Este documento describe la historia y evolución del malware a lo largo de cinco fases. Comienza con los primeros virus de computadora como Brain y el Omega en la década de 1980. Luego cubre los primeros malware de Windows como WinVir y el Mono en la década de 1990. Más adelante describe amenazas como rootkits, ransomwares y malware creado para espionaje y sabotaje después de 2010. Finalmente, analiza cómo el malware se ha vuelto más sofisticado a medida que ha adoptado técnicas como el polimorfismo para evadir la de
1. EduardoSánchezPiña
Seguridad de computadora Página 1 de 11 Historia del malware
Historia del malware
Nikola Miloševic
inspiratron.org
Resumen
En las tres décadas pasadas casi toda cosa ha cambiado en el campo del malware y análisis de
malware. Del malware creado como pruebas de ciertos concepto y malware de seguridad cree se
para la ganancia financiera al malware cree se para sabotear infraestructura. En este trabajo nosotros
nos enfocaremos en historia y evolución del malware y describimos la mayor parte de los malwares
importantes.
1. Introducción
Malware, corto para software (o malévolo)
malicioso, es el software usado o creado por
los ataques para desorganizar operación de
computadora, información sensitiva de
cosecha, o ganar acceso a los sistemas de
computadora privados. Puede aparecer en la
forma de código, las caligrafías, contenido
activo, y otro software. 'Malware es un
término general acostumbre a referirse a una
variedad de formas del software hostil o
intruso. Malware incluye los virus de
computadora, ransomware , gusanos, caballos
de Troya, rootkits, keyloggers, dialers,
spyware, adware, malicioso BHO y otros
programas maliciosos; la mayoría de las
amenazas de malware activas es normalmente
gusanos o troyanos antes que 1 de virus.
Historia del malware se puede abrir a varias
categorías que representará también
timeframe en que eventos de que la categoría
sucedió. Así partiremos la historia del
malware en 5 categorías. La primera
categoría llega temprano la fase del malware.
Esto es el tiempo cuando los malwares de
primero cobran vida. La segunda fase llega
temprano fase de Windows. Describirá
malwares de Windows de primero, el primero
envía por correo gusanos y macro se arrastran
como un gusano. La tercera parte es la
evolución de la red se arrastran como un
gusano. Estas amenazas se vuelven populares
cuando Internet se convierte en la extensión
ancha.
Delante la parte es rootkits y ransomwares.
Éstos era el más peligroso malware antes de
2010. Entonces venga el malware que era
hecho para espionaje virtual y sabotaje. Estos
malwares eran creados por las policías
secretas de ciertos países. Esta es la última
fase de la evolución de malware que estamos
enfrentando ahora.
En este trabajo describiremos evolución de
malware en estas cinco fases. También en
este trabajo no describiremos todo el
malware, pero el malware justo que era los
cambiadores animosos excelentes, y era más
famoso por introducidas nuevas cosas en el
mundo de malware.
3. Comienzos del malware
Allí estaba cierto malware para otras
plataformas antes de 1986., pero en 1986. El
primero malware aparecido para PC. Era el
virus llamado Brain.A. Brain.A sea sido
desarrollado en Pakistán, de dos en dos
hermanos - Basit y Amjad. Ellos quisieron
comprobar que la PC no es la plataforma
segura, así que ellos crearon el virus que eran
duplicando usando discos flexibles. Ello
infectó calzando el sector de la guía de flojo y
calzando el sector de cada disco flexible
insertado. Así en cualquier momento los
flojos infectados podrían ser insertados en
PC, infectaría es guía, así la guía infectaría de
nuevo cada disco insertó.
2. EduardoSánchezPiña
Seguridad de computadora Página 2 de 11 Historia del malware
Este virus no hizo ningún daño, y autores sea
firmado cifrado, con el teléfono cuenta y
dirija 2. Intención de los escritores de
malware tempranos fue señalar con el dedo
en los problemas, antes que la marca cierto
dañe o el daño. Pero más tarde por supuesto
el malware llega a ser más y más destructivo.
Después del cerebro existían otros virus. Uno
del interesante es el virus de omega. Es sido
llamado omega debido al signo de omega que
estuvo escribiendo en ciertas condiciones en
la consola. Ello estuvo infectando calce
sector, pero no esté haciendo mucho daño a
menos que era el viernes 13th. En ese día la
PC no pudo calzar. Michelangelo el virus en
el cumpleaños de Miguel Ángel entrado en
años 1992 reescriben los primeros 100
sectores de 3 de disco duro. Haciendo este,
archive la mesa de distribución podría ser
destruida y PC no pudo calzar. De signo en
forma de v es el virus que infecte también
calce sector y escriba el símbolo de la victoria
en pantalla cada mes. El caminante es el
virus próximo que era bastante visual y
aparecido en 1992. Ello estuvo animando el
caminante caminando de un lado de la
pantalla para el otro. El virus de ambulancia
era bastante similar a caminante, el automóvil
de ambulancia animador manejando de un
lado de la pantalla para el otro, pero añade
también los efectos sonoros del automóvil de
ambulancia. Uno del virus más interesante
desde el principio de 1990 " era el virus de
casino. El virus de casino copiaría mesa de
distribución de archivo a memoria y borra la
mesa de distribución de archivo original.
