stringtranslate.com

Gusano informático

Volcado hexadecimal del gusano Blaster , que muestra un mensaje dejado al CEO de Microsoft, Bill Gates, por el creador del gusano
Propagación del gusano Conficker

Un gusano informático es un programa informático de malware independiente que se replica a sí mismo para propagarse a otros equipos. [1] A menudo utiliza una red informática para propagarse, apoyándose en fallos de seguridad en el equipo de destino para acceder a él. Utilizará esta máquina como host para escanear e infectar otros equipos. Cuando estos nuevos equipos invadidos por el gusano sean controlados, el gusano seguirá escaneando e infectando otros equipos utilizando estos equipos como hosts, y este comportamiento continuará. [2] Los gusanos informáticos utilizan métodos recursivos para copiarse a sí mismos sin programas host y distribuirse basándose en la explotación de las ventajas del crecimiento exponencial , controlando e infectando así cada vez más equipos en poco tiempo. [3] Los gusanos casi siempre causan al menos algún daño a la red, aunque solo sea consumiendo ancho de banda , mientras que los virus casi siempre corrompen o modifican archivos en un equipo objetivo.

Muchos gusanos están diseñados únicamente para propagarse y no intentan cambiar los sistemas por los que pasan. Sin embargo, como demostraron el gusano Morris y Mydoom , incluso estos gusanos "sin carga útil" pueden causar importantes perturbaciones al aumentar el tráfico de la red y otros efectos no deseados.

Historia

Disquete con el código fuente del gusano Morris en el Museo de Historia de la Computación

El término "gusano" fue utilizado por primera vez en la novela de John Brunner de 1975, The Shockwave Rider . En la novela, Nichlas Haflinger diseña y pone en marcha un gusano de recolección de datos en un acto de venganza contra los hombres poderosos que dirigen una red nacional de información electrónica que induce a la conformidad masiva. "Tienes el gusano más grande que jamás haya existido suelto en la red, y automáticamente sabotea cualquier intento de monitorearlo. ¡Nunca ha habido un gusano con una cabeza tan dura o una cola tan larga!" [4] "Entonces se le ocurrió la respuesta, y casi se rió. Fluckner había recurrido a uno de los trucos más viejos del oficio y había soltado en la red continental una tenia autoperpetuante, probablemente dirigida por un grupo de denuncia "prestado" de una gran corporación, que se desplazaría de un nexo a otro cada vez que su código de crédito fuera introducido en un teclado. Podrían pasar días para matar a un gusano como ese, y a veces semanas." [4]

El segundo gusano informático de la historia fue ideado como software antivirus. Se lo denominó Reaper y fue creado por Ray Tomlinson para replicarse en ARPANET y eliminar el programa experimental Creeper (el primer gusano informático, 1971).

El 2 de noviembre de 1988, Robert Tappan Morris , un estudiante de posgrado en informática de la Universidad de Cornell , desató lo que se conocería como el gusano Morris , que afectó a muchos ordenadores que estaban en Internet en ese momento, lo que se estimó en ese momento que era una décima parte de todos los que estaban conectados. [5] Durante el proceso de apelación de Morris, el Tribunal de Apelaciones de los Estados Unidos estimó que el coste de eliminar el gusano de cada instalación oscilaba entre 200 y 53.000 dólares; este trabajo impulsó la formación del Centro de Coordinación CERT [6] y la lista de correo Phage. [ 7] El propio Morris se convirtió en la primera persona juzgada y condenada en virtud de la Ley de Abuso y Fraude Informático de 1986. [8]

Conficker , un gusano informático descubierto en 2008 que atacaba principalmente a los sistemas operativos Microsoft Windows , es un gusano que emplea tres estrategias de propagación diferentes: sondeo local, sondeo de vecindario y sondeo global. [9] Este gusano se consideró una epidemia híbrida y afectó a millones de computadoras. El término "epidemia híbrida" se utiliza debido a los tres métodos separados que empleó para propagarse, lo que se descubrió a través del análisis de código. [10]

