Glosario
| Actualizado por última vez el: April 19, 2004 08:32:53 AM |
|
|
El siguiente glosario contiene muchos términos de uso común en el sitio Web de Symantec Security Response. Para encontrar la definición de estos términos y las respuestas a otras preguntas relativas a la seguridad en Internet, consulte esta lista o la página de Frequently Asked Questions (FAQ) ("Preguntas más frecuentes." Este recurso se encuentra en inglés).
.dam
Indica que se han detectado archivos que han resultado dañados por una amenaza o que pueden contener restos inactivos de ella, lo que hace que ya no puedan ejecutarse correctamente o no se obtengan los resultados esperados.
.dr
Hace referencia a un archivo que se considera como portador. Se trata de un programa que deposita el virus o el gusano en el equipo de la víctima.
.enc
Hace referencia a un archivo encriptado o codificado. Por ejemplo, un gusano que crea una copia de sí mismo mediante codificación MIME se puede detectar por el sufijo .enc.
@m
Significa que el virus o el gusano se transmite mediante su envío por correo electrónico. Por ejemplo, VBS.Chic.F@m (este recurso se encuentra en inglés), que sólo se envía a sí mismo por correo electrónico, pero no se transmite mediante envío masivo.
@mm
Significa que el virus o el gusano se transmite mediante su envío masivo por correo electrónico. Por ejemplo, W32.Bugbear@mm, que reenvía mensajes a todas las direcciones del buzón de correo.
Amenaza combinada
Las amenazas combinadas aúnan las características de los virus, los gusanos, los caballos de Troya y el código dañino con las vulnerabilidades presentes en los servidores y en Internet para iniciar, transmitir y propagar los ataques. Utilizando varios métodos y técnicas, las amenazas combinadas pueden propagarse rápidamente y ocasionar daños generalizados. Entre las características de las amenazas combinadas se encuentran las siguientes:
- Resultan perjudiciales: inician ataques de denegación de servicio en una dirección IP de destino, deforman servidores Web o infiltran programas con caballos de Troya para su ejecución posterior.
- Se propagan por varios métodos: analizan las vulnerabilidades de un sistema para comprometerlo, como en el caso de la incrustación de código en los archivos HTML de un servidor, la infección de visitantes a un sitio Web ya comprometido o el envío de correo electrónico no autorizado con gusano adjunto desde servidores comprometidos.
- Atacan desde múltiples puntos: inoculan código dañino en los archivos ejecutables de un sistema, aumentan el nivel de privilegio de la cuenta de invitado, crean recursos de red compartidos con acceso de lectura y escritura a escala mundial, realizan numerosos cambios de registro y añaden códigos de secuencias de comandos en los archivos HMTL.
- Se propagan sin intervención humana: analizan continuamente Internet en busca de servidores vulnerables a su ataque.
- Explotan las vulnerabilidades: aprovechan las vulnerabilidades conocidas, como el desbordamiento de búfer, las vulnerabilidades de verificación de entrada HTTP y las contraseñas predeterminadas conocidas para conseguir un acceso administrativo no autorizado.
La protección efectiva ante una amenaza combinada requiere una solución de seguridad global, provista de distintas capas de mecanismos de defensa y respuesta.
Asunto del mensaje de correo electrónico
Algunos gusanos se propagan automáticamente, enviándose a otras personas a través del correo electrónico. Este campo indica el contenido de la línea de asunto del mensaje de correo electrónico que envía el gusano.
Administración de la vulnerabilidad
Práctica consistente en identificar y eliminar los puntos débiles susceptibles de comprometer la confidencialidad, integridad o disponibilidad de un recurso informático. Práctica de seguridad de la información preventiva que identifica y elimina los puntos débiles antes de que sean utilizados para comprometer la seguridad de un recurso informático.
Backdoor
Es una forma de acceder a un programa, a un servicio en línea o a un equipo por completo, que no se encuentra registrado por cualquiera de ellos. El backdoor es desarrollado por un programador y normalmente el código sólo es conocido por dicho programador. Un backdoor es un riesgo potencial para la seguridad del un equipo, un programa o un servicio en línea.
Carga útil
Éste es el código de programa que realiza la actividad vírica. No todos los virus tienen una carga útil —algunos sólo se replican— ni todas las cargas útiles realizan operaciones destructivas.