Entonces ofrecerá un juego de ranura al
usuario. El usuario tuvo que conseguir 3 £
signos si él quiere usar su PC y usuario pueda
probar tres veces. Si el usuario comienza de
nuevo la máquina la mesa de distribución de
archivo habría dejado de ser, y máquina no
desearía ser capaz de calzar. Mismo sucedería
si el usuario pierde- archive la mesa de
distribución podría ser borrada de memoria
también. Si el usuario gana el juego, virus
copie posterior archivar la mesa de
distribución de memoria, y PC pudieran ser
usadas normalmente.
El paso grande próximo en la evolución de
malware era la introducción del motor (MtE)
de mutación. El motor de mutación es sido
creado por el intruso búlgaro que se llamaba
el vengador oscuro. Era la herramienta que
pudo añadir funcionalidad de mutación a
virus, así que ellos pueden ser más duros
detectado por los antivirus. Básicamente esto
era el primero módulo de polimorfismo que
pueda tomar cada virus y hacerlo mucho
más invisible. Hasta el software contra virus
del motor de mutación estuvo encontrando
virus en las pc que usan las firmas y cambios
de archivo en archivan firmas. Introducción
del polimorfismo haga este método ineficaz
5.
El laboratorio de creación de virus era la
primera herramienta de UI para crear virus.
El usuario pudo escoger características del
virus y crearlo. Esto hizo creación de virus
fácilmente. Hay ciertas desventajas, pero casi
todo el mundo usando esta herramienta de
GUI pudo crear 6 de virus.
4. malwares de ventanas de primero
Cuando Windows es sido puesto en
circulación estuvo interesando para muchos
usuarios después que da a la interfaz de
usuario poderosa. Esa simplicidad del uso
atrajo muchos usuarios. Toda cosa que tiene
muchos usuarios al computar el mundo
pronto se vuelven interesantes también para
creadores de ataques y malware.
WinVir era el primero virus de Microsoft
Windows. Era también no haciendo mucho
dañe, es la característica principal era que
estuvo duplicando, y que era el primero virus
que ha habilidad para infectar PE de ventanas
(ejecutable portátil) archivos. WinVir estuvo
haciendo los cambios pequeños a los archivos
infectados. Cuando el archivo infectado es
sido ejecutado, WinVir estuvo buscando otros
archivo PE y esté infectando les. Mientras
que WinVir estuvo infectando otro archivan
original ejecute estaba enrollado de vuelta a
es de estado original. Para decir que ello
simple WinVir se estaba borrando.
3. EduardoSánchezPiña
Seguridad de computadora Página 3 de 11 Historia del malware
Monkey era el virus que era que infecta el
dueño calza el registro de los discos duros y
flojos. El mono estuvo moviendo el primero
bloque de registro de bota maestro a tercero e
insertando lo es el código propio en el
primero bloque. Cuando la computadora
infectada era calzada con botas que ello
estuvo corriendo normalmente, a menos que
era calzado con botas del flojo. En este caso "
caiga enfermo especificación de guía "
mensaje es sido impresor.
One-half o el bombardero eslovaco era un
interesando y pueda ser el virus bastante
destructivo. Ello infectó domine la bota
registra, EXE y archivo COM, pero no
infecte archivan ese en palabras contenidas de
nombre como SCAN, CLEAN, FINDVIRU,
GUARD, NOD, VSAFE, MSAV o
CHKDSK. Estos archivos no eran infectados
porque podrían pertenecer para cierto
software de antivirus, así el virus puede ser
atrapar en auto-algoritmos de comprobación.
Ello estuvo cripta están usando la función de
XOR con cierta llave conoció al virus. Pero si
el usuario prueba para acceder cierto cripta
archive, archivo es sido decodificado y
usuario no podría notar algo. El problema con
este virus era, ese si ello es sido aclarado
impropiamente, cripta archivos no pudieron
recuperarse nunca más 7. El virus estuvo
mostrando envié como mensaje cada 4th, 8th,
10th, 14th, 18th, 20th, 24th, 28 y 30 todos los
meses bajo las circunstancias particulares:
Los días son una mitad.
Apriete cada llave para continuar…
Concepto (WM.Concept) era el primero
virus de macro y es sido detectado en 1995.
Era escrito en el idioma de macro de
Microsoft Word, y se estaba extendiendo
dividiendo documentos. Trabajó en las
computadoras de PC y en las computadoras
de Macintosh en computadora sea sido
instalado Microsoft Word. Cuando
documento contagió de concepto estaba
abierto en cierta PC, el virus copiaría es la
plantilla maliciosa sobre plantilla de dueño,
pueda ser infectado 8.
Laroux(X97M/Laroux) era el primero virus
de macro de Microsoft Excel. Era escrito en
básico visual para aplicación (VBA), el
idioma de macro para los documentos de
oficina que se base en básico visual. Trabajó
en Excel 5.x y Excel 7.x. Ello también pudo
ser correr sobre Windows 3.x, Windows 95 y
Windows NT. No estuvo haciendo cada daño,
está duplicando.