Características

Independencia

Los virus informáticos generalmente requieren un programa anfitrión. [11] El virus escribe su propio código en el programa anfitrión. Cuando el programa se ejecuta, el programa de virus escrito se ejecuta primero, causando infección y daño. Un gusano no necesita un programa anfitrión, ya que es un programa o fragmento de código independiente. Por lo tanto, no está restringido por el programa anfitrión , sino que puede ejecutarse de forma independiente y llevar a cabo ataques de forma activa. [12] [13]

Ataques de explotación

Como un gusano no está limitado por el programa anfitrión, puede aprovechar diversas vulnerabilidades del sistema operativo para llevar a cabo ataques activos. Por ejemplo, el virus " Nimda " aprovecha las vulnerabilidades para atacar.

Complejidad

Algunos gusanos se combinan con scripts de páginas web y se ocultan en páginas HTML mediante VBScript , ActiveX y otras tecnologías. Cuando un usuario accede a una página web que contiene un virus, este reside automáticamente en la memoria y espera a ser activado. También hay algunos gusanos que se combinan con programas de puerta trasera o caballos de Troya , como " Code Red ". [14]

Contagio

Los gusanos son más infecciosos que los virus tradicionales. No solo infectan los equipos locales, sino también todos los servidores y clientes de la red basados ​​en el equipo local. Los gusanos pueden propagarse fácilmente a través de carpetas compartidas , correos electrónicos , [15] páginas web maliciosas y servidores con una gran cantidad de vulnerabilidades en la red. [16]

Dañar

Cualquier código diseñado para hacer algo más que propagar el gusano se conoce normalmente como " carga útil ". Las cargas útiles maliciosas típicas pueden eliminar archivos de un sistema host (por ejemplo, el gusano ExploreZip ), cifrar archivos en un ataque de ransomware o exfiltrar datos como documentos confidenciales o contraseñas. [ cita requerida ]

Algunos gusanos pueden instalar una puerta trasera , lo que permite que el autor del gusano controle de forma remota el ordenador como si fuera un " zombi ". Las redes de este tipo de máquinas suelen denominarse botnets y se utilizan con mucha frecuencia para diversos fines maliciosos, como el envío de spam o la realización de ataques DoS . [17] [18] [19]

Algunos gusanos especiales atacan los sistemas industriales de forma selectiva. Stuxnet se transmitía principalmente a través de redes LAN y unidades USB infectadas, ya que sus objetivos nunca estaban conectados a redes no confiables, como Internet. Este virus puede destruir el software de control de producción central utilizado por empresas químicas, de generación y transmisión de energía en varios países del mundo (en el caso de Stuxnet, Irán, Indonesia e India fueron los más afectados), se utilizaba para "dar órdenes" a otros equipos de la fábrica y ocultar esas órdenes para que no fueran detectadas. Stuxnet utilizaba múltiples vulnerabilidades y cuatro exploits de día cero diferentes (por ejemplo: [1]) en sistemas Windows y sistemas Siemens SIMATICWinCC para atacar los controladores lógicos programables integrados de las máquinas industriales. Aunque estos sistemas funcionan independientemente de la red, si el operador inserta una unidad infectada con el virus en la interfaz USB del sistema, el virus podrá obtener el control del sistema sin ningún otro requisito operativo o aviso. [20] [21] [22]

Contramedidas

Los gusanos se propagan explotando vulnerabilidades en los sistemas operativos. Los proveedores con problemas de seguridad proporcionan actualizaciones de seguridad periódicas [23] (consulte " Martes de parches ") y, si estas se instalan en una máquina, la mayoría de los gusanos no pueden propagarse. Si se revela una vulnerabilidad antes de que el proveedor publique el parche de seguridad, es posible que se produzca un ataque de día cero .

Los usuarios deben tener cuidado al abrir correos electrónicos inesperados [24] [25] y no deben ejecutar archivos o programas adjuntos ni visitar sitios web que estén vinculados a dichos correos electrónicos. Sin embargo, al igual que con el gusano ILOVEYOU , y con el aumento del crecimiento y la eficiencia de los ataques de phishing , sigue siendo posible engañar al usuario final para que ejecute código malicioso.

