Virus

es un software que tiene por objetivo alterar el funcionamiento normal del ordenador, sin el
permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos
ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera
intencionada, los datos almacenados en una computadora, aunque también existen otros más
inofensivos, que solo producen molestias.

Características

Dado que una característica de los virus es el consumo de recursos, los virus ocasionan
problemas tales como: pérdida de productividad, cortes en los sistemas de información o
daños a nivel de datos.

Una de las características es la posibilidad que tienen de diseminarse por medio de réplicas y
copias. Las redes en la actualidad ayudan a dicha propagación cuando éstas no tienen la
seguridad adecuada.

Otros daños que los virus producen a los sistemas informáticos son la pérdida de información,
horas de parada productiva, tiempo de reinstalación, etc.

Virus troyano

El troyano es el malware más popular diseñado para controlar de forma remota un ordenador.

El virus más temido por empresas y usuarios, conocido como caballo de Troya, es un tipo de
software que tiene como objetivo infiltrarse, dañar una computadora o el sistema de
información sin el consentimiento de su propietario. El virus troyano sigue siendo el malware
(del inglés malicious software) más temido entre todos los de este tipo.

Los daños o violaciones de privacidad que puede causar este virus es el uso de la webcam sin
permiso, borrar el disco, modificar la agenda de contactos, efectuar llamadas y enviar SMS,
hasta geolocalizar al usuario por GPS.

Virus gusanos

Los "Gusanos Informáticos" son programas que realizan copias de sí mismos, alojándolas en
diferentes ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los
ordenadores y las redes informáticas, impidiendo así el trabajo a los usuarios. A diferencia de
los virus, los gusanos no infectan archivos.

El principal objetivo de los gusanos es propagarse y afectar al mayor número de ordenadores

posible. Para ello, crean copias de sí mismos en el ordenador afectado, que distribuyen
posteriormente a través de diferentes medios, como el correo electrónico, programas P2P o de
mensajería instantánea, entre otros.

Los gusanos suelen utilizar técnicas de ingeniería social para conseguir mayor efectividad. Para
ello, los creadores de malware seleccionan un tema o un nombre atractivo con el que camuflar
el archivo malicioso. Los temas más recurrentes son los relacionados con el sexo, famosos,
temas morbosos, temas de actualidad o software pirata.

Sin embargo, actualmente los gusanos están más orientados a obtener beneficios económicos.
Se utilizan para crear grandes redes de bots que controlan miles de ordenadores en todo el
mundo. Los ciberdelincuentes envían a estos ordenadores, denominados zombies,
instrucciones para enviar spam, lanzar ataques de denegación de servicio o descargar archivos
maliciosos, entre otras acciones. Familias como el Gaobot o Sdbot son ejemplos de gusanos
diseñados con este fin.

SOFTWARE ESPÍA (SPYWARE)

El software espía (spyware) es una clase de software malicioso (malware) que puede rastrear
el trabajo que haces, tanto en tu computadora como en Internet, y enviar dicha información a
alguien que no debe tener acceso a ella. Estos programas pueden registrar, entre otras cosas,
las palabras que escribes con tu teclado, los movimientos de tu ratón, las páginas que visitas y
los programas que ejecutas. Como resultado de ello, pueden socavar la seguridad de tu
computadora y revelar información confidencial sobre ti, tus actividades y tus contactos. Las
computadoras se infectan con software espía (spyware) prácticamente de la misma forma en
la que contraen virus, por tanto, muchas de las sugerencias realizadas anteriormente son
también útiles cuando nos defendemos de esta segunda clase de software malicioso
(malware). Debido a que las páginas web maliciosas son la mayor fuente de infecciones de
software espía (spyware), debes prestar mayor atención a los sitios web que visitas y
asegurarte que las opciones de tu navegador sean seguras.

Falsos antivirus

“Falsos programas de seguridad” que no son realmente lo que dicen ser, sino que todo lo
contrario. Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos
programas, su sistema es infectado.

