.RootKits. Pablo Iglesias Morales Máster en Informática

Tamaño: px
Comenzar la demostración a partir de la página:

Download ".RootKits. Pablo Iglesias Morales Máster en Informática"

Transcripción

1 .RootKits. Pablo Iglesias Morales Máster en Informática Facultad de Informática Universidad de A Coruña Junio 2008

2 1 Introducción Historia de las Rootkits Rootkits && Malware Objetivos de los rootkits Tendencias en tecnología de rootkit Tendencia 1: Además de a los troyanos, los rootkits afectan a otras formas de malware y PUP Tendencia 2: Los rootkits son cada vez más sofisticados Tendencia 3: Los rootkits incorporados en Windows ganan ventaja Tendencia 4: Se han encontrado vectores de ataque de rootkits en software legal e ilegal Tendencia 5: La incorporación de tecnologías de ocultación es cada vez más fácil Tipos de Rootkits en la plataforma Windows Rootkits en modo de usuario Vectores de instalación Inyección a través de extensiones de aplicaciones Inyección a través de filtros de mensajes de Windows Inyección a través del subsistema de depuración Inyección a través de vulnerabilidades en aplicaciones Técnicas de carga destructiva Interceptación de la tabla de direcciones de importación Interceptación de funciones en línea Rootkits en modo kernel Técnicas destructivas de rootkits en modo kernel Modificación de la tabla de descriptores de servicios del sistema (SSDT) Desventajas Contramedidas Modificación directa de objetos del kernel Controladores de dispositivos de filtrado Modificación del gestor de servicios del sistema en modo de kernel Ataque por desvío de código en tiempo de ejecución Modificación de la tabla de funciones IRP23 7 Detección Monitorización externa Ejemplo: Análisis forense Métodos de análisis estadístico Análisis de fallos de rootkits y comparación de resultados Protección Software anti rootkit Ejemplo práctico Bibliografía...30

3

4 1 Introducción Los rootkits suponen una amenaza para los sistemas actuales. Las tecnologías de ocultación son cada día más sofisticadas y detectar los rootkits e impedir el daño que provocan es un gran reto. En este documento, distinguimos entre técnicas de ocultación, que son estrategias simples para ocultar archivos, procesos y actividades, y rootkit, término que se asocia a malware que oculta sus actividades. El término viene de la unión de "root" y de "kit". "Root" se refiere al usuario con máximos derechos en sistemas tipo *Nix (puede ser Unix, AIX, Linux, BSD, etc), es decir, el superusuario. Por su parte, "kit" se refiere a un conjunto de herramientas; por lo que un rootkit se puede entender como un conjunto de herramientas que se ejecutan con privilegios de root. [MCA06] [PAN08] 2 Historia de las Rootkits Originalmente, un rootkit era simplemente un conjunto de herramientas que permitían el acceso a un equipo o red a nivel de administrador, también conocido como acceso raíz (root en inglés) en el entorno Unix. El término hacía referencia a un conjunto de herramientas Unix, como ps, netstat, ls y passwd. Un atacante informático podía utilizar estas mismas herramientas para ocultar todo rastro de intrusión, por lo que el término rootkit comenzó a asociarse a la ocultación. Cuando estas estrategias se aplicaron al entorno Windows, el nombre rootkit se transfirió con ellas. En la actualidad, rootkit es un término ampliamente utilizado para describir malware como troyanos, gusanos y virus que oculta, de forma activa, su existencia y sus acciones a usuarios y a otros procesos del sistema. La práctica de ocultar el malware de los usuarios y productos de seguridad se remonta al primer virus para PC, Brain, que apareció en Para evitar ser detectado, Brain interceptaba las interrupciones del sector de arranque del PC y redirigía las operaciones de lectura a otro sector del disco. Los autores de virus pronto se dieron cuenta de que la longevidad de un virus dependía esencialmente de las técnicas de ocultación cuando, en 1987, el virus Lehigh pudo neutralizarse rápidamente tras su lanzamiento debido a que no utilizaba estas técnicas. Los autores de malware siguieron desarrollando virus DOS cada vez más complejos hasta finales de los 80, principios de los 90, incorporando innovadoras técnicas de ocultación para impedir su detección. Dos de los métodos más habituales eran interceptar las interrupciones de E/S de disco en la BIOS para llamadas de lectura (INT 13) y sustituirlas por resultados modificados, y desinfectar continuamente un sector del disco cada vez que se iniciara un programa, incluido un analizador antivirus, volviendo a infectar el sector del disco una vez que éste se hubiera cerrado.

5 El virus de sector de arranque Tequila, que surgió en 1991, y el virus infector de archivos 1689 Stealth, introducido en 1993, empleaban estas técnicas para ocultar el aumento de tamaño de los archivos, indicio claro de infección. Otros virus DOS posteriores interceptan funciones de más alto nivel, como llamadas a controladores DOS, para ocultar su presencia o mantener la infección. La aparición de Windows a mediados de los 90 trajo consigo la inmunidad a los virus DOS y un breve período de inactividad en cuanto a innovación de técnicas de ocultación. Antes de idear nuevas formas de burlar la protección, los autores de virus tuvieron que aprender a utilizar las interfaces de programación de aplicaciones de Windows y la arquitectura de memoria protegida. La aparición de los troyanos NTRootkit, a finales de 2001, y HackerDefender, en 2003, marcó el final de la tregua. Estos troyanos se "enganchaban" al sistema operativo en un nivel muy bajo de llamadas a funciones, lo que les permitía ocultar su presencia. A medida que han evolucionado los entornos informáticos, también lo han hecho las tecnologías de ocultación. Se han desarrollado diversas técnicas, como el uso de convenciones de denominación engañosas o la manipulación de la red, entre otras, con el fin de ocultar el malware a simple vista. Una de las más simples y más efectivas es cambiar el nombre de un archivo infectado de forma que parezca un archivo legítimo del sistema o del usuario. El troyano scvhost.exe o svehost.exe puede residir en el directorio system32 de Windows junto al archivo original llamado svchost.exe. Del mismo modo, puede ejecutarse un troyano llamado svchost.exe desde los directorios Windows o WINNT. El gran parecido con los nombres de archivo reales, en el primer caso, y el hecho de que el usuario ignore que el archivo original debería estar en el directorio system32 de Windows, en el segundo, confunden al usuario, que cree que los archivos troyanos son de confianza. La llegada de Internet trajo nuevas oportunidades y facilidades tanto para agresores como para defensores de la seguridad. Para los autores de malware, introdujo nuevas vías de propagación y proporcionó millones de víctimas potenciales. Para los defensores de sistemas, ofreció nuevos métodos de detección a través de la red en tiempo real con sistemas de prevención de intrusiones (IPS, Intrusión Prevention System) y otros dispositivos de supervisión del tráfico para vigilar los síntomas que revelan la presencia de actividad maligna. Hoy día, una tecnología de ocultación eficaz debe ocultar o proteger los archivos, los procesos y las entradas del registro. Cada vez más, el malware se ve obligado a ocultar su rastro mediante la manipulación de paquetes sin procesar en la red, la pila TCP/IP, el protocolo TCP/IP y la BIOS con el fin de eludir algunas de las tecnologías de seguridad más avanzadas. [MCA06]