Los programas antivirus y antispyware son útiles, pero deben actualizarse con nuevos archivos de patrones al menos cada pocos días. También se recomienda el uso de un firewall .

Los usuarios pueden minimizar la amenaza que representan los gusanos manteniendo actualizado el sistema operativo y otro software de sus computadoras, evitando abrir correos electrónicos no reconocidos o inesperados y ejecutando software antivirus y de firewall . [26]

Las técnicas de mitigación incluyen:

Las infecciones a veces se pueden detectar por su comportamiento: normalmente, escaneando Internet de forma aleatoria en busca de hosts vulnerables para infectar. [27] [28] Además, se pueden utilizar técnicas de aprendizaje automático para detectar nuevos gusanos, analizando el comportamiento del equipo sospechoso. [29]

Gusanos con buenas intenciones

Un gusano útil o antigusano es un gusano diseñado para hacer algo que su autor considera útil, aunque no necesariamente con el permiso del propietario del ordenador que lo ejecuta. A partir de las primeras investigaciones sobre gusanos en Xerox PARC , ha habido intentos de crear gusanos útiles. Esos gusanos permitieron a John Shoch y Jon Hupp probar los principios de Ethernet en su red de ordenadores Xerox Alto . [30] De forma similar, la familia de gusanos Nachi intentó descargar e instalar parches del sitio web de Microsoft para reparar vulnerabilidades en el sistema host explotando esas mismas vulnerabilidades. [31] En la práctica, aunque esto puede haber hecho que estos sistemas fueran más seguros, generó un tráfico de red considerable, reiniciaba la máquina durante el proceso de parcheo y hacía su trabajo sin el consentimiento del propietario o usuario del ordenador. Independientemente de su carga útil o de las intenciones de sus autores, los expertos en seguridad consideran a todos los gusanos como malware . Otro ejemplo de este enfoque es el parche que Roku OS aplica a un error que permite que Roku OS sea rooteado a través de una actualización de sus canales de protector de pantalla, que intentaría conectarse a telnet y parchear el dispositivo. [32]

Un estudio propuso el primer gusano informático que opera en la segunda capa del modelo OSI (capa de enlace de datos), utilizando información de topología como tablas de memoria direccionable por contenido (CAM) e información de árbol de expansión almacenada en conmutadores para propagarse y sondear nodos vulnerables hasta que se cubra la red empresarial. [33]

Los anti-gusanos se han utilizado para combatir los efectos de los gusanos Code Red , [34] Blaster y Santy . Welchia es un ejemplo de un gusano útil. [35] Utilizando las mismas deficiencias explotadas por el gusano Blaster , Welchia infectó computadoras y comenzó automáticamente a descargar actualizaciones de seguridad de Microsoft para Windows sin el consentimiento de los usuarios. Welchia reinicia automáticamente las computadoras que infecta después de instalar las actualizaciones. Una de estas actualizaciones fue el parche que solucionó el exploit. [35]

Otros ejemplos de gusanos útiles son "Den_Zuko", "Cheeze", "CodeGreen" y "Millenium". [35]

Los gusanos de arte ayudan a los artistas a realizar obras de arte efímeras a gran escala, convirtiendo los ordenadores infectados en nodos que contribuyen a la creación de la obra de arte. [36]

