microsoft Windows de 32 bits, pudiendo

afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95] / W64 [Microsoft Windows de 64 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003] - Capacidad de residencia permanente: S. Se ejecuta automticamente en cada reinicio del sistema

Cuando Zone.H se ejecuta, realiza las siguientes acciones:

Crea un fichero

Se comunica con unos servidores maliciosos

Descarga ficheros maliciosos que guarda con nombres aleatorios en la carpeta de archivos temporales. A continuacin, ejecuta los ficheros anteriores y los guarda

Virus sasser.B

El virus Sasser.b apareci en mayo de 2004 y es un virus que explota un agujero de seguridad de LSASS (autoridad de seguridad local) que corresponde a un archivo ejecutable en Windows. La aparicin del primer virus en explotar la falla de seguridad en LSASS de Windows se produjo apenas dos semanas despus de que se publicara la falla y se lanzaran los primero parches correctivos.

E virus Sasser esta programas para ejecutar 128 procesos (10324) para la variante SasserC) que analizan una cantidad de direccin IP aleatorias que buscan sistemas vulnerables a la falla LSASS en el puerto 455/TCP.

El virus instala un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo.

Despus, cuando encuentra un equipo vulnerable, el gusano abre un shell remoto en el equipo ( en el puerto TCO 9996) y hace que el equipo remoto descargue una copia del gusano ( denominada avserve.exe o avserve2.exe para la variante Sasser.B) en el directorio de Windows.

Sntomas de infeccin

Explotar la vulnerabilidad de LSASS provoca algunos errores en lo equipos afectados, los cuales estn relacionados con el cierre de los servicio LSASS (proceso lsass.exe).Los sistemas vulnerables tiene los siguientes sntomas:

Reinicios no deseados, en los que el sistema muestra el mensaje.

Trafico de red en puertos CP 445, 5554 y 9996.

Cierre repentino de LASSAS.EXE con un mensaje de error

Virus Blaster

Blaster es un gusano de red de Windows que se aprovecha de una vulnerabilidad en el servicio DCOM para infectar a otros sistemas de norma automtica,

El gusano fue detectado y liberado en el ao 2003. La tasa de infecciones aumento considerablemente dos das despus de su liberacin. Gracias al filtrado por las ISP's y la gran publicidad frente a este gusano, la infeccin pudo frenarse.

Efectos principales

El mtodo con el que infecta los sistemas vulnerables es bastante parecido a la que uso el gusano sasser, aparte, deja un puerta trasera que permite la intrusin a terceros haciendo que la maquina infectada sea fcilmente atacada por otros virus, o accesos remotos no autorizados.

El gusano se disemina al explotar un desbordamiento de buffer en el servicio DCOK para los sistemas operativos Windows afectados, para los cuales se libero un parche un mes antes.

Est programado para realizar un ataque organizado de denegacin de servicio al puerto 80 de windowsupdate.com sin embargo, los daos fueron mnimos debido a que el sitio era redirigido a "windowsupdate.microsoft.com". Aparte Microsoft apago sus servicios para minimizar los efectos.

Efectos secundarios

En algunas versiones de Windows, puede generar inestabilidad del sistema, e incluso una ventana que advierte al usuario de que debe reiniciar el ordenador.

3.-Elabora un informe con la informacin obtenida, realiza una comparativa de los virus indicados con los restantes tipos de virus fijndote sin son los que causaran un mayor dao a la seguridad de nuestro equipo o que podran tener peores consecuencias en la informacin almacenada, justificando la respuesta en el informe.

VIRUS, GUSANOS Y TROYANOS

Nombre del virus Tipo I LOVE YOU
Gusano informtico

ZONE.H

SASSER.B

BLASTER

Troyano

Gusano informtico

Virus

Fecha de creacin Forma de propagacin

Ao 2000

Mensaje de correo electrnico con el asunto: I love you y el archivo adjunto: "LOVELETTER-FORYOU.TXT.vbs"

No tiene una rutina propia de propagacin

No tiene una rutina propia de propagacin

Explota vulnerabilidades y tambin tiene otras formas de propagacin

Capacidad de auto propagacin Qu hacia?

Si

No

Si

Si

El gusano modificaba los ficheros del ordenador infectado y se auto enviaba por correo electrnico a todas las direcciones de la vctima.

Crea el fichero "%UserProfile%\Application Data\lsass.ex e Se comunica con unos servidores remotos desde los que descarga ficheros maliciosos que guarda con nombres aleatorios en la carpeta de archivos temporales. A continuacin, ejecuta los ficheros anteriores y los guarda con unos nombres predeterminados. Crea a continuacin entradas del registro de Windows para que estos ficheros se ejecuten de nuevo con cada reinicio del sistema y a su vez descargan nuevos archivos

El gusano se copia a s mismo en el directorio de instalacin de Windows con el nombre c:\windows\avserve2.e xe Crea los siguientes archivos: c:\win2.log y varias copias de c:\windows\system32\# _up.exe (donde # es un nmero de cinco dgitos)Para ejecutarse automticamente cada vez que el sistema es reiniciado, el gusano aade a una clave del registro de Windows, el valor antes indicado. El gusano inicia 128 hilos de ejecucin para escanear direcciones

Este gusano explota la vulnerabilidad conocida como "Desbordamiento de Bfer en RPC DCOM", una vulnerabilidad en llamadas a procedimiento remoto (RPC) mediante el modelo de objetos distribuidos (DCO M). Esta vulnerabilidad permite qu e un atacanteremoto obtenga acceso total al sistema atacado y ejecute sobre l cdigo arbitrario

maliciosos.

