1.
¿ Cómo funciona el gusano Kibuv.A ?
Kibuv.A es
otro imitador de Sasser, y sus efectos son muy similares.
También hace uso de la vulnerabilidad LSASS
de Windows para propagarse provocando el reinicio
del computador. Funciona en todas las plataformas
de Windows, si bien sólo puede entrar de
forma automática en equipos que funcionen
bajos las versiones XP y 2000.
|
2.
¿ Cómo funcionan los gusanos Bobax ?
Los tres
gusanos Bobax (A,B y C) con muy similares entre
sí, ya que difieren únicamente en
el tamaño de su código. La principal
característica de esta nueva familia de códigos
maliciosos es que (al igual que el conocido gusano
Sasser) aprovechan la vulnerabilidad LSASS de Windows
para propagarse. Así recorren Internet el
busca de computadores que presenten la mencionada
vulnerabilidad. Cuando encuentran alguno, los gusanos
Bobax envían instrucciones para que el propio
equipo descargue y ejecute un archivo conteniendo
el código malicioso. En el momento que alguno
de ellos hace uso de la vulnerabilidad LSASS se
produce un desbordamiento de buffer y desencadena
el reinicio del computador.
Pese a que
la vulnerabilidad LSASS es propia de sistemas que
funcionan con Windows XP y 2000, Bobax y sus variantes
también pueden afectar al resto de versiones
de estas plataformas. En esos casos no pueden entrar
de forma automática, sino que es necesario
que el usuario ejecute un archivo que contenga algún
ejemplar del virus.
Una vez instalado en el sistema, los gusanos Bobax abren varios puertos de comunicaciones de forma aleatoria, permitiendo a usuarios maliciosos utilizar el sistema como un servidor SMTP para el envío de correo electrónico. De esta manera, los ordenadores pueden verse convertidos en zombis para el envío de correo no solicitado o “spam”.
|
3.
¿ Cómo funciona el gusano Lovgate.AF ?
Lovgate.AF
es un gusano con características de backdoor
que emplea diversas técnicas de propagación,
como pueden ser mensajes de correo electrónico,
el programa de intercambio de ficheros KaZaA, recursos
compartidos de red, etc.
Una vez que
se ha instalado en el sistema, Lovgate.AF abre un
puerto para enviar un mensaje a un usuario remoto,
notificando que el computador ha sido afectado y
es susceptible de ser atacado.
|
4.
¿ Cómo funciona el troyano Ldpinch.W ?
El
troyano Ldpinch.W. es enviado por usuarios maliciosos
en mensajes de correo electrónico con el
asunto: “Important news about our soldiers
in IRAQ!!!”. El cuerpo del mismo contiene
un texto que hace alusión al conflicto de
Irak, e incluye un link a una página web
que informa sobre dicho suceso. El e-mail también
adjunta un archivo comprimido llamado IMPORTANT
INFORMATION.ZIP que, a su vez, contiene el fichero
IMPORTANT INFORMATION.SCR. En caso de que el usuario
ejecute este último archivo, Ldpinch.W se
instalará en el computador.
Ldpinch.W
está diseñado para robar información
confidencial del sistema y enviarla a una dirección
de correo electrónico predeterminada. De
esa manera, el creador del virus puede utilizar
los datos obtenidos de forma fraudulenta.
|
5.
¿ Cuáles son los efectos de la variante B del gusano
Korgo ?
a)Abre los
puertos TCP 113, 3067 y 2041 y permanece a la escucha.
b)Intenta conectarse a los siguientes servidores
IRC a través del puerto 6667:
brussels.be.eu.undernet.org
c)Está preparado para impedir que el computador
pueda ser apagado.
|
6.
Defina el método de infección y propagación de la
variante D del gusano Bobax.
Metodo
de Infección
Bobax.D crea los siguientes archivos:
Un archivo
con un nombre compuesto del carácter ~ y
cuatro caracteres adicionales (tanto letras mayúsculas
como números) y extensión DLL, en
el directorio temporal de Windows. Este archivo
es una DLL que tiene un tamaño de 19456 Bytes
y está comprimida mediante UPX v1.23, y que
provee las funcionalidades del gusano. Es inyectada
en el proceso de Windows explorer.exe, lo que puede
provocar que éste falle inesperadamente.
Bobax.D crea las siguientes entradas en el Registro
de Windows:
HKEY_LOCAL_MACHINE\
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
%entrada% = %sysdir%\ %nombre%.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\
CurrentVersion\ RunServices
%entrada% = %sysdir%\ %nombre%.exe
donde %entrada% es el nombre de la entrada, compuesto
por ocho caracteres aleatorios, %sysdir% es el directorio
de sistema de Windows y %nombre% es el nombre aleatorio
del archivo del gusano.
