Amenazas informáticas durante 2005 y tendencias que dominarán el escenario 2006.

La industria antivirus y de seguridad atestiguó un buen número de cambios durante el año pasado, notablemente hacia los últimos meses. A la luz de los acontecimientos, las tendencias han cambiado y surgieron nuevas amenazas. Internet llegó realmente a la mayoría de edad, como herramienta fundamental de mercadotecnia, comunicación y comercio global. Desafortunadamente, bandas delictivas intentan abusar de ese sistema para su provecho personal. Desde implacables anunciantes que venden sus dudosas píldoras para la mejora física, hasta organizaciones criminales que roban números de cuantas bancarias, la vida en el ciberespacio está lejos de ser segura. Esta realidad ha impulsado a algunos a predecir que esta inasible e ilimitada comunidad se convertiré en “el último salvaje oeste”.

Hace doce meses, Trend Micro pronosticó que las amenazas mixtas continuarían a la caza de usuarios. Esta predicción se probó certera con códigos como WORM_BAGLE.BE, (equipo de troyano y spammer causante de una epidemia en marzo de 2005); y con las familias AGOBOT de enero y MYTOB (que obtuvo notoriedad con más de 300 variedades desde su descubrimiento en febrero y que sumó el mayor número de variantes entre los códigos maliciosos de diciembre). La predicción de que los escritores de virus emplearían tipos de archivo no convencionales se dejo ver hacia finales del año, con la aparición de la vulnerabilidad de archivos WMF (Windows Meta File). En tanto las amenazas relacionadas con las comunicaciones IRC y P2P contabilizaron el 16% del total de vectores de propagación, el spam y el phishing continuaron siendo uno de los principales problemas que enfrentaron consumidores y usuarios corporativos durante 2005. Adicionalmente, el dramático incremento de spam en idiomas diferentes al inglés da crédito a la teoría de que los spammers podrían continuar sus intentos de expandir su alcance a otros mercados.

Un peligro inherente viene junto a las excepcionales ventajas de usar Internet. Los ladrones de contraseñas y los gusanos robot han reemplazado a los infectadores de archivos y virus de script. Spyware y adware se ocultan en sitios Web de dudosa reputación. Una fuente de peligro, objetivos específicos y efectos colaterales, definen una nueva era, la de las “amenazas con propósitos múltiples”.

El reporte que se presenta a continuación no es sólo el recuento y análisis de los incidentes y amenazas del 2005. Sirve como un pronóstico de lo que nos depara el futuro para el 2006. A través de la intensiva labor de investigación y análisis que realizó Trend Micro de los incidentes de 2005, se documenta la forma en que las amenazas evolucionaron hacia un régimen de amenazas de propósito múltiple, lo que a su vez provee a los usuarios corporativos y domésticos información útil sobre lo que deben hacer para asegurarse que permanecerán protegidos contra las amenazas del futuro.

2005: ¿El año del Grayware?

Podríamos referirnos a 2005 como ”El Año del Grayware”, con el 65 por ciento de las 15 principales amenazas detectadas en la gráfica de abajo, que son responsables de cerca de 11 millones de reportes de ataque, y en las que se incluyen algunos tipos de funcionalidades de spyware, adware, backdoor (puertas traseras), rootkits o robots.

Podríamos destacar algunas estadísticas sobre el panorama total de las amenazas en el 2005.

 10% fueron BOTs (Malware Robot)
 11% fueron Troyanos de Spyware
 18% corresponden a Adware
 0.60% fueron Rootkits
 0.60% de macros para Office
 3% fueron Scripts
 25% fueron virus o gusanos
 27% fueron Troyanos (incluidos los rootkits)

Alertas Globales de 2005

 El 26 % de las alertas de 2005 fueron ocasionadas por variantes de WORM_MYTOB, una amenaza mixta con capacidades de Robot, resultado de una combinación con partes del código de MYDOOM.

 Las variantes de SOBER comprendieron el 16% de las alertas del año. SOBER utiliza variadas técnicas de ingeniería social, como la capacidad de enviar mensajes en dos idiomas (inglés y alemán) y mensajes que ofrecen boletos para el mundial de futbol en Alemania.

 Las variantes de BAGLE, que representaron el 11 por ciento de las alertas, se propagaban a través de la contaminación de unidades compartidas de redes con bajos criterios de seguridad y las carpetas compartidas de aplicaciones P2P.