Cautiva
Amenaza que sólo existe en laboratorios de virus o antivirus, pero que no se da en estado salvaje. La mayoría de las amenazas de este tipo nunca se encuentran en estado salvaje, por lo que raramente suponen una amenaza para los usuarios.
Código móvil
Código (software) que se transfiere de un equipo host a un cliente (o a otro equipo host) para ser ejecutado. Al hablar de código móvil dañino, un buen ejemplo es el gusano.
Contención de peligrosidad
Este parámetro indica con qué facilidad puede impedir la propagación de esta amenaza la tecnología antivirus actual. Como regla general, las técnicas de virus antiguas suelen ser contenidas con facilidad. La contención de los nuevos tipos de amenazas o los virus muy complejos puede resultar más difícil y, por tanto, constituyen una mayor amenaza para el conjunto de usuarios. Los valores posibles son Fácil (la amenaza se contiene con facilidad), Moderado (la amenaza puede contenerse parcialmente) y Difícil (la amenaza no puede contenerse en la actualidad).
Daño
El componente de daños mide la magnitud de los daños que puede causar una amenaza determinada. Esta valoración incluye los eventos disparados, la sobrecarga de servidores de correo electrónico, la eliminación o modificación de archivos, la publicación de información confidencial, la pérdida de rendimiento, los errores en el código del virus, la amenaza para la configuración de seguridad y la facilidad con la que pueden repararse los daños.
Desestabiliza el sistema
Esta carga útil puede hacer que el equipo se bloquee o que se comporte de una forma inesperada.
Definiciones de virus (Intelligent UpdaterTM)
Las definiciones de virus obtenidas mediante Intelligent Updater son sometidas a comprobaciones exhaustivas de garantía de calidad por parte de Symantec Security Response. Se publican en días laborables (de lunes a viernes) y deben descargarse e instalarse manualmente desde el sitio Web de Symantec Security Response. Los usuarios que más se benefician a diario de la descarga y la instalación de definiciones de virus mediante Intelligent Updater son los administradores de redes corporativas, así como los usuarios finales expuestos a prácticas de riesgo (por ejemplo, la apertura de archivos adjuntos de correo electrónico enviados por remitentes desconocidos o incluidos en mensajes de correo electrónico inesperados, la descarga de archivos de grupos de noticias o sitios Web desconocidos, etc.). Encontrará definiciones de virus para descargar mediante Intelligent Updater aquí. (Este recurso se encuentra en inglés).
Usuarios domésticos: Aunque es posible, no es estrictamente necesario que los usuarios domésticos descarguen e instalen definiciones de virus mediante Intelligent Updater diariamente. En Symantec se reciben todos los días muestras de virus nuevos y, a continuación, se crean diariamente las correspondientes definiciones. En muchas ocasiones, estos virus aún no se encuentran en estado salvaje o, si lo están, su incidencia es mínima. En cualquier caso, si se detecta que un virus de estas características se está propagando rápidamente, de inmediato se ponen a disposición de nuestros clientes paquetes de LiveUpdate a fin de protegerlos por completo. Además, si sospecha que su equipo puede hallarse infectado por un virus, siempre puede sacar provecho de la función Analizar y enviar para remitir el archivo potencialmente infectado para su análisis por Symantec Security Response. Como parte de nuestra respuesta, recibirá los paquetes de Intelligent Updater necesarios para abordar la infección.
Si desea obtener instrucciones detalladas sobre la descarga e instalación de definiciones de virus mediante Intelligent Updater desde el sitio Web de Symantec Security Response, haga clic aquí. (Este recurso se encuentra en inglés).
Definiciones de virus beta
Este tipo de definiciones de virus no ha sido sometido a ningún tipo de comprobación de garantía de calidad por Symantec Security Response. A pesar de que Symantec Security Response hace todo lo posible para garantizar que todas las definiciones de virus funcionan correctamente, debe tenerse en cuenta que las definiciones de virus de calidad beta conllevan riesgos adicionales. Este tipo de definiciones de virus es extremadamente útil durante los ataques generalizados de virus que revisten mayor gravedad, cuando los usuarios no pueden o no quieren esperar a la aparición de definiciones de virus que hayan sido sometidas a una comprobación de garantía de calidad exhaustiva. Las definiciones de virus beta se encuentran disponibles aquí. (Este recurso se encuentra en inglés).