6 3 Rootkits && Malware El malware o software maligno se presenta de formas distintas. Sin embargo, hay diferencias claras entre virus, troyanos, gusanos y programas potencialmente no deseados (PUP, Potentially Unwanted Programs). Los virus, como sus análogos biológicos, son programas que se replican automáticamente y que pueden ocultar información confidencial, bloquear los recursos del sistema, destruir información o realizar otros actos malignos. Los troyanos son programas que parecen aplicaciones de software inofensivas o incluso útiles a simple vista, pero que en su interior albergan código malintencionado. Aunque los troyanos no se auto replican, pueden hacer que un equipo infectado descargue otro malware que sí lo haga. Los gusanos son malware que se replica mediante la distribución de copias a través de una red compartida, una unidad de disquetes o incluso una unidad USB, a menudo de forma autónoma sin necesidad de intervención humana. Aunque se parecen a los troyanos y a otro software maligno en que suelen apoderarse de información confidencial y privada, los PUP son diferentes, ya que se instalan y ejecutan con la aprobación tácita del usuario. No obstante, la tecnología de ocultación no es de dominio exclusivo del malware. Su empleo ha aumentado en aplicaciones de software comercial y PUP que pretenden impedir ser eliminados. En abril de 2005, Adware Isearch fue uno de los primeros programas de publicidad no deseada o adware que, según se descubrió, utilizaba tecnologías de ocultación. Desde entonces, se han descubierto otros, como Apropos, Qoolaidy DigitalNames, todos ellos clasificados como troyanos por suponer una amenaza importante para el usuario. La idea de clasificar todos los programas que emplean técnicas de ocultación como rootkits es tentadora, pero si lo hiciéramos se perdería la claridad y efectividad de la descripción. Existen proveedores que han optado por clasificar el software comercial que emplea técnicas de ocultación como PUP, en lugar de rootkits. Sin embargo, otros integrantes de la comunidad de seguridad consideran que cualquier uso de la ocultación está injustificado y por lo tanto merece el término rootkit y sus connotaciones negativas. Este debate puramente teórico se convirtió en una polémica con una gran repercusión mediática cuando Mark Russinovich publicó su hallazgo en su blog el 31 de octubre de El software de gestión de derechos digitales de Sony BMG, Extended Copy Protection (XCP), fue blanco de críticas debido al uso que hacía de tecnologías de ocultación que exponían a los equipos a posibles ataques. XCP incorpora una implementación de controlador de dispositivo que incluye privilegios a nivel de kernel. Este controlador oculta archivos y procesos de gestión de derechos digitales para que el usuario no pueda desactivarlos y realizar copias ilegales de archivos de música. Para conseguir esta

7 protección, se escribió código kernel que ocultaba cualquier archivo, carpeta o proceso que comenzara por la cadena "$sys$" Desgraciadamente, cualquier software maligno que tuviera esta cadena en su nombre también quedaría oculto para la mayoría de los analizadores de virus. Como cabría esperar, los autores de malware han aprovechado esta oportunidad y están escribiendo programas que utilizan el software instalado por Sony para ocultar sus archivos. Por ejemplo, se ha demostrado que las variantes del gusano W32/Brepibot, cuya presencia se comunicó en noviembre de 2005 y que se propaga a través de canales Internet Relay Chat (IRC), aprovechan esta vulnerabilidad. Esta aplicación comercial pone en duda la utilidad de denominar rootkits a todos los programas que emplean tecnologías de ocultación. Si la ocultación se está convirtiendo en una tendencia dominante en software, probablemente el término rootkit debería reservarse exclusivamente para el malware que emplea técnicas de ocultación. Pero la controversia acerca de las técnicas de ocultación sigue vigente en la actualidad. El 10 de enero de 2006, menos de dos meses después del escándalo de XCP, la comunidad antivirus se vio conmocionada por la revelación de que Symantec había utilizado técnicas de ocultación en uno de sus productos con el fin de ocultar un directorio denominado NProtect. Aunque el riesgo potencial para la seguridad es menor que el que presenta XCP, NProtect guarda archivos en un directorio que los analizadores antivirus no pueden detectar. En teoría, los autores de malware podrían proteger sus archivos colocándolos en el directorio NProtect. Symantec defiende el uso de las técnicas de ocultación como una herramienta importante en la lucha contra el malware, pero muchos miembros de la comunidad reprueban que haya adoptado y legitimado las mismas tecnologías que sus adversarios distribuyen y promocionan. El debate relacionado con las técnicas de ocultación en software comercial continuó al conocerse que el motor antivirus de Kaspersky (KAV) empleaba tecnología istreams. La tecnología istreams mejora el rendimiento del analizador KAV almacenando la suma de comprobación de los archivos que ya se han analizado en los flujos alternativos de datos (ADS, Alternate Data Streams) de NTFS. Kaspersky aseguró que ocultar los flujos de NTFS no suponía ninguna amenaza, ya que son datos internos del programa y se reconstruyen si algún código o dato malintencionado los sobrescribe. Aunque esta técnica no implicaba ningún riesgo de seguridad importante, también fue muy criticada en los medios de comunicación. [MCA06]

8 4 Objetivos de los rootkits 1. Ocultar los rastros de la entrada de un intruso en el ordenador. 2. Ocultar la presencia de procesos o aplicaciones maliciosas. 3. Ocultar las actividades dañinas como si fueran realizadas por programas legítimos. 4. Ocultar la presencia de exploits, backdoors. 5. Almacenar información a la que un intruso no podría tener acceso de otra manera. 6. Utilizar al sistema comprometido como intermediario para llevar a cabo otras intrusiones y/o ataques maliciosos. 5 Tendencias en tecnología de rootkit En esta sección trataremos las razones que justifican el aumento en la adopción y diversidad de rootkits, la motivación de los creadores de rootkits y las tendencias tecnológicas que conformarán el futuro de los mismos. [MCA06] 5.1 Tendencia 1: Además de a los troyanos, los rootkits afectan a otras formas de malware y PUP En los últimos años, la incidencia de tecnologías de ocultación en malware, PUP y aplicaciones comerciales es más de seis veces mayor. Como muestra el Gráfico 1, en 2005 las tecnologías de ocultación ya no se utilizaban exclusivamente en troyanos; aparecieron en otras formas de malware, así como en PUP y aplicaciones comerciales. El aumento repentino de las tecnologías de ocultación puede atribuirse a esfuerzos conjuntos de investigación en línea. Sitios Web como contienen cientos de líneas de código de rootkit que, junto con los ejecutables binarios, pueden utilizarse fácilmente para incluirlos en malware. Algunos rootkits que se han observado durante su propagación se han tomado o modificado directamente de tecnologías de ocultación encontradas en estos sitios Web. Gráfico 1: Aumento de las Y lo que es peor, se han técnicas de ocultación en encontrado comentarios en blogs en software estos sitios que incluso enseñan a los lectores cómo eludir la detección antivirus mediante la compilación de código fuente.