Boza era el primero virus que era escrito
específicamente para Windows 95. Estuvo
infectando los archivo EXE portátiles -
archivan que esté usando Windows 95 y
Windows NT. Pero ello no estuvo atacando
Windows NT. Hasta ahora, no existía ningún
virus detectó que era escrito particularmente
para
Windows NT. Virus es sido detectado el 1996
de enero. Tiene los orígenes australianos,
pero es sido detectado en todo el mundo.
Cuando archivo contagió de Boza pueda ser
corrido, infectaría otros archivos en ese
directorio. Uno a tres archivos podría ser
infectado en cada corrida. Después de esto
Boza correría el programa original. El virus
no podría ser activo en memoria nunca más.
Ventana de mensaje de virus de Boza
Boza estuvo tendiendo bastante lento, sino
también el algoritmo que esparce era
rápidamente bastante que no pudo detectarse
por el usuario. Boza tenido ningunas rutinas
destructivas, pero ello tiene uno el error que
causó que bajo ciertas circunstancias infecte
archivos pudieron ascender a varios
megabytes. Esto era de problema en
máquinas que los discos duros son sólo pocos
diez en los megabytes grande. El virus ha
activación rutinas que mostraron ventana de
mensaje en cada 31 de cualquier mes. Los
mensajes eran: "el sabor de la fama sólo
conseguía más sabrosa!" y "de la escuela
vieja al nuevo".
Marburg (Win95/Marburg) es el virus que
empezó a circular en Agosto de 1998.,
4. EduardoSánchezPiña
Seguridad de computadora Página 4 de 11 Historia del malware
cuando ello ha infectado el CD maestro de la
PC de MGM/EA juegue por dinero llame
Wargames. MGM de editor en 12 de Agosto
de 1998. Las apologías sueltas a usuarios:
De: " K.Egan (MGM)" kegan@mgm.com
asunto: fecha de MGM WarGames
Statement: Tome por esposa, 12 Aug 1998
18:03:39-0700
MGM Interactivo recientemente aprendido
que su PC de WarGames juegue por dinero
embarcado con el Win32/virus Marburg.a
contenido en el programa electrónico de
registro. La compañía está trabajando tan
rápida como que ello puede para resolver el
problema… MGM Interactivo es
comprometido para dar los productos de
calidad superiores a consumidores. Esta es
una circunstancia desafortunada y nosotros
nos disculpamos por sinceramente cada
conveniencia esto haya causado le. … Si
tenga todas las preguntas o si desea recibir
un disco de reemplazo, por favor avise MGM
interactivo.
Mismo virus estaba en CD que cubrió el
juego en que se usa la ofensiva con
concentración de jugadores en un área
determinada de revista de PC austríaco en
Agosto de 1998.
Maburg es el virus polimorfo que infectó
Win32 y SCR (preservador de pantalla)
archiva y codifique es el código con la capa
variable polimorfa de la codificación. El
motor polimorfo del virus era bastante
avanzado después que estuvo codificando el
virus con 8, 16 y 32 mordieron llaves y varios
métodos diferentes. El virus estuvo usando el
polimorfismo lento, lo que significa que lo
estuvo cambiando es el decryptor lentamente.
Maburg estuvo borrando la base de datos de
integridad de varios programadores de
antivirus. También estuvo evitando infectar
los archivos que eran perteneciendo al
software de antivirus y no estuvo infectando
los archivos que contienen v en el nombre.
Esto es sido hecho para impedir la
comprobación de auto del software de
antivirus. Maburg era los 3 meses activados
después de la infección si el archivo infectado
era derretido a misma hora como la hora de la
infección mostrar el icono de error de MS
Windows estandar (el blanco cruce en el
círculo rojo) por todo el buró 9.
Maburg
Happy99 sea primer envía por correo virus.
Ello se estaba extendiendo tan la atadura del
correo electrónico como ejecutable y sea sido
detectado en 1998. A esa hora los correos
electrónicos no deseados se filtran apenas
existido, y esté permitiendo enviando de
ejecutables. Si el usuario hace clic sobre y
corre la atadura, le mostraría pantalla con los
fuegos artificiales, sino también el virus
duplicaría atadura y envía correo para todo
los contactos de usuario.
La melisa era el virus que combinó técnicas
del virus de macro y virus de correo. Ello
estuvo viniendo con anexo el archivo Word
de MS infectado. Si el archivo era abierto ello
duplicaría a documento casual escogido del
disco duro del usuario y lo envía a todos los
contactos. Esto era bastante problemático
debido al escape de información. También el
virus estuvo a veces añadiendo citas de los
simpsones a los documentos infectados 3.
LoveLetter era uno de virus de ingeniería
más social exitoso. Estuvo usando locales del
amor, atrayendo usuario para abrir atadura. El
archivo Attachment correría el virus. El virus
estuvo reescribiendo ciertos archivos bastante
importantes en el sistema de víctima. Usar
locales de virus de amor condenado millones
para abrir la atadura, lo que causó el daño
financiero de 5,5 mil millones de dólares
sobre el mundo. Anakurnikova era el virus
similar que era enviando archivo ejecutable, y
condenando las víctimas que existe las fotos
eróticas de Ana Kurnikova, el jugador de
tenis erótico. Muchos son sido convencidos
abrir archivo, y aun cuando compañías de
antivirus hicieron detección y entramado de
5. EduardoSánchezPiña
Seguridad de computadora Página 5 de 11 Historia del malware
correr atadura maliciosa, muchos pregunten
el apoyo de compañías, cómo pueden ver los
cines.