Definiciones de virus (LiveUpdateTM)
LiveUpdate constituye la forma más sencilla de obtener definiciones de virus y actualizaciones de productos. Estas definiciones de virus son sometidas a comprobaciones exhaustivas de garantía de calidad por parte de Symantec Security Response y se publican en los servidores de LiveUpdate una vez por semana (los miércoles, por regla general), a menos que se produzca un ataque generalizado de virus. La utilización de LiveUpdate implica un proceso que se divide en tres etapas:
- LiveUpdate descarga una lista de las actualizaciones disponibles, establece las relaciones con los programas de Symantec instalados, determina si alguna actualización se puede aplicar a esos programas y presenta la lista de las actualizaciones que puede solicitar.
NOTA: si emplea LiveUpdate automático con la configuración predeterminada, sólo se descargarán las definiciones de virus, sin que aparezca ningún mensaje cuando haya alguna disponible.
- Se descargan las actualizaciones que se hayan seleccionado.
- Tras descargar los archivos, LiveUpdate instala automáticamente las definiciones de virus y las actualizaciones de productos.
Si desea obtener instrucciones detalladas acerca de la ejecución de LiveUpdate, haga clic aquí.
También es posible descargar e instalar las definiciones de virus manualmente. Las definiciones mediante Intelligent Updater se publican diariamente y pueden descargarse desde aquí. (Este recurso se encuentra en inglés).
Definiciones de virus beta
Este tipo de definiciones de virus no ha sido sometido a ningún tipo de comprobación de garantía de calidad por Symantec Security Response. A pesar de que Symantec Security Response hace todo lo posible para garantizar que todas las definiciones de virus funcionan correctamente, debe tenerse en cuenta que las definiciones de virus de calidad beta conllevan riesgos adicionales. Este tipo de definiciones de virus es extremadamente útil durante los ataques generalizados de virus que revisten mayor gravedad, cuando los usuarios no pueden o no quieren esperar a la aparición de definiciones de virus que hayan sido sometidas a una comprobación de garantía de calidad exhaustiva. Las definiciones de virus beta se encuentran disponibles aquí. (Este recurso se encuentra en inglés).
Descripción técnica
Esta sección describe los detalles específicos de la infección, como la modificación de entradas de registro y los archivos que son manipulados por el virus.
Detección de intrusos
Detección de intrusiones o tentativas de este tipo mediante el examen de registros u otra información disponible en una red.
Disparador de la carga útil
Ésta es la situación que hace que el virus se active o que deposite su carga útil destructiva. Algunos virus disparan sus cargas útiles en una fecha determinada. Otros disparan su carga útil basándose en la ejecución de determinados programas o la disponibilidad de una conexión a Internet.
Distribución
Este componente mide la velocidad con la que una amenaza puede propagarse.
Distribución geográfica
Este parámetro indica el conjunto de zonas geográficas diferentes en las que se ha detectado la infección. Las indicaciones posibles son alta (peligro mundial), media (peligro presente en algunas zonas geográficas) y baja (peligro localizado o en cautividad).
Elimina archivos
Esta carga útil elimina distintos archivos del disco duro. El número y el tipo de archivos que pueden eliminarse varían de un virus a otro.
Eliminación
Este parámetro indica el nivel de conocimientos que se necesita para eliminar la amenaza de un equipo determinado. En ocasiones, esto implica la eliminación de archivos y la modificación de entradas de registro. Los tres niveles utilizados son Difícil (requiere un técnico experto), Moderado (requiere cierta experiencia) y Fácil (no requiere experiencia).
Envío de mensajes a gran escala
Este tipo de carga útil envía mensajes de correo electrónico a un gran número de personas. Esto suele realizarse mediante el acceso a la libreta local de direcciones y el envío de mensajes de correo electrónico a cierta cantidad de direcciones de la libreta.
Evaluación de peligrosidad
Indica una valoración de peligrosidad del virus, gusano o caballo de Troya. Indica también los daños que causa la amenaza, a qué velocidad puede propagarse a otros equipos (distribución) y hasta qué punto se ha propagado la infección, si se conoce (véase salvaje).
Fallo de seguridad
Programa o técnica que aprovecha una vulnerabilidad del software. Los fallos de seguridad pueden utilizarse para provocar brechas de seguridad o atacar un host en red por otros medios.
Fecha y hora del archivo adjunto
Este campo indica la fecha y la hora del archivo adjunto.
HLLW
Hace referencia a un gusano compilado en un lenguaje de programación de alto nivel.