Técnicas de Intrusión en Redes durante 2005

 El método más exitoso de propagación fue el copiar y buscar malware en los recursos compartidos de las redes, con aproximadamente el 37 % de los casos.
 Debería provocar alarma, aunque era de esperarse, que las vulnerabilidades representen el segundo mayor vector de ingreso a los sistemas, con el 19% de las infecciones.
 El envío masivo de correo electrónico, el contagio a través de IRC (Internet Relay Chat) y la información compartida ocuparon el tercer sitio, con un 10% cada una.
 Otros métodos como la Mensajería Instantánea, la infección de archivos y las unidades compartidas de aplicaciones Peer to Peer, significaron menos del 5% cada una.

La Mensajería Instantánea como vector de ataque

Los tres años anteriores, Trend Micro ha advertido sobre el crecimiento esporádico de canales alternativos de infección, tal como sucedió en el 2005 con los programas de mensajería instantánea. Gusanos como KELVIR, FATSO y BROPIA atacaron mediante el envío de ligas o archivos contaminados a los anteriormente confiables contactos de MSN Messenger. En diciembre de 2005 se multiplicó por cien la cantidad de variedades de este tipo de código malicioso (en enero sólo se detectaron 4 variantes)

Equipos de Troyanos

Durante los años anteriores, los especialistas en seguridad recomendaron bloquear y filtrar ciertos extensiones de archivo, junto a la validación del tipo real, para evitar falsos positivos, como el método más eficiente para detener las amenazas que se propagan por correo masivo. Los autores respondieron con complejas técnicas que incluye la inclusión de ligas a sitios infectados y programas que descargan archivos, con el fin de eludir esta función de seguridad. Esta técnica tiene la ventaja de no depender de la rutina masiva, sino que encarga a un downloader, (programa que descarga malware automáticamente en el sistema directamente, vía Web) además de que el autor puede actualizar el gusano continuamente.

 Trend Micro detectó 56 variantes diferentes de malware que utilizaron esta técnica durante 2005, y podemos esperar que gane popularidad durante el año que comienza.
 Aunque WORM_BAGLE.AC fue el primero en usar esta técnica, fue BAGLE.BE el primero el provocar una alerta amarilla.
 Más tarde, fue usada por otras familias, como WORM_WURMARK.J y WORM_BOBAX.P, que ocasionaron sendas alertas en mayo y junio, respectivamente, y ha sido puesta en práctica por la mayoría de las variantes de BAGLE.

El pequeño es el nuevo grande

Los compresores binarios fueron desarrollados para hacer más pequeños los archivos ejecutables, para facilitar su distribución. Y aunque este procedimiento fue creado con propósitos legítimos, el proceso de compactación modifica la estructura interna del programa, por lo que los autores de virus lo pueden usar en su beneficio.

Los autores de malware utilizaron esta táctica para distribuir un gusano que cambiaban permanentemente, enmascarado en docenas de compresores diferentes. En esa guerra del gato y el ratón entre los autores y los proveedores de seguridad, esa complejidad retrasó la detección lo suficiente como para provocar cuatro alertas de virus en mayo pasado, por variantes de MYTOB. Otro ejemplo notable son las variantes de SOBER descubiertas en el último trimestre del año, y que dieron origen a las alertas por las variantes AC y AG de ese gusano.

Atrapado en Redes Robot

La gráfica detalla algunas de las mayores familias de gusanos robot encontradas en 2005.

Los Robots (BOTs) son un tipo de amenaza mixta que incorpora algunas de las técnicas usadas por el malware contemporáneo, con la intención de comportarse como un parásito y durar por largos periodos en los sistemas que infecta. Los BOTs intentan ingresar en las redes a través de vulnerabilidades, correo electrónico masivo o unidades compartidas de red. La mayoría de ellos están equipados con funcionalidades de robo de información, y tomar control remoto del sistema, culminando ese proceso a través de canales IRC. La principal preocupación de las redes robot es que al tener el control administrativo de varios sistemas, el autor puede usar un conjunto de máquinas para lanzar ataques de negación de servicio (DDoS), además de que puede ir sumando máquinas para hacer sus ataques cada vez más intensos y expandidos.