Gusanos
Al final de 1980 accidente era la primera PC
creada se arrastra como un gusano. En 1988.
Robert Tappan Moris, que era el estudiante
de MIT a esa hora escribió un programa que
será caza mayor cambie el evento en la
historia de malware. Como parte de su
Mauricio de proyecto quiera contar las
computadoras unidas a Internet. Así escribió
el programa pequeño que duplica de una
computadora conectada para otro y cuente.
Sino Mauricio hizo un insecto, el gusano
estuvo visitando también computadoras que
ha visitado ya antes. En realidad el gusano
estuvo duplicando de la computadora
infectada a todas otras computadoras
conectadas todo el tiempo. Esto generó una
gran cantidad de tráfico de red e Internet casi
aplastada de esa vez. Debido a esta
equivocación Mauricio sea sido arrestado y
condenado por Computer Fraud y el acto de
abuso de 1986 10. Esto estaba también
primero caso que alguien es sido condenado
por esta ley. A esa hora computadoras tienen
puertos abiertos y conexiones y réplicas se
pueda hacer sin uso de proezas. A principios
de Internet nadie realmente pensado sobre la
seguridad de Internet. Este hecho fácil para
Mauricio para hacer su gusano. Pero los
mecanismos de seguridad posteriores son
sido puestos en práctica y los gusanos
posteriores tuvieron que usar proezas para
ganar acceso a la computadora en la red.
Internet libran de gusanos trabaje en la vía
que ellos tienen algoritmo de exploración que
examina red. En la mayoría lo embale
prueban público o ambas direcciones de IP
públicas y privadas. La dirección de IP se
desasigna, o ello se puede asignar al
dispositivo que no pudo ser atacado
(plataforma mala) o remendó y proteja
computadora. En estos casos arrastre como
un gusano no pueda ir al ataque. Pero si la
computadora en la dirección de IP esté
corriendo en el derecho des parchado la
plataforma, gusano usaría proeza para ganar
acceso a esa computadora. Después de que
añadiría cierta carga útil, que pudo apretar el
gatillo en algún tiempo o haga ciertas cosas
malas a sistema. Entonces ello de nuevo
empieza examinando red y trate de
propagarse de esa computadora.
El color rojo de código es primera Internet
libre de gusanos que venga después que se
arrastra como un gusano Mauricio y que no
necesite ninguna interacción de usuario.
También codifique rojo es primer gusano
intencionalmente escrito (el gusano de
Mauricio era malicioso accidentalmente). El
color rojo de código estuvo tendiendo entrado
en años 2000., y extensión sobre el mundo en
la pareja de horas. Ello estuvo ocultando con
buen resultado de defender los mecanismos y
tuvieron varias capacidades que eran
disparadas en los ciclos. Estuvo atacando IIS
(servicio de información de Internet) los
servidores Web. Los primeros 19 días que se
extiende sólo sobre la red usando la
vulnerabilidad en IIS. De día 20 hacen día 27
lo dar de almorzar a la denegación de servicio
van al ataque en la pareja de sitios Web (por
ejemplo. Whitehouse). Últimos 3-4 días del
mes que sólo descansaría.
Nimda es sido hallado el 18 de septiembre
2001… Nimda rápidamente se extiende sobre
el mundo como Internet se arrastra como un
gusano. Si las letras de Nimda conmuten la
posición que ello es AdmiN. Nimda era
bastante similar a codifique rojo por
examinando la red y propagándome, pero
tiene las características adicionales. Examinar
algoritmo de Nimda estuvo examinando todo
el IP dirigen mientras que codifique rojo esté
examinando el rango de IP público justo.
Debido a esta característica Nimda pudo ir las
redes privadas de infectar adicionales 3.
Nimda también ha habilidad para cambiar
<hospedar> sitio Web, así que ellos
ofrecerían la descarga de los archivos
infectados. Por este camino tender de Nimda
era aún rápido y más peligroso, porque con
Nimda de interacción de usuario pueda
superar cortafuegos y extensión de esa
computadora privada hospedan. Pudo
extenderse a Windows 95, 98, me, NT 4 y
Windows 2000. Nimda ha uno errores debido
a que era bajo ciertas circunstancias
aplastando y no pueda extender más.
6. EduardoSánchezPiña
Seguridad de computadora Página 6 de 11 Historia del malware
El ruido sibilante es el gusano de correo de
2003. Esto no era el gusano de Internet, pero
lo describiremos aquí, debido al timeframe
cuando es sido encontrado. El ruido sibilante
era el primero malware que los propósitos
solo fueron generar entrada y dinero. Ello
entró infecte atadura, y esté volviendo la
máquina infectada en el remitente de correos
electrónicos no deseados. En este período
cambie la estructura de los escritores de
malware. Antes de vello, el malware es sido
escrito por entusiastas que quiera hacer una
prueba de algo o para sacar a luz. De la parte
principal de vello enfoque se en los escritores
de malware esté ganando beneficio. Después
del vello muchos malware venga que envíe
correos electrónicos no deseados o ese
chantajeó usuarios de computadoras.