El objetivo es claro y sencillo, vender la mayor cantidad de copias de sus falsos productos que
sea posible hasta que los descubran y tengan que volver a rediseñar sus sitios con otros
nombres para estos y para sus programas.

Estos falsos Antivirus y Antispyware están diseñados para mostrar un resultado

predeterminado (siempre de infección) y no hacen ningún tipo de escaneo real en el sistema al
igual que no eliminaran ninguna infección que podamos tener.

RANSOMWARE: FALSO MICROSOFT SECURITY ESSENTIALS

Microsoft Security Essentials es uno de los antivirus gratuitos más populares y no es nada
nuevo que aparezcan versiones falsas de este (como ya hemos comentado anteriormente) que
intenten engañar a los usuarios incautos.

En este caso nos encontramos con un nuevo espécimen que tiene la particularidad de que
aparte de ser un “Falso Antivirus” disfrazado como ‘Microsoft Security Essentials’ (MSE), utiliza
técnicas de Ransomware secuestrando el sistema, alegando que este será bloqueado por
razones de seguridad y solo podrá ser liberado a cambio la compra de un ‘módulo especial’
que obviamente es parte del timo.

Recordemos el ransomware es un tipo de virus informático (malware) que se caracteriza por

secuestrar el acceso al sistema o archivos a cambio de un pago y de los que hemos venido
hablando mucho @InfoSpyware debido al famoso “Virus de la Policía”
Características del Fake MSE Alert:

Propagación: A diferencia de sus primos ransomwares, este No se aprovecha de ninguna

vulnerabilidad conocida o desconocida de JAVA y requiere si la ejecución de un archivo para
infectar el sistema en primera instancia, como lo hacen la mayoría de los falsos AVs.

Scareware: Su mensaje de alerta en lugar de ocupar toda la pantalla, se abre en forma de

ventana emergente, simulando así las ventanas de alerta de ‘Microsoft Security Essentials’ en
donde alerta que su sistema será bloqueado por razones de seguridad, mostrando además una
seria de supuestos archivos infectados que dice son por visitar sitios webs pornográficos o
infectados. Ver imagen de arriba.

Estafa. Avisa a la víctima que podrá liberar su sistema, luego de enviar un pago a través
Paysafecard o Ukash, para poder añadirle un ‘módulo especial’ para limpiar el sistema de esos
malwares (algo que obviamente no existe y es parte del timo.) Ver imagen de abajo:

Bloqueos: No bloquea el acceso al ‘Task Manager’ ni al reinicio en ‘Modo Seguro’ del sistema.

Eliminación: Su eliminación es relativamente sencilla, simplemente quitando esta llave del

registro y su archivo: O4 – HKCU/../Run: [SkypePM] C:/Documents and Settings/Local
Settings/Application Data/Skype/SkypePM.exe

Detección. Al momento de enviar la muestra provista por el investigador francés (@Xylitol) a

VirusTotal, solo 24/42 AVs lo detectaron como malware, e irónicamente el verdadero
‘Microsoft Security Essentials’ no lo pudo detectar

E-Set Antivirus 2011

es otro de los tantos “Falsos Antivirus” que Cuidado!! No debe de confundirse con la popular y
galardonada solución de seguridad de “ESET NOD32 Antivirus” por la similitud de su nombre.
E-Set Antivirus 2011 tiene la particularidad de ser una especie de “Bricolaje” por la cantidad de
detalles que copia de otros Antivirus reales, desde la similitud de nombre con ESET, la cada y el
robot que desde hace algunos años representa a la compañía, etc, etc, como siempre con la
finalidad de hacerse pasar por un AV real, para engañar a los usuarios desprevenidos.

