Giga. No. 4, 2008 - Editorial Universitaria

More documents

Recommendations

Info

20 jugador. Un artículo importante para una etapa determinada del juego tiene su precio en el mundo real en el que interviene la ley de la oferta y la demanda, así como el interés en la adquisición ilícita de estos valores virtuales (figura 2). El acceso a los juegos se realiza mediante la autenticación con la combinación de nombre de usuario y contraseña. Un "jugador" mal intencionado puede apropiarse de las credenciales de otro y reemplazarlo o robar sus "pertenencias virtuales" para venderlas después. Aquí precisamente entran en juego los códigos malignos, aparejados con otras técnicas como la ingeniería social y el "phishing". Según la empresa Kaspersky Antivirus, la cantidad de servidores piratas es tan grande que una búsqueda en Google de la frase "private game server", realizada en junio del 2007, obtuvo casi 11 millones de enlaces y es una de las causas por la que muchos de los interesados opten por esta vía a pesar de los riesgos, en lugar de gastar dinero en su compra y suscripción. La propia empresa detectó que el número de programas nocivos destinados exclusivamente a los jugadores en línea durante ese año aumentó en 145% en comparación con el 2006 y llegó a la conclusión de que los delincuentes están más interesados en las contraseñas [GiGA 4 / 2008] softweriando de los juegos en línea que en las de correo electrónico, mensajeros instantáneos o banca en línea. Precisamente, la funcionalidad principal de los miembros de la familia W32.Onlingames, cuyas características se verán a continuación, es la del Cuando eliminamos a los monstruos, éstos en ocasiones tiran mesos. Los mesos son el dinero del juego con el que se puede comprar armas, pociones, ropa, mascotas… en las tiendas. Para comprar ciertos objetos exclusivos se necesita NX Cash que sólo se puede comprar con el dinero de curso legal de la tarjeta de crédito. La cantidad de complementos que se puede adquirir es increíble. Hay de todo lo que se pueda imaginar (sombreros de bruja, gafas de bucero, tablas de snow, nariz de payaso, etc). Muchos de estos objetos sólo están disponibles por un tiempo limitado. Los complementos se encuentran en constante renovación. Fig. 2. Una de las características del juego MapleStory es el empleo del dinero virtual y la compra de artículos con dinero real. robo de esta información de autenticación en varios de los juegos en línea más usados. En nuestro medio, la instalación en las PCs ocurre fundamentalmente desde las memorias flash USB y accesos a páginas web en Internet preparadas al efecto. Tal como sucede con la mayoría de los códigos malignos que se propagan por medio de las flash, cuando una "infectada" es colocada en el conector del puerto USB, por defecto el Sistema interpreta el fichero autorun.inf presente en el directorio raíz del soporte de almacenamiento, y ejecuta el fichero cuyo camino y nombre se encuentran a la derecha del signo "=" de los comandos: Open, shell\open\Command y shell\nombre variable\Command, los cuales se hallan a continuación de la sección [AutoRun], ejemplo: [AutoRun] open=dp.cmd shell\open\Command=dp.cmd shell\explore\Command=dp.cmd Combinado con estos comandos, es posible encontrar un conjunto de caracteres aleatorios utilizados a modo de comentarios (siguiendo a un ";"). En el caso que nos ocupa, el nombre de este último fichero varía en las diferentes variantes, y mantiene una extensión ejecutable, ej: dp.cmd, w3dn9f.bat, co.com, copetttt.com, io.com, 9m2ke.exe, h8i.com, mtlhieej. cmd, ntdelect.com, etc. Una vez en ejecución crea en el directorio raíz de las unidades presentes en la computadora, un fichero autorun.inf y otro fichero ejecutable con las características mencionadas antes y con los atributos de oculto (Hide), sistema (System) y de sólo lectura (Read only) para encubrirlos al usuario, tal como se observa con el uso del comando "Attrib" en modo línea de comandos (figura 3) y que adicionalmente se puede comprobar con el comando "dir /ah". Este es un síntoma que puede ser tomado en cuenta para sospechar de la presencia de un código maligno que se propaga por las memorias flash y discos externos USB. Fig.3 Atributos de ficheros aurtorun.inf y dp.cmd, creados por el código maligno, ocultos al usuario al emplear el Explorador (Explorer) de Windows.