9 5.2 Tendencia 2: Los rootkits son cada vez más sofisticados La colaboración no sólo facilita la divulgación de las tecnologías de ocultación. También fomenta el desarrollo de nuevas técnicas de ocultación, todavía más sofisticadas. Un factor que permite medir la complejidad de un paquete de software es el número de archivos que lo componen. Por ejemplo, si un paquete de rootkit denominado a.exe instala los archivos b.exe, c.dll y d.sys, en el que d.sys instala el componente de ocultación del rootkit, se considera que el número total de componentes es de cuatro. Suponemos que d.sys oculta o protege los demás archivos del paquete. El Gráfico 2 muestra cómo ha aumentado la complejidad de los rootkits en los últimos seis años. La complejidad de los rootkits conocidos aumentó en casi un 200 por ciento en Gráfico 2: Distribución de técnicas de ocultación por familias de software 5.3 Tendencia 3: Los rootkits incorporados en Windows ganan ventaja La mayoría de la actividad de rootkits observada en la actualidad tiene como objetivo la plataforma Windows. Tras alcanzar su máxima incidencia (casi un 70 por ciento) en 2001, la actividad de ocultación basada en Linux es ahora insignificante. Aunque casi con toda seguridad los rootkits basados en Linux no van a desaparecer, los basados en Windows dominarán el escenario en un futuro cercano, debido principalmente a la popularidad de Windows y al desafío técnico que suponen las numerosas interfaces de programación de aplicaciones (API) no documentadas de Windows. El Gráfico 3 muestra el crecimiento de los rootkits "puros" en Windows, y la tendencia a incluirlos en otras categorías de malware. Observado por primera vez en 2001, NTRootkit y sus variantes siguieron propagándose hasta Los rootkits HackerDefender, AFXRootkit y PWS Progent aparecieron por primera vez en HackerDefender ha mostrado un

10 crecimiento importante en los últimos años, mientras que las variantes de AFXRootkit y PWS Progent fueron detectadas solamente a finales de Los rootkits relativamente avanzados, como FURootkit, están entre los más predominantes en este momento. 5.4 Tendencia 4: Se han encontrado vectores de ataque de rootkits en software legal e ilegal La versatilidad de las tecnologías de ocultación ha propiciado su propagación a casi cualquier vector de ataque con malware conocido. Su popularidad ha convencido incluso a los proveedores de software comercial, que han comenzado a incorporarlas a sus productos. Como se puede observar en el gráfico, los vectores de inyección de tecnología de ocultación cubren ahora el espectro de métodos de distribución de software que abarca desde ataques que no requieren la intervención del usuario hasta las aplicaciones de confianza que instala el propio usuario. Algunos ejemplos de rootkits muy conocidos y sus vectores de ataque demuestran esta amplia cobertura. Backdoor BAC se ha distribuido a través de mensajes de spam, troyanos de descarga (downloader) y ataques directos que aprovechan vulnerabilidades (exploits). HackerDefender se distribuye generalmente a través de spam, bots, ataques directos que aprovechan vulnerabilidades y aplicaciones para compartir archivos. Se ha observado que algunos rootkits se descargan a través de gusanos de envío masivo para crear complejos ataques combinados. Otros, se propagan a través de archivos adjuntos de correo electrónico, redes p2p o mediante paquetes de software (como PUP). Un ejemplo de este tipo de software es el ejecutable build2.exe, que se detectó como Adware Isearch. Agrupaba una utilidad de búsqueda en el equipo y un complemento de Firefox, y creaba iconos que promocionaban el programa antispyware spywareavenger (www.spywareavenger.com) y el programa antivirus VirusHunter (www.virushunter.com). Sin embargo, el paquete contenía también un programa de adware, abetterintrnt, que descargaba una utilidad. Posteriormente

11 esa utilidad instalaba otros programas de adware en el equipo. Por último, Adware Isearch liberaba un rootkit a nivel de kernel para proteger todos los archivos que se habían instalado, de forma que no pudieran ser eliminados por el usuario, por un analizador antivirus o por un analizador antispyware. Últimamente, las tecnologías de ocultación se propagan a través de vectores de software comercial, es decir, programas de confianza, como ha sido el caso de la distribución de XCP. La mayoría de los usuarios permitieron, sin saberlo, la instalación en sus sistemas de la tecnología de ocultación de XCP porque se trataba de una aplicación de confianza y deseaban escuchar la música con derechos de autor de los CD de Sony, creando vulnerabilidades de seguridad graves durante el proceso. Gráfico 3: Diversidad de vectores de ataque: canales que emplean los rootkits para propagarse 5.5 Tendencia 5: La incorporación de tecnologías de ocultación es cada vez más fácil Gracias a la disponibilidad del código de los rootkits y los kits de creación de tecnologías de ocultación, los autores de malware pueden ocultar fácilmente procesos, archivos y registros, sin necesidad de tener conocimientos detallados del sistema operativo de su objetivo.

12 En figura puede apreciarse lo fácil que resulta: la interfaz de usuario del kit de creación de ocultación Nuclear Rootkit sólo requiere un nombre de archivo o directorio y con sólo hacer clic emplea distintas técnicas de ocultación para crear código binario personalizado que oculta el archivo o directorio, así como los puertos, procesos y entradas del registro. Aunque el kit de creación de ocultación descrito se puede descargar de forma gratuita, cualquiera puede comprar otros kits de creación de ocultación personalizados más complejos, como A 311 Death y la edición de lujo de HackerDefender. El éxito del fraude de tipo phishing de Backdoor BAC (alias Haxdoor y A 311 Death) puso de manifiesto las implicaciones de esta facilidad de acceso. El troyano le proporcionó al autor miles de números de identificación personal bancaria (PIN), contraseñas y otros datos confidenciales. Motivados por la recompensa financiera y los costes iniciales relativamente asequibles, los piratas informáticos y autores de malware siguen escribiendo nuevos rootkits que eluden la detección de los analizadores antivirus y otros productos de seguridad. La colaboración en línea de estos malhechores supone un reto importante para la comunidad de seguridad, ya que cada vez es más difícil prevenir, detectar y eliminar este malware cada día más sofisticado. A continuación, analizaremos las tecnologías que hacen posible la ocultación en la plataforma Microsoft Windows. Tras una breve explicación de la arquitectura de seguridad básica de Windows, examinaremos la diversidad de métodos descubiertos para ocultar archivos, procesos y claves de registro. Comenzaremos por los rootkits en modo de usuario, que funcionan con el mismo nivel de privilegios que el usuario que los instaló. A esta categoría pertenecen la mayor parte de las tecnologías de ocultación conocidas hasta la fecha. Los rootkits que obtienen privilegios superiores, a nivel del sistema, no son tan comunes, sin embargo resultan muy difíciles de eliminar, ya que sus procesos disponen de privilegios de sistema. Para terminar, describiremos esta última tendencia en tecnologías de ocultación.

13 6 Tipos de Rootkits en la plataforma Windows [MCA06] La arquitectura i386 admite cuatro anillos, o niveles de privilegios, (numerados del 0 al 3) para impedir que código con privilegios inferiores sobrescriba los datos y el código del sistema, ya sea de forma accidental o malintencionada. El anillo 0 es el nivel mas elevado de privilegios, y el anillo 3 es el más básico. Windows emplea dos niveles de privilegios (anillos 0 y 3) para la seguridad de los procesos y los datos. Gracias al uso de sólo dos niveles de privilegios, Windows puede ejecutarse en arquitecturas de CPU que no admiten los cuatro niveles. A continuación se muestra una vista general de una ruta de ejecución de una aplicación en modo de usuario sencilla. Las aplicaciones de usuario solicitan constantemente recursos del kernel de sistema operativo y de hardware; estas interacciones las gestiona el sistema operativo. Para comunicarse con el kernel, las aplicaciones en modo de usuario utilizan llamadas API Win32, que se exportan mediante el conjunto de bibliotecas de vínculos dinámicos (DLL) que forman el subsistema Win32. Cuando se realiza una llamada de función al subsistema Win32, éste a su vez tiene las siguientes cuatro posibilidades: Gestionar la solicitud de forma local, dentro del espacio de usuario, y no realizar la llamada al kernel. Realizar una llamada a un servicio en modo de usuario, como csrss.exe, responsable de mantener en ejecución el subsistema Win32. Este proceso mantiene la información de estado de los procesos Win32 y devuelve información a las API que efectúan la llamada. Enviar una llamada de procedimiento remoto (RPC) a uno de los servicios de Windows en ejecución que actúe como servidor para esa interfaz RPC en concreto. Llamar a una API que necesite los servicios del kernel. Esta categoría de llamada API llama en realidad a la función correspondiente en la biblioteca ntdll.dll. Ntdll.dll asigna las solicitudes API entrantes a sus servicios de kernel correspondientes a través de un mecanismo llamado distribución de servicios del sistema. La transferencia del control desde el modo de usuario al modo de kernel se efectúa a través de una función especial del procesador que puede ser una interrupción (INT 02E para Windows 2000 y los sistemas Windows NT anteriores) o instrucciones SysEnter/SysExit (para Windows XP y Windows Vista). Un rootkit debe alterar este flujo de ruta de ejecución normal para conseguir que prospere su implementación de ocultación. Esta modificación se puede realizar a través de un proceso que se ejecuta a nivel del sistema denominado