Mediante estas entradas, Bobax.D consigue ejecutarse
cada vez que se inicia Windows.
En caso de que estas entradas existiesen previamente,
Bobax.D sobrescribe las referencias a archivos existentes
y las sustituye por referencias a su propio archivo.
Método de Propagación
Bobax.D se propaga a través de Internet,
atacando computadores remotos con sistema operativo
Windows 2003/XP/2000/NT. Para ello, realiza el siguiente
proceso:
Genera
direcciones IP aleatorias e intenta acceder a las
mismas.
Si lo consigue, comprueba si el computador remoto
presenta alguna de las siguientes vulnerabilidades:
- RPC DCOM: en Windows 2003/XP/2000/NT.
- LSASS: en Windows XP/2000.
En caso afirmativo, envía instrucciones a
través del puerto 135 (RPC DCOM) o 445 (LSASS),
para que el computador descargue una copia del gusano
mediante un servidor HTTP.
La copia de sí mismo descargada es ejecutada,
con lo que el computador quedará afectado.
Cuando aprovecha la vulnerabilidad LSASS, Bobax.D
sólo afecta y se propaga de manera automática
a comutadores con Windows XP/2000 y que tengan el
puerto 5000 abierto (por defecto, abierto en Windows
XP y cerrado en Windows 2000). Sin embargo, también
funciona en el resto de sistemas operativos Windows,
si el archivo correspondiente al gusano es ejecutado
de alguna forma por un usuario. En este último
caso, Bobax.D convertiría dicho computador
en un nuevo foco de propagación.
Sin embargo,
cuando la vulnerabilidad empleada es RPC DCOM, Bobax.D
afecta a computadores con Windows 2003/XP/2000/NT.
En ambos
casos, Bobax.D provoca el reinicio del computador
de forma automática.
|
7.
¿ Qué lenguaje se utilizó para escribir la variante
E del gusano Sasser ?
Sasser.E
está escrito en el lenguaje de programación
Visual C++. Este gusano tiene un tamaño de
15872 Bytes y está comprimido mediante PECompact.
Sasser.E
crea el mutex SkynetNotice para asegurarse de que
sólo existe una copia suya ejecutándose
al mismo tiempo.
|
8.
¿ Cómo puede detectarse, eliminarse y protegerse
contra el virus NetskyP ?
¿Cómo
saber si tengo Netsky.P?
En primer lugar, compruebe si ha recibido un mensaje
de correo electrónico escrito en inglés
el cual puede tener características variables
en el asunto, y siempre falsifica el remitente.
en su contenido generalmente hace referencia de
alguna manera a un archivo anexo, además
contiene un archivo anexo que puede tener una extensión
o doble extensión (en este caso incluye caracteres
en blanco entre ambas) y también puede estar
comprimido en formato .ZIP
Para verificar
con exactitud si Netsky.P ha infectado su computador,
dispone de las siguientes opciones:
Para verificar
con exactitud si Netsky.P ha infectado su ordenador,
dispone de las siguientes opciones:
a) Realizar
un análisis completo del computador con su
Panda Antivirus, después de verificar que
está actualizado. Si no lo está actualícelo
antes de realizar el análisis.
b) Chequear el computador con Panda ActiveScan,
la herramienta gratuita de análisis online
de Panda Software, que detectará rápidamente
todos los posibles virus.
¿Cómo eliminar a Netsky.P?
Si se ha recibido un mensaje con algunas de las
características descritas anteriormente,
no ejecute el archivo adjunto y borre el mensaje,
incluso de la carpeta de Elementos Eliminados.
Si
durante el proceso de análisis Panda Antivirus
o Panda ActiveScan detecta a Netsky.P, elimínelo
siguiendo las instrucciones que le indique el programa.
Además,
como precaución adicional, ejecute la utilidad
gratuita Panda QuickRemover, que reparará
automáticamente todos los posibles desperfectos
que el virus haya causado en su compuatdor. Para
ello, siga estas instrucciones:
Si dispone
de una red de computadores debe desconectar el cable
de red de todos los servidores y estaciones para
evitar una nueva infección durante el proceso
de desinfección.
Efectúe los siguientes pasos de desinfección
en cada uno de los equipos que componen la red:
1. Descargue
gratis la utilidad Panda QuickRemover y guarde el
archivo en un directorio de su computador.
2. Ejecute
Panda QuickRemover, haciendo doble click sobre el
archivo y siga las indicaciones. Aunque se le indique
que el virus no se encuentra activo, pulse en el
botón Continuar para realizar un análisis
completo.
3. Reinicie
el equipo.