 El descubrimiento de la familia ZOTOB en agosto, demostró que los autores de código malicioso poseen la tecnología y la intención de agregar a sus creaciones capacidades para explotar vulnerabilidades lo más rápidamente, luego de ser publicados los boletines de seguridad.
 Este gusano robot explotó una vulnerabilidad a sólo 5 días después de que Microsoft publicó la advertencia de seguridad correspondiente.

El lenguaje del Spam

 Los mensajes de correo no deseado en inglés contabilizan el 40 % del spam recibido en el mundo, lo que demuestra que es la lengua preferida para los negocios.
 Sin embargo, es notable que el spam escrito en idiomas diferentes al inglés, creció un 20 por ciento durante el año, lo que soporta una observación en los patrones de comportamiento, que es que los spammers están buscando regionalizarse, para incrementar su efectividad.
 El ingreso más destacable en esta lista es el del SPAM en español, que representó el 13% en 2005, contra un 2% del año anterior. La Organización Europea para la Cooperación Económica y el Desarrollo ha presentado una serie de recomendaciones basadas en factores de la evolución de España, que incluyen mejoras a sus tecnologías de comunicaciones e información, además de ciertas áreas relacionadas con la tecnología. Se ha observado que el incremento en el correo no deseado está directamente relacionado con un crecimiento de la industria de las tecnologías y comunicaciones de un país, y será optimistamente resuelta, una vez que se instale la infraestructura adecuada en los sectores público y privado.

Los Temas del Spam

Al igual que en los años anteriores, el correo no deseado siguió siendo un problema mayor en el 2005. Sin embargo, hay cambios significativos en su contenido:

 El spam comercial cayó cerca del 50% durante 2005.
 Los mensajes con temas educativos y académicos, crecieron un 100%.
 Los relacionados con temas financieros y de salud se redujeron unos cuantos puntos,
 Las apuestas y juegos de azar contabilizaron el 22 por ciento del total, en contraste con el escaso 1 % de 2004.
 Igualmente, los mensajes con temas para adultos crecieron a 21 por ciento, contra el 6 % que representaron en años anteriores.

Phishing: ¿Qué tenemos aquí?

Los ataques de phishing son una sub-categoría bajo la sombra del spam. Las diferentes técnicas que se observaron en los mensajes de phishing pueden corresponder a cualquier idioma y están divididas en varias categorías, a pesar de que la mayoría son de naturaleza financiera y comercial.

 La técnica más recurrente fue la llamada Address-bar spoofing (suplantación de la barra de direcciones), con el 81% de las ocurrencias. Esta técnica funciona principalmente entre usuarios del Microsoft Internet Explorer, y abusa de los controles Active-X, con imágenes que cubren la dirección real en el navegador al mostrar una imagen engañosa en la parte superior.
 Hacia finales de 2004, la técnica de Mostrar explícitamente la dirección URL disminuyó a un 13%, luego del 76% del año pasado.
 El uso de Formas y Scripts en correos electrónicos en formato HTML obtuvieron menos del 3%.
 El cambio de rumbo en las técnicas de phishing parece ser resultado de la evidente combinación de vulnerabilidades de correo electrónico, que podrían permitir la ejecución automática sin la intervención del usuario. Lo único que se necesita es abrir los mensajes en su formato nativo HTML.

El Regreso de los Rootkits

Las funcionalidades asociadas a los rootkits para ocultar la presencia de actividad maliciosa, es algo nuevo. Y aunque fueron utilizadas durante mucho tiempo, todo indica que se están comunes nuevamente, luego de varios años de letargo. Los rootkits del 2005 fueron vistos acompañando diversos tipos de malware, y los especialistas de Trend Micro suponen que esta tendencia continúe en el 2006.

Detectar la existencia de rootkits en un sistema no es cosa fácil, por lo que el parasitismo puede crecer exponencialmente. Además, el hecho de que la mayoría de los rootkits sean desarrollos de código abierto, y están disponibles a cualquiera. Trend Micro descubre continuamente más y más amenazas de este tipo en tanto su uso gana popularidad entre los autores de malware. Se observó un incremento notable en el uso de rootkits junto a otras amenazas, desde mediados de 2005 y es muy posible que esta tendencia continúe durante 2006, en un intento de esconder infecciones de adware y spyware.

¿Tiene teléfono móvil?