14 "interceptación" (en inglés, hooking, que significa "enganche"). La propia arquitectura de Windows admite numerosos métodos de interceptación de fácil implementación que le permiten mantener su flexibilidad y su capacidad de ampliación. Por lo general, los rootkits modifican los datos que devuelven las llamadas de funciones del sistema de Windows para ocultar sus archivos binarios, procesos y entradas del registro. Gráfico 4: Interacción entre el modo de usuario y el modo de kernel de Windows para sistemas Win32 En función de dónde se ejecutan y en qué área del sistema se interceptan, la tecnología de ocultación de los rootkits se presenta de dos maneras: en modo de usuario y en modo de kernel. Los rootkits en modo de usuario son relativamente fáciles de detectar y reparar, ya que se ejecutan con privilegios de usuario. Por el contrario, los rootkits en modo de kernel, se ejecutan con privilegios de sistema, lo que complica más su detección y reparación. 6.1 Rootkits en modo de usuario [MCA06] Los rootkits en modo de usuario sencillos (por ejemplo, Qoolaid) pueden pasar desapercibidos en las herramientas de gestión de procesos, como el Administrador de tareas de Windows, y llegar incluso a hacerse con el control del propio proceso de la herramienta. Sin embargo, su efectividad depende de su habilidad para ocultarse de los analizadores de virus y otras herramientas de seguridad Vectores de instalación Para alterar la ruta de ejecución del API utilizadas habitualmente, los rootkits en modo de usuario pueden ejecutarse dentro de otro proceso mediante la carga de una DLL en el espacio de memoria del objetivo. Sin embargo, no es preciso que el rootkit se ejecute dentro de la memoria del proceso interceptado. Un método alternativo de interceptación para el autor de malware es escribir código

15 arbitrario utilizando la función WriteProcessMemory de la API de Windows. A continuación se muestran los vectores de ataque de inyección de código más utilizados. Gráfico 5: Vectores de ataque de inyección de código Ahora veremos, brevemente, la diversidad de vectores a través de los cuales puede inyectarse el código de ataque. Todas estas técnicas dependen de interfaces API de Windows documentadas que se emplean habitualmente en utilidades, herramientas de desarrollo, depuradores y herramientas de seguridad, entre otras. Por consiguiente, la mera detección del uso de estas técnicas no constituye prueba suficiente de la presencia de un rootkit Inyección a través de extensiones de aplicaciones El diseño del sistema operativo Windows, el Explorador de Windows e Internet Explorer permite ampliarlos mediante programación. Por ejemplo, modificando claves del registro, de forma que apunten al rootkit. Así, cada proceso que haga uso de ésta dll, también cargará la dll de rootkit que tendrá acceso al espacio de direcciones del proceso y podrá aplicar distintos métodos de interceptación del código de proceso y las secciones de datos Inyección a través de filtros de mensajes de Windows El sistema de mensajería de Windows permite la instalación de filtros de mensajes con el fin de admitir una amplia variedad de funciones. Para instalar un filtro, Windows proporciona una interfaz que puede situar una determinada biblioteca en el espacio de direcciones de cada proceso. Se puede llamar a SetWindowsHookEx para que intercepte uno o varios eventos del sistema. Las interceptaciones se pueden definir para cualquier método de entrada o para cualquier mensaje de Windows que se genera para una única aplicación. Son blancos frecuentes las aplicaciones que se ejecutan en el mismo equipo que el subproceso que realiza la llamada. Todos los eventos interceptados son oportunidades que

16 tiene el rootkit de alterar los resultados de posteriores llamadas API Inyección a través del subsistema de depuración El sistema de depuración que incluye Windows permite depurar una aplicación e influir en la ejecución de otra. Suponiendo que el usuario que ejecuta el depurador dispone de suficientes privilegios, es posible crear nuevos subprocesos de ejecución en un proceso de destino, así como leer y escribir desde su espacio de direcciones de memoria Inyección a través de vulnerabilidades en aplicaciones Las aplicaciones de Windows utilizan muchos métodos para las comunicaciones entre procesos, además de la posibilidad de recibir tráfico a través de conexiones de red y archivos locales compartidos con otras aplicaciones. En general, las aplicaciones locales no se limitan a comunicarse entre sí, lo que multiplica las posibles vías de ataque. Si una aplicación contiene una vulnerabilidad de desbordamiento de búfer o confía en un archivo local que puede modificar otra aplicación, el malware puede hacerse con el control del código que ejecuta dicha aplicación. 6.2 Técnicas de carga destructiva [MCA06] Una vez que una DLL se carga en el espacio de direcciones de la víctima, el rootkit en modo de usuario intercepta y modifica el resultado de una función API para ocultar su existencia y la de los objetos que contiene. Para esta intercepción se emplea una de las siguientes técnicas: interceptación de la tabla de direcciones de importación (IAT, Import Address Table) o interceptación de funciones en línea.

17 6.3 Interceptación de la tabla de direcciones de importación Vamos a analizar la estructura de un encabezado de un archivo ejecutable portátil. Gráfico 6: Formato de archivo ejecutable portátil La sección de datos de importación, idata, contiene direcciones de funciones importadas. Cuando se compila un programa, no todas las llamadas API que contiene se vinculan a los módulos de biblioteca en los que residen. Estas llamadas API se redirigen a través de la tabla de direcciones de importación (IAT) utilizando instrucciones de lenguaje ensamblador estándar. Cuando el proceso carga memoria binaria, resuelve las direcciones de la tabla IAT, de manera que las instrucciones se redirigen a las nuevas direcciones. Esta arquitectura permite la portabilidad del código binario a distintos sistemas operativos sin necesidad de recompilar. Una vez dentro del espacio de direcciones del proceso al que se dirige el ataque, la DLL del rootkit puede analizar el formato del archivo ejecutable portátil y encontrar la ubicación de la función de destino dentro de la tabla IAT. A partir de ahí, resulta muy fácil sustituir la función de destino por una de intercepción desde el código del rootkit. El resultado es que cada vez que se ejecuta una llamada a la API de destino, se ejecuta el rootkit y se alteran los datos que se transmiten a/o desde la función de destino. (Estas técnicas se pueden utilizar para interceptar cualquier API, no sólo kernel32.dll)

18 Gráfico 7: Rutina de interceptación por modificación de la tabla IAT

19 6.3.1 Interceptación de funciones en línea La interceptación de funciones en línea se distingue de la que afecta a la tabla IAT en que redirige la llamada al código del atacante, modificándolo una vez que el código real se encuentra en las DLL principales del sistema. El rootkit modifica solamente los primeros bytes de la función dentro de las DLL principales del sistema (kernel32.dll y ntdll.dll), incluyendo una instrucción de manera que las llamadas del proceso pasen primero por el rootkit. Como en el caso de la interceptación que emplea la tabla IAT, el código del rootkit comprueba si los parámetros indican la necesidad de falsificar los resultados y, a continuación, actúa en consecuencia. Gráfico 8: Rutina de interceptación de funciones de línea