4. Realice
un análisis de todo el sistema, incluyendo
el correo electrónico con Panda Antivirus
o Panda ActiveScan.
¿Cómo protegerse de Netsky.P?
Para mantenerse protegido, tenga en cuenta los siguientes
consejos:
a) Si dispone
de herramientas de filtrado, configúrelas
para que rechacen los mensajes que cumplan las características
mencionadas. Si a pesar de esto, recibe un mensaje
con el virus: no lo abra, no ejecute su archivo
adjunto y bórrelo de la carpeta de Elementos
eliminados.
b) Instale un buen antivirus en su computador.
c) Mantenga su antivirus actualizado. Si admite
actualizaciones automáticas, configúrelas
para que funcionen siempre así.
d) Tenga activada la protección permanente
de su antivirus en todo momento.
|
9.
¿ Cómo se pueden definir los términos Virus y Antivirus
?
Virus
(virus):
Programa cuyo objetivo es causar daños en
un sistema informático y que a tal fin se
oculta o disfraza para no ser detectado. Estos programas
son de muy diversos tipos y pueden causar problemas
de diversa gravedad en los sistemas a los que infectan.
Hoy día se propagan fundamentalmente mediante
el correo electrónico.
Antivirus (antivirus): Programa
cuya finalidad es prevenir las infecciones producidas
por los virus informáticos así como
curar las ya producidas. Para que sean realmente
efectivos, dada la gran cantidad de virus que se
crean continuamente, estos programas deben actualizarse
periódicamente.
|
10.
¿ Cuáles son las principales características del
Panda Titanium Antivirus ?
Antivirus
de última generación: Detecta
y elimina automáticamente todo tipo de virus.
Además, con la nueva tecnología SmartClean2,
repara el sistema automáticamente en caso
de que los virus modifiquen su correcto funcionamiento.
Actualizaciones inmediatas y automáticas
contra los nuevos virus: Las actualizaciones
se realizan automáticamente y al menos una
vez al día mientras estás conectado
a Internet y sin que prácticamente se note
su presencia.
Protección
más completa: También
protege contra dialers (programas que llaman a un
número de pago a través del módem
sin su consentimiento), hacking tools (programas
utilizados por los hackers), jokes (programas de
broma que pueden contener archivos peligrosos) y
otros riesgos de seguridad.
Actualidad al minuto
sobre los nuevos riesgos de Internet:
Incorpora un servicio que mantiene informado al
minuto sobre los nuevos virus y peligros en Internet.
La información aparece directamente en el
escritorio del PC.
Detección y
solución de fallos de seguridad en tu sistema:
Detecta los fallos de seguridad más importantes
de los programas normalmente usados (Windows, Internet
Explorer) y ayuda a corregirlos.
Blindaje y autodiagnóstico
del antivirus:
Incorpora una nueva tecnología que blinda
los archivos del antivirus y los hace inmune. Además,
realiza autodiagnósticos para comprobar que
el sistema antivirus funciona correctamente en todo
momento.
Máxima velocidad
y mínimo consumo de recursos: Su
motor de búsqueda de virus UltraFast es,
posiblemente, el más rápido del mercado.
¡Analiza exhaustivamente la información
sin apenas consumir recursos del computador!
Soporte Técnico
24 horas al día, 365 días al año:
Día
y noche, los expertos de Soporte Técnico
y Laboratorio Antivirus responderán con la
máxima rapidez siempre que se necesite su
ayuda. Gracias a la Red Panda de Alerta Internacional,
los usuarios estarán inmediatamente protegidos
ante las nuevas amenazas de Internet. Titanium Antivirus
2004 incluye, durante un año y sin costo
adicional, los servicios de Soporte Técnico
24h vía e-mail y web, SOS 24 horas contra
virus desconocidos y actualizaciones diarias.
|
11.
Defina las ventajas que ofrece Mcafee Antivirus
Análisis
de correo electrónico:
VirusScan analiza automáticamente el correo
electrónico de entrada (POP3) y salida (SMTP),
además de los archivos adjuntos de los clientes
de correo electrónico más populares,
incluyendo Microsoft Outlook, Outlook Express, Netscape
Mail, Eudora, Pegasus y otros. El análisis
de correo electrónico proporciona una defensa
de primera línea frente a las amenazas entrantes
antes de que lleguen al buzón de correo y
frente a la proliferación de virus salientes.
El análisis de correo asegura que el buzón
del computador está libre de virus.
Análisis de mensajes instantáneos:
VirusScan analiza los mensajes instantáneos
y archivos adjuntos enviados a través de
clientes de mensajería instantánea
como AOL Instant Messenger, Yahoo Messenger y Windows
Messenger.