También los escritores de malware no eran
principalmente de los países desarrollados
guste que ello estaba en 1980 " y 1990".
Fuentes principales del malware vinieron en
2000 " por las personas de países de Tercer
Mundo, principalmente Rusia, China,
Pakistán, India etc.
Slammer es sido encontrado en 2003
septiembre de 13th., y traído ciertas nuevas
cosas. Era Internet libre de gusanos que use la
vulnerabilidad en OpenSSL y es uno de
primeros malwares que atacó máquinas de
Linux y servidores de Apache. Ello ha un
también clandestino, así ataque pudo usar
infecte elabore, cargue para ello ciertas
herramientas adicionales o malwares.
Clandestino esté creando cuenca de UDP con
el ataque. En realidad ello estuvo escuchando
en puerto de UDP 2002 para la conexión de
ataque.
Entrados en años 2003 y 2004 sea sido
hallada la mayor parte de la 3 Internet
destructiva libran de gusanos que haya
introducido la consideración en la seguridad
de sistemas reales (fábricas, central de
energía, aeropuertos y otros sistemas de
transportación) y el sabotaje virtual.
Slammer era el gusano de Internet que era
extendiéndose en 2003. Usar vulnerabilidad
en servidor de SQL de Microsoft y motor de
datos de Microsoft 2000. Cada aplicación
que usó algunos de estos dos servicios era
objetivo potencial y punto de entrada para
Slammer. Algunas de aplicaciones eso
Slammer acostumbrado a ganar acceso al
sistema era:
Microsoft Biztalk Server
Microsoft Office XP Developer
Edition
Microsoft Project
Servidor de Microsoft SharePoint
Portal
Microsoft Visio 2000
Microsoft Visual FoxPro
Microsoft Visual Studio.NET
Microsoft.NET Framework SDK
Compaq Insight Manager
El Cristal relata empresa
Dell OpenManage
monitor de HP Openview Internet
service
McAfee centralizó Admin de virus
McAfee Epolicy Orchestrator
Tienda la millonésima parte de una
unidad específica daña servidor de
limpieza
Websense Reporter
Veritas Backup Exec
WebBoard Conferencing Server 11
Slammer se estaba extendiendo como un
proceso de memoria. Nunca escribió algo en
el disco duro. Así cuando la PC podría ser
comenzada de nuevo, infección
desaparecería. Pero desde la PC estaba unido
para otras pc, de donde consiguió infección, o
donde ello duplicó infección para, pronto
infección estaría de vuelta. Slammer estuvo
creando tráfico de red excelente, tantos
paquetes llegan a ser perdido. Por este
camino causó el daño excelente - por
ejemplo la red de ATM del banco de la
América fue descendente, 911 servicio en
Seattle fue descendente para la pareja de días,
sistemas de control de vuelo en la pareja de
aeropuertos se infectaban y cierto vuelo era
retardado. También allí estaba un problema
en la centralde energía nuclear en Ohio.
Blaster sea sido detectado en Agosto de
2003. Ello usó parachoques desborde la
vulnerabilidad en DCOM RPC (distribuya el
7. EduardoSánchezPiña
Seguridad de computadora Página 7 de 11 Historia del malware
componente objeta modele la llamada de
procedimiento remoto. El ráfaga estuvo
acostumbrado a crear SYN desborde se para
sitio Web windowsupdate.com, pero después
que no tuvo razón sitio Web, realidad uno era
windowsupdate.microsoft.com, no causó
mucho daño a Microsoft. Pero después que
creó trafique que ello haga disminuya la
velocidad e inhabilitan varios sistemas quiera
airee los planos de Canadá eran
terratenientes, EE.UU. Entrenan CSX de
compañía parado etc.
Sasser en el 2004 parachoques usado
desborde se en la autoridad de seguridad local
Subsistema Servicio (LSAS). Se extiende
sobre la red y era bastante a menudo
estrellando LSAS atienda, que cause
comience de nuevo en un minuto. Cuando
Microsoft suelto remienda era bastante
grande para descargar e instalado en el
tiempo menor que cronometra el malware
necesitar aplastar servicio de LSAS. Esto
causó una gran cantidad de frustración para
los usuarios, así pronto nuevo modelo de las
actualizaciones automáticas es sido
desarrollado. La réplica insolente causó
Railcop se entrena para hacer alto en
Australia, el problema de línea aérea de delta
y las demoras en vuelos británicos de
aerolíneas, el departamento de gobierno de
Hong Kong de la energía es sido infectado,
dos hospitales en Suecia sea sido infectado y
no pudo los scanneres derretidos, comisión de
UE es sido infectada, el aeropuerto de
Heathrow tuvo problemas con este malware ,
así como RU Coastguard y varios bancos
cerraron sus oficinas para la pareja de días
debido a la infección interna.
5. Rootkits and ransomware
RootKits es las herramientas de malware que
modifican software de sistema operativo
existente de modo que un ataque pueda
mantener acceso a y la piel en una máquina.
RootKits puede operar a las dos niveles
diferentes, en dependencia de que el software
que reemplazan o alteran en el sistema de
objetivo. Pudieron alterar ejecutables o
bibliotecas binarias existentes en el sistema.