20 6.4 Rootkits en modo kernel [MCA06] La programación en modo de kernel la utilizan habitualmente aplicaciones legítimas, como controladores de dispositivos del sistema y programas antivirus. Los controladores de dispositivos del sistema emplean programas de modo de kernel para acceder a objetos y funciones de kernel de nivel bajo, así como para controlar el hardware subyacente. Las herramientas antivirus emplean programas en modo de kernel para supervisar los cambios en todo el sistema y acceder a los permisos a nivel de kernel con el fin de proteger contra actividades malintencionadas que pueda desarrollar cualquier archivo. Para los productos de seguridad, la ejecución en modo de kernel presenta la ventaja añadida de que la mayoría de los procesos en modo de usuario no pueden eliminar el programa. El siguiente paso lógico de la tecnología de rootkit es operar en modo de kernel con privilegios de sistema. Operando al mismo nivel de privilegios que las herramientas de seguridad, los rootkits evitarán de manera más eficaz su detección y eliminación. Necesitan que su código se cargue en el espacio de direcciones del kernel, algo que por lo general consiguen mediante la instalación de un controlador de dispositivo en modo de kernel. Una vez que el mecanismo está en funcionamiento, los rootkits en modo de kernel pueden implementar varias interceptaciones de llamadas API. Este método es similar a la táctica empleada por los rootkits en modo de usuario, con la salvedad de que para las interceptaciones se utiliza un nivel de privilegios superior Técnicas destructivas de rootkits en modo kernel Aunque hay muchos tipos de rootkits en modo de kernel, debido a su complejidad y su limitada compatibilidad no han conseguido más popularidad que los ataques en modo de usuario Modificación de la tabla de descriptores de servicios del sistema (SSDT) Las API en modo de usuario, se implementan en kernel32.dll, que llama a la API nativa implementada en ntdll.dll. ntdll.dll llama a su vez a la instrucción del procesador INT 2e/SYSENTER para transferir el control al modo de kernel tras definir el índice de funciones de destino en un registro de procesador (EDX). En modo de kernel, el gestor de distribución de servicios del sistema, que reside en ntoskrnl.exe, emplea el índice de funciones del registro EDX para localizar la función de kernel del sistema correspondiente dentro de la tabla de descriptores de servicios del sistema (SSDT, System Service Descriptor Table). Dentro del kernel, los controladores de

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Rootkits: jugando a las escondidas

Rootkits: jugando a las escondidas Rootkits: jugando a las escondidas Autor: Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica Fecha: Martes 29 de abril del 2008 ESET, LLC 610 West Ash Street, Suite 1900 phone:

Más detalles

UNIVERSIDAD NACIONAL AUTONOMA DE MEXICO FACULTAD DE INGENIERIA. Sistemas Operativos. Exposición Rootkits RODRIGUEZ SALGADO ISAAC VINCENT

UNIVERSIDAD NACIONAL AUTONOMA DE MEXICO FACULTAD DE INGENIERIA. Sistemas Operativos. Exposición Rootkits RODRIGUEZ SALGADO ISAAC VINCENT UNIVERSIDAD NACIONAL AUTONOMA DE MEXICO FACULTAD DE INGENIERIA Sistemas Operativos Exposición Rootkits RODRIGUEZ SALGADO ISAAC VINCENT GARCIA CARMONA DANIEL ANGEL Qué es un rootkit? Básicamente es un programa

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Tema 17. Algunos aspectos de seguridad informática

Tema 17. Algunos aspectos de seguridad informática Tema 17. Algunos aspectos de seguridad informática Virus y otro malware Cortafuegos Criptografía Recomendaciones de seguridad generales Virus y otro malware Malware Virus Troyanos Keyloggers Programas

Más detalles

Proporciona información sobre vulnerabilidades en los equipos: Carpetas compartidas, Riesgos Explotables por Worms, Trojanos, Backdoors entre otros.

Proporciona información sobre vulnerabilidades en los equipos: Carpetas compartidas, Riesgos Explotables por Worms, Trojanos, Backdoors entre otros. www.hauri-la.com ViRobot Intranet Security Management System Debido al crecimiento de Internet como medio de comunicación, la propagación de Malware y el desarrollo de tipos de ataques cada vez más sofisticados

Más detalles

ESET SMART SECURITY 6

ESET SMART SECURITY 6 ESET SMART SECURITY 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET Smart

Más detalles

Indice ... 3... 3... 4... 7

Indice ... 3... 3... 4... 7 Indice Nuevas vías de infección Del disquete al USB... 3 La consumerización abre nuevas brechas de seguridad... 3 Como se extiende este nuevo tipo de malware... 4 Como lidiar con esta amenaza: Protección

Más detalles

MEDIDAS DE PREVENCION CONTRA VIRUS

MEDIDAS DE PREVENCION CONTRA VIRUS MEDIDAS DE PREVENCION CONTRA VIRUS La seguridad consiste en asegurar que los recursos del sistema informático (información, programas) de una organización sean utilizados de la manera que se decidió y

Más detalles

Un resumen de la actividad de virus en enero del año 2015

Un resumen de la actividad de virus en enero del año 2015 Un A resumen partir del año 1992 de la actividad de virus en enero 1 Un resumen de la actividad de virus en enero 2 2 de febrero de 2015 Según los datos de los especialistas de la empresa Doctor Web, el

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

Bienvenido a la Guía de inicio - seguridad

Bienvenido a la Guía de inicio - seguridad Bienvenido a la Guía de inicio - seguridad Contenido Bienvenido a la Guía de inicio - Security... 1 PC Tools Internet Security... 3 Introducción a PC Tools Internet Security... 3 Instalación... 3 Introducción...

Más detalles

Seguridad Informática ANTIVIRUS. Antivirus

Seguridad Informática ANTIVIRUS. Antivirus Seguridad Informática ANTIVIRUS Antivirus Que es un Antivirus??? Un antivirus es un programa informático específicamente diseñado para detectar bloquear y eliminar virus, utilizan diferentes técnicas para

Más detalles

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com New Generation Secure your Network Totally Reloaded www.hauri-la.com Menos Trabajo + Protección Completa Más Características Simplifica tus tareas administrativas a través del Administrador del Historial

Más detalles

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 Información de Producto EMSISOFT ANTI-MALWARE Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 www.emsisoft.com Estimado usuario, Hemos preparado esta información

Más detalles

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB Contenido 1. NOMBRE DEL AREA... 2 2. RESPONSABLES DE LA EVALUACIÓN... 2 3. CARGOS... 2 4. FECHA... 2 5. JUSTIFICACIÓN... 2 6.