ScriptStopper: Muchos de los virus
de propagación rápida, como I Love
You, utilizan secuencias de comandos para infectar
su equipo. ScriptStopper detecta las nuevas amenazas
malignas e impide que infecten el equipo. ScriptStopper
alerta de la actividad que se está intentando
llevar a cabo y se encargará de deternar
las acciones que se han iniciado en el computador
sin conocimiento del usuario. ScriptStopper detecta,
alerta y detiene las acciones de secuencias de comandos
malignas para mantener el computador a salvo de
secuencias de comandos relacionadas con la actividad
de virus proporcionando una capa extra de protección
para el equipo.
WormStopper: La mayoría
de los virus nuevos se propagan a través
del correo electrónico. WormStopper detiene
los gusanos del buzoneo en masa detectando actividades
que puedan indicar que un gusano nuevo y no detectado
está activo en el equipo. WormStopper detecta
el envío de correo electrónico a más
de 40 destinatarios, el envío de más
de cinco mensajes en menos de 30 segundos y, además,
comprueba el envío de contenido repetitivo.
WormStopper garantiza que un nuevo gusano de buzoneo
en masa no detectado no pueda propagarse mediante
el computador, proporcionando una capa de protección
adicional para el equipo.
Integración de Windows Explorer:
Ahora se puede acceder a VirusScan directamente
desde la interfaz familiar de Windows Explorer simplemente
seleccionando archivos y haciendo click en el icono
de VirusScan de la ventana de Windows Explorer.
La integración de Windows Explorer con VirusScan
ahorra tiempo a la vez que protege el computador.
AutoClean: VirusScan intenta limpiar
automáticamente los archivos infectados cuando
se detecta una amenaza maligna AutoClean ahorra
tiempo a la vez que protege el computador.
Detecta software espía, publicidad
no deseada y marcadores Web: VirusScan
detecta las aplicaciones potencialmente no deseadas
como el software espía, la publicidad no
deseada, los marcadores Web y más. VirusScan
detectará y eliminará estas aplicaciones
para proteger la información y privacidad.
Envío de archivos a AVERT: VirusScan
incluye la capacidad de enviar los archivos sospechosos
desde VirusScan directamente a AVERT (McAfee Antivirus
Emergency Response Team, Equipo de respuesta de
emergencia de antivirus McAfee).
Análisis de MS Outlook: VirusScan
proporciona la función de análisis
de mensajes y carpetas de correo electrónico
de MS Outlook para que se puedan iniciar los análisis
de correo de Outlook en cualquier momento.
Actualización silenciosa:
VirusScan y McAfee Security Center proporcionan
la función de actualización silenciosa
de las definiciones de virus (DAT) para asegurar
que el computador está siempre al día.
Información de seguridad proactiva:
VirusScan incluye el McAfee Security Center
para proporcionar información de seguridad
constantemente actualizada sobre el computador y
sobre las últimas amenazas que pueden afectarle.
En caso de foco de virus u otro evento relacionado
con la seguridad, McAfee Security Center advierte
a los usuarios de las amenazas malignas para evitar
que los usuarios de McAfee se vean envueltos en
la propagación de una amenaza nueva y no
detectada.
|
12.
Defina las características del Bitdefender Antivirus
1)
Filtra todas las posibles vías de acceso
al realizar análisis contra los virus propagados
por correo, carpetas compartidas, contenidos de
Internet, programas de mensajería instantánea,
disqueteras y CD-ROMs.
2) Con un
simple comando del usuario, esta aplicación
bloqueará cualquier virus, troyano, gusano
de Internet u otros códigos malignos.
3)
Permite definir qué aplicaciones pueden conectarse
a Internet o bien a qué recursos se puede
acceder.
4) Mantiene
la identidad y preferencias confidenciales mientras
navega en Internet
5)
Protege el sistema contra los virus mientras está
se usando ICQ, Yahoo!Messenger, NetMeeting, MSN
Messenger.
6)
Los motores antivirus de BitDefender Professional
cuentan con la certificación de los Laboratorios
ICSA – EEUU
7)
Las firmas de virus y los motores de análisis
se actualizan por defecto cada 8 horas sin la intervención
del usuario.
8)
BitDefender Professional protege cualquier cliente
de correo sin requerir ninguna configuración
especial.
9)
Ofrece servicios permanentes de soporte técnico
atendido por especialistas certificados.
10) Reglas
de cortafuego avanzadas, filtración del tráfico
entrante y saliente, control del contenido activo,
monitorización del tráfico en Internet,
filtración de mandos ActiveX, Java Applets
y Java Scripts. Lo cual protege al usuario de ataques.
11)
Monitoriza el tráfico en Internet, filtrando
ActiveX, JavaApplets y JavaScripts.
|
|
|