Véase también

Referencias

  1. ^ Barwise, Mike. "¿Qué es un gusano de Internet?". BBC. Archivado desde el original el 24 de marzo de 2015. Consultado el 9 de septiembre de 2010 .
  2. ^ Zhang, Changwang; Zhou, Shi; Chain, Benjamin M. (15 de mayo de 2015). "Epidemias híbridas: un estudio de caso sobre el gusano informático Conficker". PLOS ONE . ​​10 (5): e0127478. arXiv : 1406.6046 . Código Bibliográfico :2015PLoSO..1027478Z. doi : 10.1371/journal.pone.0127478 . ISSN  1932-6203. PMC 4433115 . PMID  25978309. 
  3. ^ Marion, Jean-Yves (28 de julio de 2012). "De las máquinas de Turing a los virus informáticos". Philosophical Transactions of the Royal Society A: Mathematical, Physical and Engineering Sciences . 370 (1971): 3319–3339. Bibcode :2012RSPTA.370.3319M. doi : 10.1098/rsta.2011.0332 . ISSN  1364-503X. PMID  22711861.
  4. ^ de Brunner, John (1975). El jinete de la onda expansiva . Nueva York: Ballantine Books. ISBN 978-0-06-010559-4.
  5. ^ "El submarino". www.paulgraham.com .
  6. ^ "Seguridad en Internet". CERT/CC .
  7. ^ "Lista de correo de fagos". securitydigest.org. Archivado desde el original el 26 de julio de 2011. Consultado el 17 de septiembre de 2014 .
  8. ^ Dressler, J. (2007). "Estados Unidos contra Morris". Casos y materiales sobre derecho penal . St. Paul, MN: Thomson/West. ISBN 978-0-314-17719-3.
  9. ^ Zhang, Changwang; Zhou, Shi; Chain, Benjamin M. (15 de mayo de 2015). "Epidemias híbridas: un estudio de caso sobre el gusano informático Conficker". PLOS ONE . ​​10 (5): e0127478. arXiv : 1406.6046 . Código Bibliográfico :2015PLoSO..1027478Z. doi : 10.1371/journal.pone.0127478 . ISSN  1932-6203. PMC 4433115 . PMID  25978309. 
  10. ^ Zhang, Changwang; Zhou, Shi; Chain, Benjamin M. (15 de mayo de 2015). Sun, Gui-Quan (ed.). "Epidemias híbridas: un estudio de caso sobre el gusano informático Conficker". PLOS ONE . ​​10 (5): e0127478. arXiv : 1406.6046 . Bibcode :2015PLoSO..1027478Z. doi : 10.1371/journal.pone.0127478 . ISSN  1932-6203. PMC 4433115 . PMID  25978309. 
  11. ^ "Gusano vs. Virus: ¿Cuál es la diferencia y tiene importancia?". Gusano vs. Virus: ¿Cuál es la diferencia y tiene importancia? . Consultado el 8 de octubre de 2021 .
  12. ^ Yeo, Sang-Soo. (2012). Ciencias de la computación y sus aplicaciones: CSA 2012, Jeju, Corea, 22-25.11.2012 . Springer. pág. 515. ISBN 978-94-007-5699-1.OCLC 897634290  .
  13. ^ Yu, Wei; Zhang, Nan; Fu, Xinwen; Zhao, Wei (octubre de 2010). "Gusanos autodisciplinarios y contramedidas: modelado y análisis". IEEE Transactions on Parallel and Distributed Systems . 21 (10): 1501–1514. doi :10.1109/tpds.2009.161. ISSN  1045-9219. S2CID  2242419.
  14. ^ Brooks, David R. (2017), "Introducción a HTML", Programación en HTML y PHP , Temas de pregrado en Ciencias de la Computación, Springer International Publishing, págs. 1–10, doi :10.1007/978-3-319-56973-4_1, ISBN 978-3-319-56972-7
  15. ^ Deng, Yue; Pei, Yongzhen; Li, Changguo (9 de noviembre de 2021). "Estimación de parámetros de un modelo de gusano informático susceptible-infectado-recuperado-muerto". Simulación . 98 (3): 209–220. doi :10.1177/00375497211009576. ISSN  0037-5497. S2CID  243976629.
  16. ^ Lawton, George (junio de 2009). "Tras la pista del gusano Conficker". Computer . 42 (6): 19–22. doi :10.1109/mc.2009.198. ISSN  0018-9162. S2CID  15572850.