Más detalles

Realizado por: Daniel Sánchez Álvarez

Realizado por: Daniel Sánchez Álvarez Realizado por: Daniel Sánchez Álvarez QUE SON? Es una red de equipos infectados por códigos maliciosos que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta

Más detalles

María Camila Restrepo Castrillón. Mantener la Operatividad del Sistema

María Camila Restrepo Castrillón. Mantener la Operatividad del Sistema María Camila Restrepo Castrillón Mantener la Operatividad del Sistema RELACION ENTRE KERNEL Y VARIABLES DE ENTORNO Todas las variables tiene valores razonables de forma predeterminada, pueden ser modificadas

Más detalles

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet GUÍA DE AMENAZAS Botnet Su accionar consiste en formar una red o grupo de computadoras zombis (infectados con malware), que son controlados por el propietario de los bots (atacante). Es decir, toman control

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Webcast Aranda 360 ENDPOINT SECURITY ANDREZ LAMOUROUX S. Network & Security Solutions Manager - LATAM El Problema: La Protección de sus Puntos Finales Control de Laptops / Netbooks Uso no controlado del

Más detalles

EL SOFTWARE MALICIOSO MALWARE

EL SOFTWARE MALICIOSO MALWARE Página 1 de 5 Si usted no puede visualizar correctamente este mensaje, presione aquí Medellín, 21 de mayo de 2009 Boletín técnico de INDISA S.A. No. 71 EL SOFTWARE MALICIOSO MALWARE Autor: Omar Calvo Analista

Más detalles

ViRobot ISMS. (ViRobot Intranet Security Management System) Características Generales

ViRobot ISMS. (ViRobot Intranet Security Management System) Características Generales ViRobot ISMS (ViRobot Intranet Security Management System) Características Generales Hauri México 2006 Tabla de Contenido 1. Concepto 2. Revisión 3. Características Principales 4. Requerimientos del Sistema

Más detalles

ECBTI/Sur/Herramientas Teleinformáticas-221120. Malware. Hernando Arbey Robles Puentes. Neiva, 8 de Septiembre de 2014

ECBTI/Sur/Herramientas Teleinformáticas-221120. Malware. Hernando Arbey Robles Puentes. Neiva, 8 de Septiembre de 2014 ECBTI/Sur/Herramientas Teleinformáticas-221120 Malware Hernando Arbey Robles Puentes Neiva, 8 de Septiembre de 2014 Malvare Definición: Es un software malicioso creado con la intención de introducirse

Más detalles

Sophos Control Center Ayuda

Sophos Control Center Ayuda Sophos Control Center Ayuda Versión: 4.1 Edición: marzo de 2010 Contenido 1 Acerca de Sophos Control Center...3 2 Introducción a Sophos Control Center...4 3 Comprobar que la red se encuentra protegida...8

Más detalles

Qué es un antivirus? Son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware).

Qué es un antivirus? Son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware). Antivirus Qué es un antivirus? Son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware). Funcionamiento Básico Compara el código de

Más detalles

1. Virus y antivirus. Módulo I. Navegación segura. Ciudadanía digital. Uso seguro y responsable de las TIC. 3 de 127

1. Virus y antivirus. Módulo I. Navegación segura. Ciudadanía digital. Uso seguro y responsable de las TIC. 3 de 127 1. Virus y antivirus La seguridad del ordenador es una tarea básica e imprescindible para cualquier usuario que accede a Internet. Por este motivo es conveniente que forme parte del currículum cuando se

Más detalles

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos ENDPOINT PROTECTION STANDARD Para empresas con más de 25 equipos 2 ESET Endpoint Protection Standard Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar

Más detalles

SEGURIDAD EN INFORMÁTICA

SEGURIDAD EN INFORMÁTICA SEGURIDAD EN INFORMÁTICA LA SEGURIDAD Y SUS IMPLICACIONES Características principales de la seguridad en Internet: Confidencialidad. Sólo deben tener acceso a aquellas personas autorizadas para ello. Autentificación

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Protección de los clientes contra los ataques a la red

Protección de los clientes contra los ataques a la red Protección de los clientes contra los ataques a la red La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY 1. Generalidades FAQs Qué tipo de amenazas ponen en peligro la infraestructura de mi PC? Cómo Aranda 360 protege la infraestructura de mi PC? Puedo usar Aranda 360 sin un antivirus? Puedo usar Aranda 360

Más detalles

LEY 28612 LEY QUE NORMA EL USO, ADQUISICIÓN Y ADECUACIÓN DEL SOFTWARE EN LA ADMINISTRACIÓN PÚBLICA

LEY 28612 LEY QUE NORMA EL USO, ADQUISICIÓN Y ADECUACIÓN DEL SOFTWARE EN LA ADMINISTRACIÓN PÚBLICA Página: 1 de 12 INFORME TÉCNICO ADQUISICION DE SOFTWARE DE SOLUCIÓN ANTIVIRUS Página: 2 de 12 CONTENIDO I. NOMBRE DEL ÁREA 3 II. RESPONSABLE DE LA EVALUACIÓN 3 III. CARGO 3 IV. FECHA 3 V. JUSTIFICACIÓN

Más detalles

Alcance y descripción del servicio ANTIVIRUS IPLAN

Alcance y descripción del servicio ANTIVIRUS IPLAN Alcance y descripción del servicio ANTIVIRUS IPLAN 1. Introducción. El servicio de Antivirus IPLAN ofrece una amplia cobertura contra distintos tipos de detecciones, permitiendo de forma cotidiana, efectiva

Más detalles

ASISTENCIA TÉCNICA A LA SEGURIDAD INFORMÁTICA EN PYMES MANUAL MICROSOFT SECURITY ESSENTIALS

ASISTENCIA TÉCNICA A LA SEGURIDAD INFORMÁTICA EN PYMES MANUAL MICROSOFT SECURITY ESSENTIALS ASISTENCIA TÉCNICA A LA SEGURIDAD INFORMÁTICA EN PYMES MANUAL MICROSOFT SECURITY ESSENTIALS Microsoft Security Essentials Qué es? Microsoft Security Essentials tiene la potencia del motor Antimalware de

Más detalles

UNIVERSIDAD DE VALENCIA ESCUELA UNIVERSITARIA ESTUDIOS EMPRESARIALES DEPARTAMENTO DE DIRECCIÓN DE EMPRESAS

UNIVERSIDAD DE VALENCIA ESCUELA UNIVERSITARIA ESTUDIOS EMPRESARIALES DEPARTAMENTO DE DIRECCIÓN DE EMPRESAS UNIVERSIDAD DE VALENCIA ESCUELA UNIVERSITARIA ESTUDIOS EMPRESARIALES DE DEPARTAMENTO DE DIRECCIÓN DE EMPRESAS INFORMÀTICA APLICADA A LA GESTIÓN DE EMPRESAS Curso 1998-99 VIRUS INFORMÁTICOS Virus: El primer

Más detalles

Semana 3: Con Con r t o r l de Acceso

Semana 3: Con Con r t o r l de Acceso Semana 3: Control de Acceso Intrusiones Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como

Más detalles

Seguridad y Auditoría Informática. Alberto García Illera agarcia@informatica64.com

Seguridad y Auditoría Informática. Alberto García Illera agarcia@informatica64.com Seguridad y Auditoría Informática Alberto García Illera agarcia@informatica64.com VULNERABILIDADES El termino vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar

Más detalles

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition)

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) Boletín de Producto 11 de Marzo de 2010 Versión 2.6 ESET NOD32 Antivirus 4 Todos los usuarios necesitan contar con una protección completa

Más detalles

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE NÚMERO: P001-2013-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE NÚMERO: P001-2013-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS Página 1 de 10 INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE NÚMERO: P001-2013-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS Página 2 de 10 1. NOMBRE DEL ÁREA: Gerencia de Sistemas y Tecnologías

Más detalles

SOLUCIONES PARA EMPRESA

SOLUCIONES PARA EMPRESA SOLUCIONES PARA EMPRESA 2 Soluciones para empresa Tanto si acabas de montar tu empresa como si ya lleva tiempo establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario.