NOTA: Este modificador puede que no se utilice como prefijo. Sólo funciona como prefijo en el caso de los gusanos desarrollados en lenguaje de programación de alto nivel para DOS. Si el gusano es un archivo Win32, el nombre correcto sería W32.HLLW.
IRC
IRC se ha hecho popular conforme más personas se conectan a Internet, debido a que permite la conexión a cualquier lugar por medio de internet para participar en conversaciones en vivo. Los sistemas anteriores de chat IRC estaban limitados a sólo dos participantes
Actualmente varias personas se pueden unir y sólo requieren un cliente IRC y acceso a internet. El cliente IRC es un programa que se ejecuta en su equipo, envía y recibe mensajes a un servidor IRC. El servidor IRC se encarga de que todos los mensajes se envíen a cada uno de los participantes en la plática. Pueden haber varias conversaciones al mismo tiempo y a cada uno se le asigna un único canal.
Longitud de la infección
Éste es el tamaño, en bytes, del código vírico que es insertado en un programa por el virus. Si se trata de un gusano o de un caballo de Troya, la longitud representa el tamaño del archivo.
MD5
Una función hash, como MD5, constituye una operación unidireccional que transforma una cadena de datos de cualquier longitud en otra cadena más corta de longitud fija. El valor resultante de dos cadenas de datos sometidas a un algoritmo hash nunca es el mismo.
La suma de comprobación de la función MD5 verifica la integridad de los datos sometiéndolos a un algoritmo hash una vez que se reciben. El valor resultante se compara con el valor obtenido por el algoritmo hash que se envía junto con los datos. Si ambos coinciden, significa que los datos no han sufrido alteraciones o manipulaciones y puede confiarse en su integridad.
Si desea obtener más información sobre la función MD5 y desea descargar una utilidad de suma de comprobación MD5, haga clic aquí. (Este recurso se encuentra en inglés).
Si desea obtener una lista con las funciones MD5 para todas las descargas de definiciones de virus disponibles mediante Intelligent Updater, haga clic aquí. (Este recurso se encuentra en inglés).
Modifica archivos
Esta carga útil cambia el contenido de los archivos del equipo y puede causar daños en ellos.
Nombre del archivo adjunto
La mayoría de los gusanos se propagan a través de archivos adjuntos en mensajes de correo electrónico. Este campo indica el nombre o nombres habituales que suelen tener los archivos adjuntos.
Normas de firewall
Sistema de seguridad que utiliza normas para bloquear o permitir la conexión y la transmisión de datos entre el equipo e Internet.
Número de infecciones
Este parámetro indica el número de equipos que se sabe que están infectados.
Número de países
Este parámetro indica el número de países en que se han detectado las infecciones.
Número de secuencia
Los números de secuencia sólo se utilizan en los productos corporativos de Norton AntiVirus y constituyen un método alternativo para representar la fecha de las definiciones más recientes o necesarias. Los números de secuencia se asignan secuencialmente a los juegos de firmas y su numeración siempre es ascendente. Un juego de firmas con un número de secuencia más alto reemplaza a otro con un número de secuencia más bajo.
Número de sitios
Este parámetro indica el número de ubicaciones que tienen equipos infectados. Normalmente, se refiere a organizaciones, como compañías, organismos públicos y centros similares.
Problema
Un fallo de programación en un programa de software que puede resultar en efectos secundarios no deseados. Ejemplos: los problemas de seguridad que han sido descubiertos en exploradores de Web o los problemas que enfrentaron algunos programas de software con el cambio de fecha al año 2000.
Pone en peligro la configuración de seguridad
Esta carga útil puede intentar conseguir el acceso a las contraseñas o a otras partes de la configuración de seguridad del sistema. También puede buscar puntos débiles en los componentes de procesamiento de Internet del equipo para instalar en ese sistema un programa que podría ser controlado de forma remota a través de Internet.
Puertos
Este campo indica los puertos TCP/IP que puede intentar utilizar la amenaza.
Publica información confidencial
Esta carga útil puede intentar tener acceso a información importante almacenada en el equipo, por ejemplo a números de tarjetas de crédito.
Salvaje
El componente salvaje mide hasta qué punto un virus se está propagando entre los usuarios informáticos. Este parámetro incluye también el número de sitios independientes infectados, el número de equipos infectados, la distribución geográfica de la infección, la capacidad de la tecnología actual para combatir la amenaza y la complejidad del virus.