En el directorio sistema del disco duro (ej: c:\WINNT\system32, c:\Windows\ system32), crea además, otros ficheros con los mismos atributos que habitualmente tienen por nombre kavo.exe, kavo0.dll, amvo.exe, amvo0.dll, amvo1. dll, avpo0.dll, avpo1.dll, kxvo.exe, fool0.dll y ieso0.dll, La .dll es inyectada en procesos en ejecución (figura 4), tal como el Explorer, técnica muy empleada para ocultar componentes de los códigos malignos en memoria, a la vez que se emplean sus funcionalidades. El archivo ejecutable (ej: kavo.exe) no es más que una copia del llamado desde el autorun.inf (ej: dp.cmd) y con el fin de que tome el control cada vez que el sistema se reinicie, se modifica el Registro del sistema (figura 5 y 6). Nota: Las alteraciones del Registro para ejecutar los archivos con códigos malignos, presentes en los discos, son aspectos que se han estandarizado entre sus autores y son las más empleadas las realizadas en las llaves: HKLM\Software\Microsoft\Windows \CurrentVersion\Run HKCU\Software\Microsoft\Windows \CurrentVersion\Run HKLM\System\CurrentControlSet\ Services Adicionalmente, las opciones de colocar archivos ejecutables en las carpetas Common Startup y Startup que se softweriando encuentran asociadas al proceso de inicio del sistema, y la alteración de los ficheros System.ini y Win.ini con comandos que hacen llamados a ellos, son también tenidas en cuenta con cierta frecuencia. Nota: Este también es un comportamiento usual en los programas malignos. A ellas se unen otras que deshabilitan el uso de aplicaciones del propio sistema operativo que permiten ver y finalizar procesos en Fig. 5 Enlace mediante el registro de Windows del fichero kavo.exe, para su ejecución desde el inicio del Sistema, corroborado con la herramienta InCtrl (PC Magazine). Fig. 4 Procesos en memoria en los que kavo0.dll ha sido inyectada, acción que se puede comprobar con la herramienta Process Explorer de SysInternal. memoria (Taskmanager.exe) y editar el Registro (Regedit.exe). Un "vaciado" de la porción en memoria ocupada por la dll antes mencionada (ej: kavo0.dll) muestra cadenas de texto asociadas a estas variaciones del Registro (figura 9). Esta dll también es explotada para monitorear procesos relacionados con juegos de computadoras (figura 10), ejemplo: cabalmain.exe (Cabal Online), fairlyclient.exe (ROHAN), wow.exe (World of Ward- Craft), so3d. exe (Seal Online), hyo.exe (HuangYi Fig. 6 Enlace mediante el registro de Windows del fichero kavo.exe para su ejecución desde el inicio del Sistema, ratificado con la utilidad Process Viewer (de Igor Nys). Para dificultar al usuario la posibilidad de detectar de manera sencilla la presencia de los ficheros creados, los Onlinegame también realizan otras alteraciones en el Registro (figura 7 y 8). Fig. 7. Modificaciones en el registro para ocultar la presencia de los ficheros creados. [GiGA 4 / 2008] 21
Page 3 and 4: GiGA No. 4 / 2008 Editor Jefe: Lic.
Page 5 and 6: sumario Informática 2009 Un nuevo
Page 7 and 8: Desarrollo de Kaspersky Lab. En est
Page 9 and 10: Electronic Numerical Integrator and
Page 11 and 12: concedió Eckert en 1989 sobre el t
Page 14 and 15: as memorias USB no suelen tener dem
Page 16 and 17: 14 En el número anterior de esta p
Page 18 and 19: 16 CountClipboardFormat Retorna el
Page 21: A diferencia de lo ocurrido en año
Page 25 and 26: Con el auxilio de Regedit se puede
Page 27 and 28: lizar, pues deberá ser utilizado e
Page 29 and 30: Fig. 6. Cálculos estadísticos con
Page 31 and 32: La tecnología aplicada al ajedrez
Page 33 and 34: Anthony Miles), aunque su rating de
Page 35 and 36: Figura 1. Recientemente fue creado
Page 37 and 38: ed (piggybacking) aunque para ello
Page 39 and 40: Atajos de teclado para Internet Exp
Page 41 and 42: zos y fuerza brutal creado con téc
Page 43 and 44: de las partidas y luego se colocaba
Page 45 and 46: MSc. Vilma González Pérez vilma@s
Page 47 and 48: Lic. Alexey Caraballo Quevedo, Lic.
Page 49 and 50: D.I. Vianys Zamora Pimentel vianys@
Page 51 and 52: La segunda variante es la exposici
Page 53 and 54: superar las limitaciones del GIF. U
Page 55 and 56: LE HACE MAL A LA COMPUTADORA TENER
Page 57 and 58: estudio constante y de compartir es
Page 59 and 60: John William Mauchly J ohn William
Page 61 and 62: Doble clicK En el cine: batalla leg
Page 63 and 64: Luxology anuncia ImageSynth 2 L uxo
Page 65 and 66: Propiedades del Modem : control mod
Page 67 and 68: ponible para QoS. Estas afirmacione
Page 69 and 70: Un elefante es un ratón con un sis
Page 71: La Corporación Copextel convoca a

Giga. No. 4, 2008 - Editorial Universitaria

Create successful ePaper yourself

Delete template?

Save as template?