Más detalles

AYUDA CONTRA LOS VIRUS Y EL SOFTWARE MALICIOSO

AYUDA CONTRA LOS VIRUS Y EL SOFTWARE MALICIOSO AYUDA CONTRA LOS VIRUS Y EL SOFTWARE MALICIOSO Describimos aquí ciertos recursos para actuar contra los virus y otras amenazas que pueden afectar a nuestro ordenador. Son comentarios de los recursos y

Más detalles

Pack Seguridad PC. Manual de usuario

Pack Seguridad PC. Manual de usuario Pack Seguridad PC Página 1 de 97 McAfee 2009 Índice 1. McAfee Online Security o Pack Seguridad PC... 10 2. McAfee Security Center... 10 2.1. Funciones de Security Center...10 2.1.1. Estado de protección

Más detalles

TEMA 42 Principales amenazas para la seguridad de los SI s: Intrusiones, virus, phishing, spam y otros..

TEMA 42 Principales amenazas para la seguridad de los SI s: Intrusiones, virus, phishing, spam y otros.. TEMA 42 Principales amenazas para la seguridad de los SI s: Intrusiones, virus, phishing, spam y otros.. 1 Introducción... 1 2 Programas maliciosos... 3 2.1 Métodos de infección:...3 2.2 Métodos de prevención...4

Más detalles

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Por qué han recurrido los cibercriminales a los ataques de Los ataques a sitios web se han convertido en un negocio muy rentable. Antes, los cibercriminales infectaban sitios web para llamar la atención

Más detalles

Contenidos. Sistemas operativos Tema 3: Estructura del sistema operativo. Componentes típicos de un SO. Gestión de procesos.

Contenidos. Sistemas operativos Tema 3: Estructura del sistema operativo. Componentes típicos de un SO. Gestión de procesos. Contenidos Sistemas operativos Tema 3: Estructura del sistema operativo Componentes típicos del SO Servicios del SO Llamadas al sistema Programas del sistema El núcleo o kernel Modelos de diseño del SO

Más detalles

La Arquitectura de las Máquinas Virtuales.

La Arquitectura de las Máquinas Virtuales. La Arquitectura de las Máquinas Virtuales. La virtualización se ha convertido en una importante herramienta en el diseño de sistemas de computación, las máquinas virtuales (VMs) son usadas en varias subdiciplinas,

Más detalles

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Contenido F-Secure Anti-Virus for Mac 2015 Contenido Capítulo 1: Empezando...3 1.1 Administrar la suscripción...4 1.2 Cómo asegurarme de que mi equipo está protegido...4

Más detalles

para empresas con más de 25 puestos

para empresas con más de 25 puestos para empresas con más de 25 puestos ESET Business Solutions 1/7 Más allá de que su empresa recién se esté creando o ya esté bien establecida, hay ciertas cosas que debería esperar del software de seguridad

Más detalles

PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF

PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF 1. NOMBRE DEL AREA: Informática que depende de la Jefatura de Planificación y Presupuesto 2.

Más detalles

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015)

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015) AVG File Server Manual del usuario Revisión del documento 2015.08 (22.09.2015) C opyright AVG Technologies C Z, s.r.o. Reservados todos los derechos. El resto de marcas comerciales son propiedad de sus

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Botnet. Gusanos. Las diez amenazas más peligrosas de Internet. Consejos para prevenir la amenaza: Mantener las actualizaciones

Botnet. Gusanos. Las diez amenazas más peligrosas de Internet. Consejos para prevenir la amenaza: Mantener las actualizaciones Conocé las amenazas más peligrosas que actualmente existen en Internet. En esta guía podrán conocer y aprender junto a los chicos qué riesgos hay en la web y como prevenirlos Las diez amenazas más Botnet

Más detalles

INFORME DE INFORMATICA

INFORME DE INFORMATICA REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN SUPERIOR INSITITUTO UNIVERSITARIO POLITÉCNICO SANTIAGO MARIÑO FACULTAD DE INGENIERÍA INFORME DE INFORMATICA Elaborado por:

Más detalles

Robos a través de móviles

Robos a través de móviles 1 Robos a través de móviles Android es el sistema más usado entre los usuarios de dispositivos móviles y el segundo más usado después de Windows para los creadores de virus. Los primeros programas malintencionados

Más detalles

Qué son y cómo combatirlas

Qué son y cómo combatirlas Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas

Más detalles

Informe de inteligencia sobre seguridad

Informe de inteligencia sobre seguridad Informe de inteligencia sobre seguridad De enero a junio de 2007 Resumen de resultados clave Informe de inteligencia sobre seguridad de Microsoft (enero junio de 2007) Resumen de resultados clave El informe

Más detalles

SEGURIDAD INFORMATICA VIRUS INFORMATICOS Y OTROS CODIGOS DAÑINOS

SEGURIDAD INFORMATICA VIRUS INFORMATICOS Y OTROS CODIGOS DAÑINOS SEGURIDAD INFORMATICA CODIGOS DAÑINOS Virus Informático Software Malicioso Malware Tiene como objetivo alterar el normal funcionamiento de un sistema informático sin autorización del usuario CICLO DE VIDA

Más detalles

Contenido. McAfee Internet Security 3

Contenido. McAfee Internet Security 3 Guía del usuario i Contenido McAfee Internet Security 3 McAfee SecurityCenter...5 Funciones de SecurityCenter...6 Uso de SecurityCenter...7 Solucionar u omitir problemas de protección...17 Trabajar con

Más detalles

PARA MAC Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento

PARA MAC Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento PARA MAC Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET Cyber Security Pro proporciona una innovadora protección para su ordenador contra código malicioso.

Más detalles

Unidad 1: Conceptos generales de Sistemas Operativos.

Unidad 1: Conceptos generales de Sistemas Operativos. Unidad 1: Conceptos generales de Sistemas Operativos. Tema 3: Estructura del sistema operativo. 3.1 Componentes del sistema. 3.2 Servicios del sistema operativo. 3.3 Llamadas al sistema. 3.4 Programas

Más detalles

Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD

Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD SEGURIDAD INFORMATICA Es el conjunto de acciones, herramientas y dispositivos cuyo objetivo es dotar a un sistema informático de integridad,

Más detalles

Antivirus PC. Manual de usuario

Antivirus PC. Manual de usuario Antivirus PC Página 1 de 55 McAfee 2009 Índice 1. McAfee Online Antivirus o Antivirus PC... 6 2. McAfee Security Center... 6 2.1. Funciones de Security Center... 6 2.1.1. Estado de protección simplificado...6

Más detalles

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guía de inicio rápido

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guía de inicio rápido Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guía de inicio rápido ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor

Más detalles

VÍDEO intypedia006es LECCIÓN 6: MALWARE. AUTOR: Bernardo Quintero. Hispasec VirusTotal Founder

VÍDEO intypedia006es LECCIÓN 6: MALWARE. AUTOR: Bernardo Quintero. Hispasec VirusTotal Founder VÍDEO intypedia006es LECCIÓN 6: MALWARE AUTOR: Bernardo Quintero Hispasec VirusTotal Founder Hola, bienvenidos a intypedia. Hoy vamos a hablar del apasionante mundo de los códigos maliciosos y el negocio

Más detalles

Grabar / Registrar. Software o Hardware que registra las pulsaciones de teclado en un fichero de log. KeyLoggers. Introducción.