Sistemas afectados
Este parámetro se refiere a los sistemas operativos o aplicaciones que son vulnerables a una amenaza.
Sistemas no afectados
Este parámetro se refiere a los sistemas operativos o aplicaciones que no son vulnerables a una amenaza. La lista de tales sistemas puede variar a medida que haya más información disponible sobre una amenaza en particular.
Tamaño del archivo adjunto
Este campo indica el tamaño del archivo adjunto que contiene el mensaje de correo electrónico infectado.
También conocido como
Estos son los nombres que utilizan otros fabricantes de antivirus para identificar esta amenaza. A menudo, el análisis heurístico de Symantec Bloodhound permite identificar una amenaza potencial antes de ofrecer una detección específica. En tales casos, el nombre de la detección mediante Bloodhound aparece en este campo.
Tipo: Broma
Programa inocuo que ocasiona la ejecución en el equipo de diversas acciones benignas (por ejemplo, la aparición de un protector de pantalla).
Tipo: Caballo de Troya
Programa que no crea copias ni réplicas de sí mismo, pero que ocasiona daños o compromete la seguridad del equipo. Generalmente, depende del envío por correo electrónico por parte de otra persona. No se reenvía a sí mismo y se puede propagar mediante programas de bromas o software de otra clase.
Tipo: Virus
Programa o código que crea réplicas de sí mismo (es decir, que infecta otro programa, el sector de arranque, el sector de una partición o un documento compatible con el uso de macros, bien sea insertándose o adjuntándose en ese soporte). La mayoría de los virus se limitan a crear réplicas de sí mismos, pero otros muchos también ocasionan daños.
Tipo: Virus falso
Normalmente, se trata de mensajes de correo electrónico alarmistas enviados en cadena donde se describe un tipo de virus muy extraño con consecuencias devastadoras. Se suelen reconocer porque no contienen ningún archivo adjunto ni ninguna referencia a terceros que puedan verificar cuanto se afirma en ellos, así como por el tono general del mensaje.
Tipo: Gusano
Programa que crea copias de sí mismo, por ejemplo, copiándose de una unidad de disco a otra o utilizando el correo electrónico u otro mecanismo de transporte. Puede ocasionar daños y comprometer la seguridad del equipo. Se puede propagar mediante programas de bromas o software de otra clase.
Reduce el rendimiento
Esta carga útil reduce la velocidad del equipo. Esto puede implicar el consumo innecesario de memoria disponible, la creación de archivos que consuman espacio en el disco o la carga y ejecución más lenta de los programas.
Referencias CVE
Lista de nombres normalizados de vulnerabilidades y otra información susceptible de exponer la seguridad de la información. La lista CVE pretende normalizar los nombres de todas las vulnerabilidades y los factores capaces de comprometer la seguridad. (Fuente: Sitio Web de CVE).
Si desea obtener más información sobre la compatibilidad entre Symantec y CVE, haga clic aquí. (Este recurso se encuentra en inglés).
Retrovirus
Virus informático que ataca activamente a uno o más programas antivirus en un intento de impedir su detección por parte de estos.
Unidades compartidas
Este campo indica si la amenaza intentará crear réplicas de sí misma a través de las unidades asignadas o los volúmenes de servidor en los que el usuario puede estar autentificado.
Variantes
Nuevas cepas de virus que reutilizan directamente el código de otros virus conocidos en distinto grado. Las variantes se identifican normalmente por el nombre de esa familia de virus seguido de una letra o letras (por ejemplo: VBS.LoveLetter.B, VBS.LoveLetter.C, etc.).
Virus encriptado
Virus que utiliza la encriptación para ocultarse de los escáners de virus. Es decir, altera el código de programa para hacerlo difícil de detectar.
Virus de macro
Programa o segmento de código escrito en el lenguaje de programación interno para macros de una aplicación. Algunas macros crean réplicas de sí mismas, mientras que otras infectan documentos.
Virus polimórfico
Un virus que tiene la capacidad de cambiar las características de su código cuando se replica, con lo que evita su detección por parte de detectores de virus que usan métodos de análisis de cadenas simples.
Vulnerabilidad
Cualquier característica de un sistema informático que posibilita que alguien impida su correcto funcionamiento o que permite que un usuario no autorizado se haga con el control del sistema.
Write-up by: George Koris
|