En otros términos, un RootKit pudo alterar
los programan muy que los usuarios y
administradores corren (por ejemplo les, cd, p
u otros programas). Llamaremos tal modo de
usuario de herramientas RootKits porque
ellos manipulan estos elementos de sistema
operativo de usuario a nivel. Alternativa, un
RootKit pudo ir a traer la vena yugular, o en
nuestro caso, el centro de mesa del sistema
operativo, el propio núcleo. Llamaremos que
el tipo de RootKit un modo de núcleo
RootKit 3.
RootKit de primero alguna vez hizo sea sido
hecho por diversión de SONY, y tenga el
impacto bastante malo en la reputación de
SONY. SONY BMG RootKit nazca entrado
en años 2005, como la idea de SONY para
proteger los derechos de autor de sus
publicaciones. Ellos tienen idea para detectar
e inhabilitar albardilla de sus publicaciones
usando este RootKit a otros medios. Sony
BMG RootKit fue parte de 52 publicaciones
de Sony entre ellos álbumes por avión de
Ricky y Kelly Minogue. Cuando el CD era
insertado en jugador de CD normal o
|discman| nada sucedería. Pero cuando el CD
era insertado en PC, RootKit podría ser
instalado, oculte se y todos los archivos
comenzando con $sys$. También ello
controlaría cómo usuario accede música. Si el
usuario prueba para copiar RootKit impida
que ello. Funcionalidad para ocultar todos los
archivos comenzando con $sys$ usado otros
escritores de malware para ocultar sus
archivos en el sistema llamando los archivo
malware con empezar $sys$. Cuando RootKit
es sido detectado, existía el escándalo
excelente porque Tomás Hesse, el director de
ventas globales en Sony BMG haga
declaración en que diga " mayoría, yo pienso,
aún no sepa lo que un rootkit es, así porque
deben interesarse por lo?". Esta causó
reacción pública pesada y haya mal los
impactos en la imagen de SONY. Esto se
muestra también como el ejemplo bueno de
las relaciones públicas malas. Existía también
un traje legal que el epílogo era que SONY
ofreció clientes reintegre y libremente las
descargas de música del sitio Web.
StormWorm era el gusano de correo que
vino 7 años después de LoveLetter, y mismo
como la ingeniería usada social de LoveLetter
para extenderse. Ello usó tenga miedo y el
8. EduardoSánchezPiña
Seguridad de computadora Página 8 de 11 Historia del malware
horror en lugar de amor, como LoveLetter
hizo. StormWorm empieza extenderse usando
correo con dominado " 230 completamente
como la tempestad golpea la Europa".
También existía otras manifestaciones como
cronometre las llaves, así algunos de los
sujetos de StromWorm eran:
Un asesino a 11, es libre a 21 y mate
de nuevo!
El arroz de Condoleezza de
Secretario de Estado de EE.UU.
Ha pateado alemán canciller Angela
Merkel
Genocidio de musulmanes británico
Los números entre 13 y 19 desnudos
van al ataque el director doméstico.
230 completamente como la
tempestad golpea Europa.
Asunto: Su texto
El mahometano radical bebiendo la
sangre de s de enemigos.
El proyectil chino/ruso lance se el
satélite / aeronave abajo ruso/chino
Saddam Husain sano y salvo!
Saddam Hussein alive!
Líder venezolano: "Permítanos el
comienzo de guerra".
Fidel Castro muerto.
Si supe
FBI vs Facebook
Las máquinas infectadas estuvieron creando
una red de botnet. Pero, desde la mayor parte
de las redes de botnet está controlado por un
servidor central, esto no era envolver en
StormWorm, que esté haciendo guste más red
par a par, así predominante bulto pudo
cambiar de anfitrión a anfitrión. StormWorm
estuvo instalando también RootKit que se
acostumbraba a ocultar. Las variantes
posteriores, empezando alrededor de julio de
2007, cargado el componente de rootkit
remendando los conductores de Windows
existentes tal como tcpip.sys y cdrom.sys con
un trozo del código que carga el módulo de
conductor de rootkit sin requerirlo para tener
una entrada en la lista de conductor de
Windows.
Mebroot de 2008 traiga un nueva cosa que
cambió el juego- la víctima se pudo infectar
sólo por Internet de acuaplano del visor. Ello
usó proeza en el visor para ganar acceso a
sistema, y uno de los primeros sitios Web
acostumbró a extender este malware era el
sitio Web oficial de Monica Belluci. Cuando
Mebroot ganaron acceso a PC de víctimas
que instalaría el rootkit que pudo ocultarle de
los detectores de RootKit, que se convierten
en la parte de muchas soluciones de antivirus.
Mebroot estuvieron divisando lo que la
víctima estuvo tecleando y estuvo enviando
estos datos para ir al ataque. También este
malware era bastante bueno depuró, así que
nunca causa casi choques del sistema. Aún si
ello causó estalle, pudo reunir y enviar rastros
para atacar así puede depurar y fijar el
problema. Haciendo este era el más avanzado
malware a esa hora.
Conficer es uno de los misterios máximos en
la historia de malware. La intención del
creador de malware no era encontrada. Usó
vulnerabilidad en ventanas y las contraseñas
débiles extraordinarias para extenderse.