Grabar / Registrar. Software o Hardware que registra las pulsaciones de teclado en un fichero de log. KeyLoggers. Introducción. Key Log Tecla Grabar / Registrar Software o Hardware que registra las pulsaciones de teclado en un fichero de log 2 Rápido crecimiento del uso de programas maliciosos con funcionalidad de keylogging 3

Más detalles

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server Guía de inicio rápido Microsoft Windows 8 / 7 / Vista / XP / Home Server ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor de

Más detalles

MUNICIPALIDAD DISTRITAL DE VICTOR LARCO HERRERA

MUNICIPALIDAD DISTRITAL DE VICTOR LARCO HERRERA MUNICIPALIDAD DISTRITAL DE VICTOR LARCO HERRERA INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE Nº 001-2008-UTI ADQUISICION DE SOFTWARE ANTIVIRUS -1- CONTENIDO I. AREA INVOLUCRADA:...3 II. RESPONSABLE

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

PARA MAC. Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento

PARA MAC. Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento PARA MAC Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET Cyber Security Pro proporciona innovadora protección para su ordenador contra código malicioso.

Más detalles

Guía para la implementación de mejores prácticas de seguridad informática.

Guía para la implementación de mejores prácticas de seguridad informática. Guía para la implementación de mejores prácticas de seguridad informática. Es necesario que los usuarios incorporen buenas prácticas para proteger el entorno de información, y prevenir aún más la posibilidad

Más detalles

Seguridad [Virus] M. en C. Sergio Luis Pérez Pérez. UAM CUAJIMALPA, MÉXICO, D. F. Trimestre 13-P. Sergio Luis Pérez (UAM CUAJIMALPA) Seguridad 1 / 30

Seguridad [Virus] M. en C. Sergio Luis Pérez Pérez. UAM CUAJIMALPA, MÉXICO, D. F. Trimestre 13-P. Sergio Luis Pérez (UAM CUAJIMALPA) Seguridad 1 / 30 Seguridad [Virus] M. en C. Sergio Luis Pérez Pérez UAM CUAJIMALPA, MÉXICO, D. F. Trimestre 13-P Sergio Luis Pérez (UAM CUAJIMALPA) Seguridad 1 / 30 Posibles ataques a un sistema Posibles ataques a un sistema

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Guía Rápida de Instalación

Guía Rápida de Instalación Microsoft Windows Vista / XP / 2000 / 2003 Guía Rápida de Instalación Protegemos su Mundo Digital ESET NOD32 Antivirus ESET NOD32 Antivirus ofrece protección de última generación para su equipo contra

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

Contenido. McAfee Total Protection 3

Contenido. McAfee Total Protection 3 Guía del usuario i Contenido McAfee Total Protection 3 McAfee SecurityCenter... 5 Funciones de SecurityCenter... 6 Uso de SecurityCenter... 7 Actualización de SecurityCenter... 13 Solucionar u omitir

Más detalles

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3 Indice 1) Proxy, Cortafuegos, que son? Pág.2 2) Funcionamiento de un proxy Pág.3 3) Proxy NAT / Enmascaramiento Pág.3 4) Servidores proxy / Servidores de Sockets Pág.4 5) Proxy de web / Proxy cache de

Más detalles

ESET Mobile Antivirus

ESET Mobile Antivirus ESET Mobile Antivirus Manual de instalación y Guía del usuario we protect your digital worlds ESET Mobile Antivirus Copyright 2009 by ESET, spol. s r. o. ESET Smart Security ha sido desarrollado por ESET,

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for Mail Servers. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

PROTEGE TU ORDENADOR

PROTEGE TU ORDENADOR Que es un virus informático? Los virus son programas informáticos que tienen como objetivo alterar funcionamiento de tu computador, sin que el usuario se de cuenta. Estos, por lo general, infectan otros

Más detalles

Ana Karen Vargas Olvera. Ruth Ariana Vázquez Camargo.

Ana Karen Vargas Olvera. Ruth Ariana Vázquez Camargo. Ana Karen Vargas Olvera. Ruth Ariana Vázquez Camargo. 17/noviembre/21012 Empresa Desarrollada Precio Descripción Facilidad Requerimientos McAfee Virus Scan Network Asóciate USD 39.99 Posee características

Más detalles

S eguridad Informática

S eguridad Informática 1- D efinición de Virus 2 - R eproducción de los Virus 3 - Tipos de Virus 4 - Los daños que causan 5 - Formas de contagio 6 Otros Malware 6 Antivirus y Firewall 7 - Medidas de Prevención 1- D efinición

Más detalles

Qué es un virus computacional y qué hacer en caso de virus?

Qué es un virus computacional y qué hacer en caso de virus? Qué es un virus computacional y qué hacer en caso de virus? Qué es un virus computacional? Como hay de varios tipos, la definición de virus computacional dependerá de lo que haga, ya que han ido surgiendo

Más detalles

El funcionamiento de un antivirus

El funcionamiento de un antivirus Antivirus Por: David Bonilla Bailon. CETis 49 Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos, durante la década de 1980 Con el transcurso

Más detalles

Cómo defenderse de los ataques actuales de phishing dirigidos

Cómo defenderse de los ataques actuales de phishing dirigidos Cómo defenderse de los ataques actuales de phishing dirigidos Introducción Este mensaje es un engaño o es legítimo? Esta es la pregunta que hacen cada vez con mayor frecuencia los empleados y, en especial,

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

7.1. ELEMENTOS DE SEGURIDAD. Capítulo 7

7.1. ELEMENTOS DE SEGURIDAD. Capítulo 7 Capítulo 7 La mejor forma de asegurar nuestro sistema Windows 8 cuando estamos utilizándolo es tomar parte en la seguridad del mismo de forma proactiva, interviniendo en ella con la importancia que merece.

Más detalles

RootkitRevealer v1.71

RootkitRevealer v1.71 RootkitRevealer v1.71 INTRODUCCIÓN RootkitRevealer es una utilidad avanzada de detección de rootkits. Se ejecuta en Windows XP (32- bit) y Windows Server 2003 (32-bit), y su salida de lista de archivos

Más detalles

Laplink PCdefense Guía de Inicio Rápido

Laplink PCdefense Guía de Inicio Rápido Laplink Guía de Inicio Rápido 011106 Información de contacto de Laplink Software Si tiene problemas o preguntas de asistencia técnica, visite: http://www.laplink.com/es/support/individual.asp Para otro

Más detalles

MALWARE versus SEGURIDAD DE LA INFORMACIÓN

MALWARE versus SEGURIDAD DE LA INFORMACIÓN MALWARE versus SEGURIDAD DE LA INFORMACIÓN La información al alcance de cualquiera? F. Javier Bruna Sánchez Ingeniero en Informática Auditor de normas internacionales sistemasgestion@secartys.org 1 aunque

Más detalles

Para empresas con más de 25 equipos

Para empresas con más de 25 equipos Para empresas con más de 25 equipos 2 Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario. En ESET pensamos

Más detalles

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2.

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2. El contenido de este fichero está publicado bajo una licencia Creative Commons. La licencia bajo la que se encuentra este fichero es: Reconocimiento-NoComercial-SinObraDerivada 2.1 España Puede ver el

Más detalles

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET

Más detalles

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints Protección de confianza para entornos de mensajería y endpoints Descripción general Symantec Protection Suite Enterprise Edition crea un entorno seguro de mensajería y endpoints, que está protegido contra

Más detalles

RECETA ELECTRÓNICA Informe de Seguridad

RECETA ELECTRÓNICA Informe de Seguridad RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada

Más detalles

Manual de Usuario Pack Seguridad Total

Manual de Usuario Pack Seguridad Total Manual de Usuario Pack Seguridad Total Sitúe el cursor sobre la funcionalidad que desee consultar y pulse: Antivirus PC Anti Intrusos PC Canguro Net Filtro de Correo Electrónico olvidó sus datos de acceso?

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for File Servers. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS Seguridad de los datos - Virus / Malware / Antivirus Seguridad de la información Son técnicas y actividades destinadas a preservar

Más detalles