Seguridad

Cuestiones de seguridad informática

Seguridad
Informática		 Criptografía Fallos de
seguridad		 Hackers y
crackers		 Virus

Virus

Página 1 Página 2

A principios de Noviembre de 1998 se detectó el primer virus de HTML, que fue llamado HTML.Internal. Cuando un usuario visitaba una página Web infectada, un código de Visual Basic se activaba y añadía unas líneas a cualquier fichero HTML del PC del usuario. El virus afectaba a usuarios de Microsoft Internet Explorer, no así a los de Netscape Navigator. El explorador avisaba de la peligrosidad potencial del contenido preguntando si se estaba seguro de querer descargarlo, según dijo Mike Nichols, directivo de Microsoft, que no creyó que fuera necesario un patch porque la seguridad del explorador protegía a los usuarios de contenidos maliciosos. La cabecera del virus contenía la línea:

<html> <!--1nternal-->

Después de la infección, el virus mostaba el siguiente texto en la Barra de estado de Windows:

HTML.Prepend /1nternal

El virus en sí no provocaba daño en los equipos pero usaba los recursos de las máquinas de los ficheros infectados para reproducirse que es potencialmente peligroso. Recordemos el incidente del gusano de 1988 en el que muchos equipos de Internet se colapsaron por la cantidad de procesos que el gusano hacía en ellos y por ello la red estuvo saturada un tiempo.

Después de este virus aparecieron más versiones, HTML.Internal.b, que buscaba ficheros HTML en el directorio actual y en otros y los infectaba, y HTML.Internal.c, que buscaba ficheros HTM en el directorio actual y en otros, los renombraba con la extensión HTML y copiaba su cuerpo con el nombre original del fichero afectado mostando el siguiente mensaje: HTML.Redirect/1nternal. Después de éstos, salieron más virus de HTML como HTML.Prepend y HTML.Redirect, que dañaban a uno de cada seis ordenadores afectados, dependiendo de los sistemas de conteo aleatorio de dichos ordenadores.

Más tarde aparecieron los virus VBS (Visual Basic Script) con sus versiones, VBSv v1.0, VBSv v2.0, VBSv v3.0... que infectaban a otros ficheros VBS.

Pero el verdadero problema de los virus en Internet apareció con los virus de macro. Son virus que se transmiten por e-mail y generalmente constan de un mensaje y un fichero de Word adjunto que contiene macros. Cuando no se tiene activada la opción de protección contra virus de macro, el fichero al abrirse, ejecuta un código que copia el virus a otros ficheros de maneras que pueden variar.

Melissa

El virus Melissa es un claro exponente de este tipo de virus. Aproximadamente el 26 de Marzo de 1999 se empezaron a recibir mensajes con documentos de Word 97 o Word 2000 adjuntos vía e-mail. El mensaje tiene la siguiente cabecera:

Subject: Important Message From <name>

donde <name> es el nombre completo del usuario que manda el mensaje. El cuerpo es un mensaje MIME con dos secciones. La primera, texto plano, sontiene el siguiente texto:

Here is that document you asked for ... don't show anyone else ;-)

La siguiente sección, documento de Word, es un documento llamado "list.doc". Este documento hace referencia a sitios Web pornográficos. Si la opción de macros en el Word de la víctima está desactivada, es decir, si se pueden ejecutar macros, el virus es inmediatamente ejecutado. Lo primero que hace es cambiar la configuración para permitir la ejecución de cualquier macro en el futuro y por lo tanto, el usuario no será avisado de que se ejecutará un código de macro en su ordenador. Después chequea el registro buscando la clave

"HKEY_Current_User\Software\Microsoft\Office\Melissa?"

para ver si tiene el valor

"... by Kwyjibo"

Si no existe la clave o no tiene ese svalor el virus se propaga enviando un mensje en el formato descrito a las cincuenta primeras entradas de cada agenda de direcciones de Microsoft Outlook que lea el usuario que ejecuta la macro. Para que el envío tenga éxito, el usuario tiene que tener instalado el Microsoft Outlook.

Más tarde, el virus instroduce la clave del registro y le da el valor ya descrito para que el virus sólo se propague una vez por sesión. La macro infecta ahora la plantilla Normal.dot, que es la plantilla por defecto utilizada por los documentos de Word. Así, cada documento nuevo que se cree en Word estará infectado. Finalmente, si el minuto de la hora coincide con el día del mes en este punto, la macro inserta en el documento actual el mensaje:

"Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."

Si se abre un documento infectado con las macros desactivadas y se mira la lista de macros del documento, ni Word97 ni Word2000 la muestran. El código es realmente VBA (Visual Basic for Applications) asociado con el método "document.open". Se puede ver el código con el editor de Visual Basic.

Siguiente

ini2.gif (2525 bytes)

Para cualquier mensaje, sugerencia o comentario, por favor, escríbanme a:

letto@iname.com

(c) Carlos Díaz-Pache 1999-2000. Todos los derechos reservados.

Visite el Ranking de los mejores sitios de la Web