Gusano de Internet • ¿Qué es un gusano de Internet? • ¿Cómo actúa un gusano de Internet? • ¿Cómo saber si mi equipo está infectado con un gusano de Internet? • ¿Cómo elimino un gusano de Internet de mi equipo? • ¿Cómo prevengo que mi equipo se infecte con un gusano de Internet? • Animación ¿Qué es un gusano de Internet? A los gusanos de Internet se les considera una subclase de los virus y son conocidos también por su término en inglés worm. Los gusanos de Internet buscan propagarse lo más rápido posible tratando de infectar al mayor número posible de equipos. Esta característica tiene como consecuencia la posibilidad del colapso de las comunicaciones en Internet. ¿Cómo actúa un gusano de Internet? Los gusanos de Internet se valen de las vulnerabilidades (huecos de seguridad) en un sistema operativo para poder infectarlo. Una vez que ha infectado el sistema, el gusano de Internet modifica ciertos parámetros en él, con el propósito de asegurarse de iniciar su actividad maliciosa cada vez que el usuario reinicie su equipo. El gusano de Internet puede incluso, llegar a detener el funcionamiento del software de seguridad instalado con el propósito de evitar su detección. Ya dentro del sistema operativo, el gusano de Internet intenta propagase a otros equipos que presenten la misma vulnerabilidad a través de ciertas rutinas programadas en él mismo. Estas rutinas consisten en generar direcciones IP (la forma en que se identifican los equipos en una red) de forma aleatoria y enviar a estas direcciones el código malicioso del gusano. Los gusanos de Internet pueden estar diseñados para realizar actividades maliciosas específicas, por ejemplo, una vez que ha sido infectado un gran número de equipos con un gusano, estos equipos podrían ser utilizados para lanzar un ataque contra algún sitio Web en particular. Estos ataques pueden tratarse de los llamados Ataques de Negación de Servicio Distribuido ( DDoS), los cuales tienen como propósito saturar los servicios de Internet proporcionados por alguna organización (servidores de correo electrónico, servidores de páginas Web, etc.). ¿Cómo saber si mi equipo está infectado con un gusano de Internet? Cuando un gusano infecta un equipo, éste ocupa un ancho de banda considerable así como espacio en memoria, ocasionando que los equipos se vuelvan excesivamente lentos en las respuestas a cualquier petición que el usuario haga al equipo. Cabe aclarar que, algunas versiones no afectan el rendimiento del equipo para evitar ser detectados por el usuario y de esta forma y lograr garantizar su permanencia en el equipo. Existen gusanos de Internet que están programados para realizar acciones tales como detener algún servicio y de esta forma ocasionar que el equipo se reinicie sin autorización del usuario (un ejemplo de esto es el caso del gusano Blaster). Algunos de los delincuentes que programan gusanos en Internet, incorporan otro tipo de software malicioso al código del gusano como las llamadas Puertas Traseras o backdoors, lo que permiten que los equipos sean controlados de forma remota, dejando que el intruso realice cualquier acción. ¿Cómo elimino un gusano de Internet de mi equipo? Para eliminar completamente un gusano de Internet del equipo es recomendable: • Utilizar una herramienta de eliminación automática para removerlo Al momento de que un gusano de Internet tiene un alto grado de propagación (que haya infectado un gran número de sistemas), la mayoría de los distribuidores de software antivirus genera herramientas de eliminación automática que eliminan al gusano de forma rápida y sencilla. Estas herramientas son distribuidas de forma gratuita la mayoría de las ocasiones a través de la página de Internet de cada distribuidor. Lo único que se necesita hacer es descargar la herramienta y ejecutarla en el sistema. Por lo general, al término de su ejecución, la herramienta genera un reporte de los archivos infectados y de las acciones realizadas en el sistema (eliminación del gusano y archivos maliciosos). Si un equipo está infectado por un gusano de Internet, es probable que no permita la conexión a Internet de forma adecuada o que actúe de forma extraña, como por ejemplo, se reinicie constantemente, evitando con esto que se pueda descargar la herramienta de eliminación automática del gusano desde el equipo infectado. Debido a esto se recomienda descargar la herramienta