Encontré en TuFunción muy nota sobre virus, por eso te voy a mostrar orden cronológico los 10 virus más destructivos de todos los tiempos. Ellos son: • CIH • Blaster • Melissa • Sobig.F • ILOVEYOU • Bagle • Code Red • MyDoom • SQL Slammer • Sasser
CIH (1998)
Daño estimado: 20 a 80 millones de dólares, sin contar el precio de la información destruida.
Localización: Desde Taiwan Junio de 1998, CHI es reconocido como uno de los mas peligrosos y destructivos virus jamás vistos. El virus infectó los archivos ejecutables de Windows 95,98 y ME y fué capaz de permanecer residente en memoria de los ordenadores infectados para así infectar otros ejecutables.
¿Porqué?: Lo que lo hizo tan peligroso fué que en poco tiempo afectó muchos ordenadores, podía reescribir datos en el disco duro y dejarlo inoperativo.
Curiosidades: CIH fué distribuido en algun que otro importante software como un Demo del juego de Activision “Sin”.
Melissa (1999)
Daño Estimado: 300 a 600 millones de dólares
Localización: Un Miercoles 26 de Marzo de 1999, W97M/Melissa llegó a ser portada de muchos rotativos alrededor del mundo. Una estimación asegura que este script afecto del 15% a 20% de los ordenadores del mundo.
Curiosidades: El virus usó Microsoft Outlook para enviarse asimismo a 50 de los usuarios de la lista de contactos. El mensaje contenía la frase, “Here is that document you asked for…don’t show anyone else. 
,” y venía acompañado por un documento Word adjunto, el cual fue ejecutado por miles de usuarios y permitieron al virus infectar los ordenadores y propagarse a traves de la red.
ILOVEYOU (2000)
Daño Estimado: 10 a 15 billones de dólares
Localización: Tambien conocido como “Loveletter” y “Love Bug”, este fue un script de Visual Basic con un ingenioso y irresistible caramelo: Promesas de amor. Un 3 de Mayo de 2000, el gusano ILOVEYOU fue detectado en HONG KONG y fué transmitido via email con el asunto “ILOVEYOU” y el archivo adjunto, Love-Letter-For-You.TXT.vbs
De igual manera a Melissa se transmitio a todos los contactos de Microsoft Outlook.
¿Porqué?: Miles de usuario fueron seducidos por el asunto y clickearon en el adjunto infectado. El virus tambien se tomó la libertad de sobrescribir archivos de musica, imágenes y otros.
Curiosidades: Como Filipinas no tenía leyes que hablaran sobre la escritura de virus el autor de ILOVEYOU quedó sin cargos.
Code Red (2001)
Daño Estimado: 2.6 billones de dólares
Localización: Code Red fue un gusano que infecto ordenadores por primera vez el 13 de Julio de 2001. Fue un virulento bug porque su objetivo era atacar a ordenadores que tuvieran el servidor (IIS) Microsoft’s Internet Information Server. El gusano era capaz de explotar una importante vulnerabilidad de este servidor.
Curiosidades: Tambien conocido como “Bady”, Code Red fue diseñado para el maximo daño posible. En menos de una semana infectó casi 400.000 servidores y mas de un 1.000.000 en su corta historia.
SQL Slammer (2003)
Daño Estimado: Como SQL Slammer apareció un sábado su daño ecónomico fue bajo. Sin embargo este atacó 500.000 servidores.
Curiosidades: SQL Slammer, tambien conocido como “Sapphire”, data del 25 de Enero de 2003 y su principal objetivo son servidores, el virus era un archivo de 376-byte que generaba una dirección Ip de manera aleatoria y se enviaba asimismoa estas IPs. Si la IP corría bajo un Microsoft’s SQL Server Desktop Engine sin parchear podía enviarse de nuevo a otras IPs de manera aleatoria. Slammer infectó 75,000 ordenadores en 10 minutos.
Blaster (2003)
Daño Estimado: 2 a 10 billones de dolares, cientos de miles de ordenadores infectados.
Localización: El verano de 2003 se dió a conocer Blaster tambien llamado “Lovsan” o “MSBlast”. El virus se detectó un 11 de Agosto y se propagó rapidamente, en sólo dos días. Transmitio gracias a una vulnerabilidad en Windows 2000 y Windows XP, y cuando era activado abría un cuadro de diálogo en el cual el apagado del sistema era inminente.
Curiosidades: Oculto en el codigo de MSBLAST (ejecutable) había unos curiosos mensajes:
“I just want to say LOVE YOU SAN!!” and “billy gates why do you make this possible? Stop making money and fix your software!!”
“Solo quiero decir que te quiero san!!” y “billy gates ¿Porqué haces posible esto? para de hacer dinero y arregla tu software!!”
Sobig.F (2003)
Daño Estimado: De 5 a 10 billones de dólares y más de un millón de ordenadores infectados.
Localización: Sobig tambien atacó en Agosto de 2003 un horrible mes en materia de seguridad. La variante mas destructiva de este gusano fué Sobig.F, que atacó el 19 de Agosto generando mas de 1 millón de copias de él mismo en las primeras 24 horas.
Curiosidades: El virus se propagó vía e-mail adjunto archivos como application.pif y thank_you.pif. Cuando se activaba se transmitía.
El 10 de Septiembre de 2003 el virus se desactivó asimismo y ya no resultaba una amenaza, Microsoft ofreció en su día 250.000$ a aquel que identificara a su autor.
Bagle (2004)
Daño Estimado: 10 millones de dólares y subiendo…
Localización: Bagle es un sofisticado gusano que hizó su debut el 18 de Enero de 2004.