  17. ^ Ray, Tiernan (18 de febrero de 2004). "Negocios y tecnología: Se culpa a los virus de correo electrónico mientras el spam aumenta drásticamente". The Seattle Times . Archivado desde el original el 26 de agosto de 2012. Consultado el 18 de mayo de 2007 .
  18. ^ McWilliams, Brian (9 de octubre de 2003). "Dispositivo de encubrimiento creado para spammers". Wired .
  19. ^ "Investigan amenazas de piratas informáticos a corredores de apuestas". BBC News . 23 de febrero de 2004.
  20. ^ Bronk, Christopher; Tikk-Ringas, Eneken (mayo de 2013). "El ciberataque a Saudi Aramco". Survival . 55 (2): 81–96. doi :10.1080/00396338.2013.784468. ISSN  0039-6338. S2CID  154754335.
  21. ^ Lindsay, Jon R. (julio de 2013). "Stuxnet y los límites de la guerra cibernética". Estudios de seguridad . 22 (3): 365–404. doi :10.1080/09636412.2013.816122. ISSN  0963-6412. S2CID  154019562.
  22. ^ Wang, Guangwei; Pan, Hong; Fan, Mingyu (2014). "Análisis dinámico de un código malicioso de Stuxnet sospechoso". Actas de la 3.ª Conferencia internacional sobre informática y sistemas de servicios . Vol. 109. París, Francia: Atlantis Press. doi : 10.2991/csss-14.2014.86 . ISBN . 978-94-6252-012-7.
  23. ^ "Lista USN". Ubuntu . Consultado el 10 de junio de 2012 .
  24. ^ "Descripción de amenaza Email-Worm". Archivado desde el original el 16 de enero de 2018. Consultado el 25 de diciembre de 2018 .
  25. ^ "Descripción de Email-Worm:VBS/LoveLetter | F-Secure Labs". www.f-secure.com .
  26. ^ "Información sobre gusanos informáticos y pasos para eliminarlos". Veracode. 2014-02-02 . Consultado el 2015-04-04 .
  27. ^ Sellke, SH; Shroff, NB; Bagchi, S. (2008). "Modelado y contención automatizada de gusanos". IEEE Transactions on Dependable and Secure Computing . 5 (2): 71–86. doi :10.1109/tdsc.2007.70230.
  28. ^ "Una nueva forma de proteger las redes informáticas de los gusanos de Internet". Newswise . Consultado el 5 de julio de 2011 .
  29. ^ Moskovitch, Robert; Elovici, Yuval; Rokach, Lior (2008). "Detección de gusanos informáticos desconocidos basada en la clasificación del comportamiento del host". Computational Statistics & Data Analysis . 52 (9): 4544–4566. doi :10.1016/j.csda.2008.01.028. S2CID  1097834.
  30. ^ Shoch, John; Hupp, Jon (marzo de 1982). "Los programas "Worm": experiencias tempranas con computación distribuida". Comunicaciones de la ACM . 25 (3): 172–180. doi : 10.1145/358453.358455 . S2CID  1639205.
  31. ^ "Alerta de virus sobre el gusano Nachi". Microsoft.
  32. ^ "Cómo rootear mi Roku". GitHub .
  33. ^ Al-Salloum, ZS; Wolthusen, SD (2010). "Un agente de descubrimiento de vulnerabilidades autorreplicante basado en la capa de enlace". Simposio IEEE sobre computadoras y comunicaciones . p. 704. doi :10.1109/ISCC.2010.5546723. ISBN 978-1-4244-7754-8. Número de identificación del sujeto  3260588.
  34. ^ "Los 'antigusanos' de vnunet.com combaten la amenaza Code Red". 14 de septiembre de 2001. Archivado desde el original el 14 de septiembre de 2001.
  35. ^ abc The Welchia Worm. 18 de diciembre de 2003. p. 1. Consultado el 9 de junio de 2014 .
  36. ^ Aycock, John (15 de septiembre de 2022). «Pintando Internet». Leonardo . 42 (2): 112–113 – vía MUSE.

Enlaces externos