IP seleccionadas al azar por el puerto TCP/445, buscando sistemasvulnerables. ( 1. ) . Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.El gusano provoca un desbordamiento de bfer en LSASS.EXE , lo que hace que dicho programa falle y requiera el reinicio deWindows

peligrosidad

Poca amenaza para los usuarios

poco dainas o fcilmente contenibles , o potencialmente muy peligrosas

Peligrosa y difcil de contener

Peligrosa y difcil de contener

Los peores virus que nos pueden afectar son Sasser.b y Blaster ya que son los mas peligrosos y son los que como no se pueden auto propagar afectan en mayor rango a nuestros datos almacenados en nuestro ordenador.

4.-Recomienda programas gratuitos para instalar en el equipo para protegerlo, generando un pster o collage con los tiles seleccionados y sus principales caractersticas. http://www.glogster.com/nuritayataco/myglogster

(Se ve mucho mejor en el enlace, es pblico)

5.-Averigua las caractersticas del virus Stunex. Por qu ha sido tan importante?, Crees que supone un salto cualitativo en el desarrollo del virus? Por qu?
Stunex es detectado por primera vez el 17 de junio de 2010 por la empresa antivirus Bielorrusa VirusBlokada. Inicialmente se le considera un gusano ya que aprovecha ciertas vulnerabilidades para propagarse e infectar distintas maquinas. Es capaz de modificar el comportamiento normal de distintos componentes del sistema de control y oculta su presencia para no ser detectado. La propagacin de Stuxnet la principal va de infeccin es a travs de llaves USB . Stuxnet aprovecha la ya famosa vulnerabilidad 0day en el manejo de ficheros: LNK, por la que con solo visualizar en Windows Explorer los ficheros de acceso directo, en concreto en el caso de Stuxnet unos ficheros .tmp que contienen los binarios de stuxnet. Otras vas de infeccin son a travs de recursos de red compartidos en los que la maquina infectada tiene permiso de escritura, y a travs de una vieja conocida, la vulnerabilidad de RPC usada por Conficker y otros gusanos.

Funcionamiento Una vez infectada la mquina, stuxnet contacta con su C&C y enva de forma cifrada, informacin bsica sobre el host comprometido utilizando la URL http://<C&C server address>/index.php?data=<encrypted data>. Esta informacin incluye: Informacin de la versin de Windows.

nombre del host Un flag indicativo de si el software de WinCC est o no instalado Direcciones IP de todas las interfaces de red Por lo visto, el C&C puede responder bien enviado la orden de ejecutar una llamada a un procedimiento en el host comprometido o descargando una nueva DLL para que Stuxnet la cargue. Las funciones a las que se puede acceder remotamente son: Lectura de un fichero Escritura en un fichero Borrado de un fichero Creacin de un proceso Inyeccin de una DLL en el proceso lsass.exe (proceso que se encarga del funcionamiento de los protocolos de seguridad que maneja Windows) Carga de alguna DLL adicional Inyeccin de cdigo en otro proceso Actualizar los datos de configuracin del gusano

Existen varias soluciones a da de hoy:

A da de hoy, las principales casas antivirus cuentan con las firmas necesarias para detectar Stuxnet. Igualmente Microsoft ya tiene un parche contra la vulnerabilidad. Si bien es cierto que muchos sistemas de control en la actualidad no cuentan con un adecuado programa de gestin de parches o de un sistema antivirus, no lo es menos que a da de hoy no se han reportado incidentes de relevancia en infraestructuras crticas, por lo que se refuerza la teora de que se trata de un ataque dirigido. Tambin existen dos herramientas que ofrecen un workaround a la vulnerabilidad. se deshabilita la visualizacin de los iconos de acceso directo. Se trata de una solucin preventiva, pero no ayuda a aqullos que ya se encuentran infectados. Probablemente, la mejor solucin venga de la mano de los IPS, permiten crear una lista blanca de qu aplicaciones pueden ejecutarse y cules no y adems no suponen el problema de la gestin del cambio tpicos del parcheo y la actualizacin de los sistemas antivirus en el mundo de las infraestructuras crticas. Respecto a soluciones para quienes ya se han visto infectados, Siemens ha publicado una lista de instrucciones de cmo usar TrendMicro "Sysclean" (la casa antivirus con la que puedes instalar WinCC garantizando el soporte por parte de Siemens) para eliminar Stuxnet. Sin embargo, el hecho de que muchos sistemas de control se encuentran altamente personalizados (segn las necesidades del cliente), hace necesario que los propios ingenieros trabajen codo con codo con los ingenieros de Siemens para conseguir eliminarlo de manera exitosa. Se trata por tanto de un proceso arduo y costoso. Hay que pensar, que no solo hay que desinfectar cada uno de los host Windows infectados, sino que tambin habr que revisar cada uno de los PLCs para asegurarnos de que el programa no ha sido alterado.