Instalaría clandestino, rootkit y cree un bulto
de botnet en infectar máquina. Ha infectado
casi el 10 millones del anfitrión. El misterio
excelente es que ello tuvo la red de botnet
muy compleja que se usaba para cualquier
ataque.
El ransomware interesante es el malware que
hubo cripta víctima el disco duro, la base de
buró cambiado con mensaje y exija que USD
120 para la llave de des criptografía. La cosa
interesante era que los ataques estuvieron
dando las llaves ausentes si se pagaban. Por
tenderlo use vulnerabilidad de visor e infecte
archivo PDF con la caligrafía que descargan e
instale este malware. Cambiaría base para
buró y lugar en el archivo how-to-decrypt.txt
para buró en que era este texto:
Atención!!!
Todos sus archivos individuales
(fotografía, documentos,
textos, bases de datos,
certificados, archivos de kwm,
el video) hayan sido codificados
por una cifra muy fuerte
RSA-1024. Los archivos
originales son borrados. Puede
9. EduardoSánchezPiña
Seguridad de computadora Página 9 de 11 Historia del malware
verificar esto solo - sólo
busque archivos en todas las
carpetas.
No existe ninguna posibilidad
para decodificar estos archivos
sin una cosa especial decodifica
el programa! nadie puede
ayudarle - aún no trate de
encontrar otro método o decir
alguno. También después de los
días de n todo codifique los
archivos se borrará
completamente y tendrá ninguna
oportunidad para conseguirlo
atrás.
Podemos ayudar para resolver
esta tarea para $120 por la vía
del giro bancario (SWIFT/IBAN de
giro bancario). Y recuerde:
todas las palabras dañinas o
malas a nuestro lado serán una
razón para el ignorando su
mensaje y nada se hará.
Para detalles usted tiene que
enviar su solicitud en este
correo electrónico (acompañe el
mensaje un serial completo
teclea mostrado abajo en este "
cómo…' archivo en el buró):
dirección de correo electrónico.
Los archivos que eran criptas en disco
tuvieron extensiones: .jpg, .jpeg, .psd,
.CDR,.dwg, .máximo,.mov, .m2v, .3gp,.doc,
.docx, .xls, .xlsx, .ppt, .pptx, .rar,
.cierre,.mdb, .mp3 ,.c,.p12 ,.pfx, .kwm, .pwm,
.txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md,
.mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg,
.doc, .docx, .|xls| , y.xlsx..
6. Sabotaje virtual y espionaje
Entrado en años 2010., un paso grande en la
evolución de malware sucedió. Malware no
es visto tal como el hilo para los negocios, las
finanzas o archivos personales. Agencias
secretas y de fuerzas policiales militares de
varios países consiguieron envueltas en la
creación de malware. Malware es ahora visto
similar como cualquiera otra arma. el
gobierno de los EE.UU. declaró ese cualquier
ejército de los EE.UU. permanece enderece
se para responder a ataque cibernético con el
ataque físico. Dejar caer bombas y los
ataques cibernéticos que usan el malware es
visto como las cosas iguales. También, el
malware llega a ser capaz de la acción casi
mismo dañe como bombardee, pero sin riesgo
las vidas humanas. El mejor ejemplo para eso
es el malware llamado Stuxnet, que era
hallado en verano 2010.
Stuxnet sea un primer malware excelente
llamado, proporcionado en junio de 2010.,
pero cuando era encontrado es comprendido
que ello estuvo tendiendo no descubierto para
sobre un año. Cuando Stuxnet lo es sido
detectado haya hecho ya lo que era fabricado
para. Ello es creer que Stuxnet era creado
destruir o al menos disminuya la velocidad el
programa nuclear iranio. Stuxnet físicamente
las turbinas saboteados para el
enriquecimiento de uranio por cambiar las
frecuencias de rotación. Esto es sido hecho en
la vía que era no vista antes. Stuxnet se estaba
extendiendo arriba el palo de USB, donde el
auto apagado corre o auto juega opción no
desearía ayudar. Si el palo de USB era
insertado en la PC infectada que podría ser
infectado y si infecte USB era insertado en
PC, la PC podría ser infectada. Ningún contra
virus sea capaz de detectarlo. Stuxnet usó
rootkit para ocultarse en la máquina infectada
y ello haragán de otro modo pero duplicando
para otro inserte USB está hincado. Para
ganar el control sobre la PC que usó 5
proezas de que 4 eran el día cuando Stuxnet
era proezas primero detectadas de 0 días. Ello
activa que ello es las rutinas por si acaso lo
PC es sido anexa al controlador de paso 7 de
Siemens particular, y la PC puede ser usada
para la programación del controlador. Aún en
ese caso no desearía hacer algo, si el
controlador no es anexo al sistema industrial
particular. En ese caso ello cambiaría
frecuencias del sistema de rotación, y
también herramientas para respuesta
automática, así que ello les buscaría como el
sistema trabaja correctamente. El certificado
contenido válido de Stuxnet, y cuando es sido
puesto en lista negra en un día del período
10. EduardoSánchezPiña
Seguridad de computadora Página 10 de 11 Historia del malware
cambió su certificado. Ello tiene muerte la
fecha instiga contra 2012 junio de 24th.,
cuando todos los casos de Stuxnet se
matarían. Ello es creer que este malware es
sido creado por las policías secretas de ee.uu.
e Israel. Ninguno de estos países confuta o
confirma este 12.