E-Set Antivirus 2011 es un Rogue Software de la misma familia de Antivirus 8 y anterior familia
Falso AVG Anti-Virus, Antivirus GT, Antivirus 7, Antivir 2010, los cuales como otros de su
especie llegan al equipo de sus victimas sin el consentimiento de estas, luego para que el
negocio les sea realmente efectivo para los creadores del Scarewares, tienen que lograr
convencer al usuario victima que compren su falso programa antivirus.

Para lograr esto entre tantas técnicas de “Ingeniería Social” que suelen aplicar, una de ellas es
el poner nombres similares a los reales y copiar otras cosas, algo que no es nada nuevo, salvo
como en este caso que hicieron una especie de “Bricolaje” de varios Antivirus reales tal como
se muestra en las siguientes imágenes:

1.- Nombre que simula ser el de ESET.

2.- Logo copia de AVG Antivirus.

3.- Interfaz de programa de AVG Antivirus.

4.- Supuesta caja del producto copia de la de ESET y con su robot.

5.- Sitio web copia del viejo sitio de Panda Security, Norton y BitDefender.

E-Set Antivirus 2011

E-Set Antivirus 2011 Web

E-Set-warning

E-Set Antivirus 2011 aparte de detectar y mostrar supuestas infecciones en el equipo para
asustar a los usuarios empujándoles a comprar una licencia, también secuestra los
navegadores web Internet Explorer, Firefox, Opera, Google Chrome y Safari a través de Image
File Execution Options para mostrar una falsa advertencia como “Internet Explorer modo de
emergencia” que también llevara al sitio de venta del rogue.

Ransomware

El ransomware (también conocido como rogueware o scareware) restringe el acceso a su

sistema y exige el pago de un rescate para eliminar la restricción. Los ataques más peligrosos
los han causado ransomware como WannaCry, Petya, Cerber, Cryptolocker y Locky.
es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del
sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de
ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando
al usuario a pagar el rescate.

Normalmente un ransomware se transmite como un troyano o como un gusano, infectando el

sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de
software. En este punto, el ransomware se iniciará, cifrará los archivos del usuario con una
determinada clave, que sólo el creador del ransomware conoce, e instará al usuario a que la
reclame a cambio de un pago.

El ransomware lo crean estafadores con un gran conocimiento en programación informática.

Puede entrar en su PC mediante un adjunto de correo electrónico o a través de su navegador
si visita una página web infectada con este tipo de malware. También puede acceder a su PC a
través de su red.

Keylogger

Un keylogger es un software o hardware que puede interceptar y guardar las pulsaciones

realizadas en el teclado de un equipo que haya sido infectado. Este malware se sitúa entre el
teclado y el sistema operativo para interceptar y registrar la información sin que el usuario lo
note. Además, un keylogger almacena los datos de forma local en el ordenador infectado y, en
caso de que forme parte de un ataque mayor, permite que el atacante tenga acceso remoto al
equipo de la víctima y registre la información en otro equipo.

El más utilizado es el keylogger con software, el cual forma parte de otros malware como
troyanos o rootkits. Éste es el más sencillo de instalar dentro de un equipo, porque no se
necesita acceder a la máquina físicamente.

Los keyloggers con hardware son menos habituales y más difíciles de instalar en un equipo.
Esta variedad necesita que el criminal tenga acceso físico al ordenador, durante el proceso de
fabricación o durante su uso. Otros keyloggers se pueden instalar a través de un USB o
mediante un conector falso que una el teclado con el ordenador. Los keylogger con hardware
son más flexibles para los cybercriminales, ya que son independientes del sistema operativo.

¿Cómo infecta al equipo?

Los keylogger con software suelen formar parte de malware mayores. Se suelen infectar los
equipos a través de una web maliciosa, la cual ataca lo vulnerable del equipo e instala el
malware. Otro método de instalación es a través de la descarga de una aplicación legítima,
atacando el canal de descarga o insertando el malware en dicha app. Los keyloggers con
hardware, por el contrario, necesitan que el atacante acceda físicamente al ordenador.