desde otro equipo que no presente la infección y almacenarla en algún medio como una memoria USB o grabarla en un CD para después ejecutarla en el equipo infectado. • Instalar actualizaciones de seguridad en el sistema. Como ya se ha comentado, los gusanos de Internet toman ventaja de una vulnerabilidad no reparada, por lo tanto, después de eliminar el gusano se debe de actualizar el sistema para evitar ser atacado de nuevo por esa amenaza. Para realizar esta actualización es necesario realizar una descarga de Internet, lo que puede causar que el equipo se vuelva a infectar (ya que las vulnerabilidades no han sido reparadas). Lo que debe hacerse es algo de lo siguiente: Descargar la actualización o actualizaciones desde otro equipo. Se utiliza el mismo procedimiento que se realizó para descargar la herramienta de eliminación automática: ir a otro equipo, conectarnos a Internet y descargar la actualización o actualizaciones necesarias. En ocasiones al terminar la ejecución de la herramienta de eliminación automática se presenta un hipervínculo para descargar la actualización, en el caso de que esto no ocurra, para determinar cuál es la descarga necesaria se busca la información a través de las páginas de los distribuidores antivirus. Debes almacenar la actualización descargada en una memoria USB o grabarla en un CD para después instalarla en el equipo vulnerable. Habilitar o instalar un firewall. Antes de conectar el equipo a Internet podemos habilitar o instalar un firewall. El firewall protegerá al equipo mientras descarga las actualizaciones de Internet aunque el equipo se encuentre aún vulnerable. Es importante señalar que no debemos confiarnos en solo instalar el firewall y no instalar las actualizaciones debido a que este tipo de software también presenta a su vez vulnerabilidades de seguridad que pueden poner en riesgo nuestro equipo. Cabe señalar que a partir de Windows XP SP2 los sistemas operativos de Microsoft ya tienen incorporado un firewall el cual debe estar habilitado en caso de no utilizar otro firewall. ¿Cómo prevengo que mi equipo se infecte con un gusano de Internet? Existen algunas acciones que pueden llevarse a cabo para prevenir la infección de un gusano de Internet: • Actualizar el sistema constantemente La principal razón por la que un gusano de Internet infecta a un equipo es debido a la existencia de las vulnerabilidades no reparadas, por lo que es indispensable instalar las actualizaciones de seguridad más recientes. Para mayor información consulte el documento Métodos y herramientas de actualización. http://www.seguridad.unam.mx/usuario-casero/secciones/herramientas.dsc • Instalar y actualizar un software antivirus. Tener un software antivirus, aún cuando esté actualizado, no es garantía para evitar una infección de un gusano de Internet. Sin embargo algunos antivirus sí pueden llegar este tipo de código malicioso.. Es necesario instalar, administrar y actualizar un software antivirus de forma correcta, pero no debe ser el único software de seguridad en el equipo. Para mayor información consulte el documento Instalar y actualizar software antivirus. http://www.seguridad.unam.mx/usuario-casero/secciones/antivirus.dsc • Instalar un firewall. El firewall es una de las herramientas que permiten mantener protegido a nuestro equipo actuando como una barrera de protección entre el equipo y el Internet, por lo tanto, solo los programas y aplicaciones que se configuren en el firewall podrán salir a Internet o acceder desde el Internet al equipo. El firewall también puede presentar vulnerabilidades de seguridad y en cierto momento permitir la entrada de códigos maliciosos como los gusanos de Internet. Es por ello que el firewall también debe ser actualizado para su adecuado funcionamiento. Para mayor información consulte el documento Firewall. http://www.seguridad.unam.mx/usuario-casero/secciones/firewall.dsc Revisión histórica • Liberación original: 5 de enero de 2006 • Última revisión: octubre de 2009 El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a: • Juan López Morales • Jesús Ramón Jiménez Rojas • Oscar Raúl Ortega Pacheco • Rocío del Pilar Soto Astorga Para mayor información acerca de éste documento de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Cómputo DGSCA - UNAM E-Mail: [email protected] http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 43