DoQu es el malware que ha asimilado
codifique basado en como Stuxnet. Ello es
creer que Stuxnet y DoQu tienen mismo
origen y mismos autores. Stuxnet y DoQu de
operación están también en la correlación en
muchas fuentes. DoQu usado mismo explotan
como Stuxnet, pero ello tiene diferente
propósito. Ello tiene proponga para recoger la
información sobre las víctimas, en otros
términos su propósito sea ser espía infecte
PCs. DoQu era escrito en los lenguajes de
programación más altos, que es inusual para
malware, porque la mayor parte del malware
está escrito o en ensamblador, la c o
finalmente en la c++, o en algunos de
lenguajes de caligrafía como pitón o Lua.
DoQu eran escritos en el objeto la c
orientado, y ello es creer que es ser sido
compilado usando estudio de Microsoft
visual 2008.
La llama es el más complejo malware que ha
sido visto. Es sido encontrado en 2012. y la
mayor parte de las computadoras son sido
infectadas en cercano y Medio Oriente. Es
también crea que sea sido creado por Israel y
policías secretas de los EE.UU. y militar.
Esto es el malware del módulo, que puede ser
controlado por el ataque y él puede añadir
nuevos módulos remotamente. Con todos sus
módulos que ello puede ser 20MB grande. La
llama pudo extenderse sobre el puerto de
USB o por la red. Ello usó capacidad de
rootkit para ocultarse en el sistema infectado.
Ello tiene capacidad para registrar audio,
video, llamadas de skype, actividad de red,
para robar archivos de disco duro y envía
para ir al ataque. En las compañías de
antivirus de momento en que recoja la
muestra de la llama para análisis, llama es
sido destruido remotamente por el ataque que
envía la matanza manda, que destruyeron
todos los casos del malware de llama. La
llama es escrita en Lua y c++, y como
Stuxnet y DoQu que ello tiene válido robado
certificado.
7. Conclusión
Ello ha pasado más de 25 años desde el
primero malware para la PC salga. Malware
evolucionó, pero algunos de los principios
permanecieron el mismo. Primer malware
Brain.A extienda se sobre discos flexibles,
Stuxnet - uno del malware más complejo -
extensión sobre el USB maneja. Propósitos y
móviles para la creación de malware
cambiaron de exibitionism, sobre venganza y
beneficio a espionaje y sabotaje. El beneficio
es el motivador todavía excelente para la
creación de malware, y ello continuará estar
en el futuro. Militar propone tales como
espionaje y sabotaje era probado como el
éxito para los creadores de malware.
Podemos esperar más del malware militar y
la contienda armada cibernética en futuro,
desde entonces es bastante seguro para
ataques y pueda causar mismo daño como los
ataques militares con todo su poder de fuego.
Ello se tiene que ver cómo compañías de
antivirus negociarían con este tipo de los
ataques con los recursos casi ilimitados para
la creación de malware en un campo y mejore
queriendo creadores de malware en el otro
campo. Todavía podríamos ver algún otro
propósito de la creación de malware en el
futuro en cierto evento cambiante del juego
tal era Stuxnet cuando estamos hablando del
uso militar del malware.
8. Los trabajos citaron
[1] Wikipedia, Malware, Internet:
http://en.wikipedia.org/wiki/Malware,
03.02.2013.
[2] Brain: Buscar el primero virus de PC,
Mikko Hypponnen, FSecure,2011.
[3] Malware: Combatiendo código malicioso,
Skoudis, Lenny Zeltser de ed,vestíbulo de
aprendiz PTR,2003
[4] Wikipedia, gusano de tempestad, Internet:
http://en.wikipedia.org/wiki/Storm_Worm,
10.02.2013.
[5] Virus Wikia, la oscuridad el motor de
mutación de Avanger,
http://virus.wikia.com/wiki/Dark_Vengador_
Mutación_Engine, 17.02.2013.
11. EduardoSánchezPiña
Seguridad de computadora Página 11 de 11 Historia del malware
Documentación de laboratorio de creación de
6 Virus, Internet,
http://www.textfiles.com/virus/DOCUMENT
ATION/vcl.txt
[7] un_mitad, |enciclopedia| de amenaza de
ESET, Internet
http://go.eset.com/us/threatcenter/encyclopedi
a/threats/onehalf/
[8] Concept.A,descripción de amenaza de
FSecure,Internet,
http://www.fsecure.com/v-descs/concept.sht
ml
[9] Maburg, FSecure Threat descripotion,
Interner,
http://www.f-secure.com/vdescs/marburg.sht
ml
[10] Dressler,J. (2007). “el v de EE.UU.
Mauricio". Casos y materiales en la ley
criminal. El st Pablo, MN: Thomson/oeste
[11] Slammer, descripción de amenaza de
FSecure,Internet,
http://www.f-secure.com/vdescs/mssqlm.sht
ml
[12] Stuxnet dossier, Simantec,
http://www.symantec.com/content/en/us/enter
prise/media/security_response/whitepapers/w
32_stuxnet_dossier.pdf