El código infectaba los sistemas con un mecanismo tradicional, adjuntando archivos a un mail y propagandose el mismo.
El peligro real de Bagle es que existen de 60 a 100 variantes de él, cuando el gusano infectaba un ordenador abría un puerto TCP que era usado remotamente por una aplicación para acceder a los datos del sistema.
Curiosidades: La variante Bagle.B fue diseñada para detenerse el 28 de Enero de 2004 pero otras numerosas variantes del virus siguen funcionando.
MyDoom (2004)
Daño Estimado: Realentizo el rendimiento de internet en un 10% y la carga de páginas en un 50%.
Localización: Durante unas pocas horas del 26 de Enero de 2004, MyDoom dió la vuelta al mundo. Era transmitido vía mail enviando un supuesto mensaje de error aunque tambien atacó a carpetas compartidas de usuarios de la red Kazaa.
Curiosidades: MyDoom estaba programado para detenerse despues del 12 de Febrero de 2004.
Sasser (2004)
Daño Estimado: 10 millones de dólares
Localización: 30 de Abril de 2004 fué su fecha de lanzamiento y fue suficientemente destructivo como para colgar algunas comunicaciones satelites de agencia francesas.
Tambien consiguió cancelar vuelos de numeros compañias aéreas.
Curiosidades: Sasser no era transmitido vía mail y no requería usuarios para propagarse. Cada vez que el gusano encontraba sistemas Windows 2000 y Windows Xp no actualizados este era replicado, los sistemas infectados experimentaban una gran inestabilidad.
Sasser fué escrito por un joven aleman de 17 años que propago el virus en su 18 cumpleaños. Como el escribió el código siendo un menor salió bien parado aunque fue declarado culpable de sabotage informático.
ESET, (protección antimalware de última generación), nos informa que hay distintos códigos maliciosos que se aprovechan de WordPress para propagar otras amenazas a través de la inserción de un código dañino de JavaScript.
Esta tendencia es una de las técnicas más utilizadas en la actualidad por los creadores de malware, ya que de esta forma logran obtener altos niveles de propagación sin llamar la atención.
Hace un tiempo, era normal que el malware utilizara métodos masivos en su propagación, como el envío de spam, que llegaban a mucha cantidad de posibles víctimas, pero también eran captados por las compañías antivirus en un menor tiempo, y así se generaba una rápida respuesta en la creación de firmas.
Hoy en día, se busca principalmente pequeños focos de infección que pasen desapercibidos con el objetivo de infectar equipos sin llamar la atención de los usuarios o las casas antivirus logrando un mayor tiempo de respuesta contra estas amenazas.
Los detalles de este nuevo ataque contra los blogs de WordPress pueden verse en el Blog de Laboratorio de ESET para Latinoamérica. Debido a esta nueva tendencia, es importantísimo contar con soluciones de seguridad con altos niveles de detección proactiva, ya que de esta forma se puede detectar malware desconocido.
ATTAQUE DDOS: Es una denegación de servicio distribuida, dejando a un lado las palabras técnicas, podría resumirse como el echo de saturar un sistema usando para ello, muchísimos clientes.
En los servidores web, algunos delincuentes informáticos, controlan cientos o miles de máquinas infectadas por malware, que controlan a su antojo, y pueden ordenarles hacer visitas sin parar a una web determinada, de forma que el apache se satura, y no puede atender a los visitantes legítimos.
Además de estos ataques básicos, pueden usarse estas máquinas “zombie” para saturar cualquier en la máquina, e incluso, pueden usarse para saturar la red entera en la que la máquina está hospedada, enviando información sin parar mediante el protocolo UDP (que no requiere conexión) hasta saturar el ancho de banda de la red objetivo.
Técnicamente hablando estos ataques se conocen como “syn flood” “http flood” “sockets exhaustion” y “udp flood” (aunque existen otros ataque mas raros, estos son lo mas comunes, algunos ni siquiera están documentados)
Algunas de las técnicas que se pueden utilizar para detener este tipo de ataques es utilizar apache basado en threads en lugar de apache basado en forks, de forma que cada petición no nos genera un nuevo proceso, sino un nuevo hilo, además, deberíamos de instalar reglas anti syn-flood en nuestro iptables, además de eliminar la limitación de 1024 sockets por proceso en Linux.
Aparte de estas medidas preventivas (y que están pensadas por los ataques mas típicos, no siempre son efectivas) existen medidas si ya estás bajo ataque, la primera es analizar los logs de los distintos servicios para ver si están realizando un ataque a un software concreto, como apache, o si están usando ataques en la capa tcp, como syn flood.
Si los ataques son peticiones intentando consumir memoria usando los scripts de la página, algo muy común, bastaría con detectar el refer que utilizan o ver si existen un useragent especifico en los zombies, y bloquearlos. Si el ataque es en la capa tcp, debería estudiarse el uso de reglas especificas para mitigar ese ataque en iptables o en el firewall coporativo.
Finalmente, puede que nos quede la pregunta de como reúnen los delincuentes estas máquinas zombie: lo hacen utilizando bugs muy conocidos y con parches disponibles que los solventan y convirtiendo a cada sistema que capturan en un nuevo scaner que continua buscando otros sistemas sin parar, por lo que cuantas mas máquinas controlan, más máquinas infectan al día.
Los programas con los que realizan estas actividades, son públicos y de código libre, lo cual es mas preocupante aun, existen algunos muy extendidos, como rxbot y otros muy similares, existen infinidad de sitios con documentación acerca de como utilizar estos programas, que existen con total impunidad y sirven como escuelas para delincuentes informáticos.