El primer gusano para dispositivos móviles fue descubierto en agosto de 2004. Bautizado como SYMBOS_CABIR, utilizando Bluetooth para enviarse a sí mismo por vía aérea hacia otros usuarios desprevenidos que pensaron que recibían un programa de seguridad. CABIR y otras amenazas móviles están diseñadas para corren en el sistema operativo Symbian, 6.0. De ahí en adelante, Trend Micro ha registrado una creciente actividad de este tipo de código malicioso que abusan de otras tecnologías telefónicas, como los mensajes multimedia (MMS), la habilidad de navegar, así como la descarga de archivos adjuntos de correo electrónico.

 En septiembre, SYMBOS_CARDTRP.A presentó una novedad, al intentar ser el primer gusano móvil para plataformas combinadas, al depositar otro gusano (WORM_WUKILL.B) en la tarjeta de memoria del teléfono afectado. Este gusano tiene la habilidad de que cuando la tarjeta es insertada en una PC con Windows, descarga e instala un componente de puerta trasera, a través del cual se distribuye el propio gusano.
 Aunque este ataque no tuvo éxito, demuestra una tendencia en el desarrollo de malware móvil y se puede esperar que en el futuro próximo se agreguen nuevas funcionalidades a los gusanos para celulares, elevando su potencial riesgo como vector de infección exitoso.
 En noviembre, se observó un interesante cambio de rumbo en el código móvil. Trend Micro recibió muestras del primer gusano de celulares que intenta robar los detalles de los contactos y los envía a cualquier otro aparato similar en el área de alcance. SYMBOS_PBSTEAL.A es, en efecto, el primer gusano que roba información de teléfonos celulares.
 No es posible saber con exactitud cuan popular podría hacerse el robo de información y copiado de archivos en teléfonos, pero es seguro que no será lo último que veamos. Es importante, por tanto, permanecer alertas para proteger las tecnologías emergentes, particularmente aquellas que dan conectividad inalámbrica de banda ancha, como WiFi, EDGE/GPRS, 3G/UMTS e incluso la naciente tecnología WiMax.

¿Cuánto cuesta una vulnerabilidad?

Los expertos de la industria de seguridad estiman que el costo de los daños ocasionados y la recuperación, ocasionados por epidemias exitosas alcanza los miles de millones de dólares. En efecto, las más recientes estimaciones anuales llegan al menos a $11 mil MDD, en los rangos actuales de propagación de las amenazas. La elevación de costos se debe a la reducción del periodo de tiempo entre el descubrimiento de las vulnerabilidades y la aparición de los códigos maliciosos que se aprovechan de ellas. Esto significa menor tiempo para probar y asegurar la calidad de los parches eficientemente.

Las amenazas de 2005 y más actuales. ¿Qué es diferente ahora?

 En el 2005, la mayoría de las amenazas se guiaron con la mira puesta en el beneficio económico. Los atacantes abusan de los usuarios con la intención de robar información, y para ello inventaron toda suerte de trucos.
 Se observaron cada vez más ataques no masivos, enfocados a ciertas empresas y sus usuarios; troyanos especialmente construidos, enviados como spam a estos objetivos con la esperanza de que un incauto caiga en la trampa. Esa tendencia de generar infecciones de bajo perfil, en lugar de los gusanos de epidemias masivas, aumenta la probabilidad de que el malware no sea detectado por largo tiempo, y con ello tenga más oportunidad de robar información.
 El año de 2005 dio testimonio de un nuevo tipo de ataque, que Trend Micro llamó “spy-phishing” o phishing espía, que toma prestadas técnicas del phishing tradicional, y de los ataques de pharming, además de algunos trucos nuevos, y están dirigidos a la banca en línea y otros sitios que se manejan a través de contraseñas. El autor siembra correos electrónicos con un troyano, o una liga para descargarlo. Cuando se ejecuta, el troyano monitorea el tráfico Web hasta que se conecta al sitio objeto del ataque. Al hacerlo, envía los datos confidenciales de acceso al atacante. El spy-phishing trabaja en el sitio Web legítimo del banco, y cuando el usuario ingresa su información, sigue navegando sin interrupciones, sin experimentar comportamientos inusuales que le alerten del problema. La diferencia es que la información del usuario ha sido desviada a un tercero, quien queda habilitado para usarlos para una actividad ilícita.
 Una tendencia prominente durante el año pasado, fue el uso generalizado de amenazas mixtas. En busca de ganancias económicas, los atacantes no limitaron sus actividades al robo de credenciales bancarias o de tiendas en línea. Muchos infectaron los sistemas de sus víctimas con spyware, adware y otros tipos de grayware, algunos como parte de campañas de mercadeo, que ofrecer comisiones por cada unidad instalada.
 Cada una de las técnicas mencionadas comparten un elemento en común: a mayor tiempo que permanezcan sin detección, mayor es su potencialidad de éxito. El robo de información es una actividad de capacidades limitadas si el acceso al sistema dura solamente un día. Es necesario escuchar por largo tiempo y tendrán mayores posibilidades de obtener información valiosa.
 Esta necesidad de evitar la detección tuvo dos consecuencias inmediatas en el panorama de amenazas del 2005:

1. Los autores de malware habían aprendido, desde el 2003, a usar diferentes empaquetadores para encubrir la estructura interna de sus programas. Esta habilidad para esconderse puede prolongar la vida útil de un programa, ya que los proveedores de antivirus necesitan reunir muchas muestras para detectar adecuadamente las variantes.
2. En la búsqueda de métodos alternativos para ocultar sus programas, encontraron el más eficiente de todos: los rootkits. Al final de 2005, los rootkits eran usados como el arma definitiva para camuflar actividades de malware o grayware. Trend Micro ha observado rootkits en equipos de troyanos y gusanos robot con creciente regularidad, particularmente durante el tercer trimestre, cuando más de 150 mil computadoras se vieron afectadas.

 Otra importante tendencia del año pasado fue la creciente modularidad del malware. El crecimiento de los gusanos robot se debió principalmente a que son desarrollos de código abierto disponibles para todo mundo, en forma modular. Cualquiera puede descargar el código del gusano, elegir los módulos, y habrá creado una nueva variedad.
 Al agregar modularidad a los gusanos robot, los autores dieron un vuelco a los BOTs, de generar ataques de bajo perfil, a una nueva categoría: “el Malware más Flexible de la Historia”. Pueden funcionar como gusanos de correo electrónico o como gusanos de red; también como gusanos para aplicaciones P2P, o todos ellos simultáneamente.
 Con esta nueva flexibilidad, los autores probaron algo nuevo el año pasado. Están en posibilidad de agregar los métodos para explotar nuevas vulnerabilidades tan pronto como son anunciadas; en el 2004, la liberación de SASSER recortó el número de días a 17; pero en 2005, ZOTOB dibujó un alarmante plazo de 5 días desde el anuncio de la vulnerabilidad hasta el momento en que se liberó el método para explotarla, agregado modularmente en el código de un gusano.
 Desde 2002, los gusanos robot crecen exponencialmente. Se han hecho más complejos y peligrosos y han demostrado su habilidad de usar las vulnerabilidades de las redes en cuanto estas son anunciadas. El año pasado, las unidades de investigación policíaca descubrieron redes robot compuestas por más de 200 mil computadoras alrededor del mundo. Los Bots se han convertido en una de las más formidables amenazas que deben considerarse y es muy posible que representen el mayor potencial de daño.

¿Qué esperar para el 2006?

Frente al panorama de las amenazas que se observaron en 2005, Trend Micro prevé la continuación de muchas de las tendencias establecidas en año pasado:

 Los reportes de Spy-phishing continuarán elevándose, en tanto los phishers sigan obteniendo ventajas de la longevidad que el código parasitario aporta al malware contemporáneo.
 Los BOTs incluirán nuevas funcionalidades, a través del uso de rootkits y el acortamiento del periodo entre el descubrimiento de vulnerabilidades y su explotación.
 El phishing de lanza (Spear-phishing) se convertirá en la preocupación predominante para las empresas.
 El spam penetrará en otras lenguas locales y dialectos, pero se adherirá a las culturas más productivas, con mayor capacidad de pago.
 Se utilizarán una mayor variedad de empaquetadores para comprimir y encriptar el malware para evitar la detección de las herramientas antivirus.
 Los protocolos de mensajería, incluyendo IRC, IM y P2P seguirán perforando los firewalls como vectores de infección.
 Los periodos de tiempo de las vulnerabilidades seguirán acortándose, razón por la que la industria de seguridad deberá garantizar soluciones más preactivas.
 La nebulosa frontera entre el malware y el grayware impulsará a los proveedores de seguridad a fortalecer sus posiciones sobre los derechos de los usuarios a eliminar estas amenazas.
 Incremento de Bots y Redes Robot. En tanto el uso de bots y sus redes dan una recompensa económica a sus creadores, con enormes ganancias ilegales, se espera una elevación de las cifras de detección de nuevas variantes este año.
 Incremento de los métodos de sigilo. Predecimos un crecimiento de los rootkit y otras tecnologías de ocultamiento de malware. Como factor de mitigación, cuando Microsoft lance la nueva versión de Windows este año, es posible que sea necesario que los programadores cambien su estrategia para ese nuevo ambiente.
 Más spy – phishing y ataques dirigidos, de forma similar a las técnicas de phishing. Se esperan más ataques dirigidos, de pequeña escala, que ayuden a los atacantes a recibir información directa y permanecer sin detección por mucho tiempo. Ambos tipos son peligrosos, por que se enfocan a obtener información confidencial, opuestamente a las intenciones de destrucción de información que caracterizaban a los ataques en el pasado.
 Predominio de adware y spyware. Los programas publicitarios han sido comunes por muco tiempo. Las capmañas de publicidad generan grandes cantidades de dinero cada año. Muchos empresas de software de publicitario podrían pagar para ver instalados sus programas en tantas PCs como sea posible. Aunque ha habido intentos de algunos gobiernos por regular estas actividades y detener esta práctica, ésta ha aumentado desde sus orígenes. Ahora, hasta los autores de malware están incluyendo adware en sus creaciones, para acrecentar sus ganancias. Esto hace pensar que se mantendrán las tendencias de crecimiento.

Consejos a los usuarios, contra las tendencias del malware en 2006

Para empresas y corporaciones:

 Instale métodos de rastreo HTTP. Muchas amenazas modernas usan protocolos Web para propagarse. Es altamente recomendable implementar un sistema de rastreo de virus en Web, de la forma en que los administradores empezaron a instalar rastreo en el correo electrónico hace algunos años. Detectar y detener las amenazas antes de que los virus lleguen a los usuarios agrega una nueva capa de protección en la infraestructura de la red corporativa. La protección contra el spyware es una bonificación, por que estas amenazas utilizan exclusivamente HTTP para entrar el los ambientes corporativos.
 Bloquee el acceso a la red de protocolos innecesarios. Los más peligrosos son los protocolos de mensajería instantánea y de P2P, y el chat de IRC. Estos son parte del arsenal de los robots para proagarse u comunicarse con quien los controla, y deberían ser inhabilitados en el firewall corporativo.
 Despliegue un programa de rastreo de vulnerabilidades en la red. Actualizar continuamente puede minimizar el impacto de cualquier vulnerabilidad de la red, y desminuir los riesgos de verse afectado por algún tipo de gusano.
 No de privilegios de administrador a todos los usuarios. El más peligroso de todos los privilegios es el llamado “cargar y descargar controladores de dispositivos”. Esta es la medida más recomendable para prevenir ser afectado por los rootkits. El redieño de las políticas de usuario para ponerles limitaciones, puede ser una de las más útiles formas de asegurar una red. Esta medida tendrá un efecto adicional: el código malicioso más agresivo no podrá desactivar los procesos antivirus del sistema.
 Instale un anti-spyware corporativo. En tanto el spyware es una de las amenazas predominantes en los ambientes corporativos, los administradores requieren la instalación de herramientas específicas para detenerlo.
 Eduque a los usuarios, fortalezca estrictas políticas de seguridad en la red. No sólo el software y los sistemas de defensa ayudan a combatir el malware. La mayoría de las veces, el usuario debe realizar alguna acción para infectar sus máquinas. Puede ser una página Web que instala spyware, o in correo electrónico infectado, el usuario necesita saber con anticipación las formas en que puede ser atacado por las nuevas amenazas. La conciencia de los usuarios es la clave para tener una red limpia, y los administradores deben encabezar iniciativas de educación para mantener informados a los usuarios y protegidos sobre las nuevas tecnologías de infección. Esto es especialmente importante con los usuarios nuevos, en tanto ellos son en los que típicamente están enfocados los autores de virus.

Para los usuarios domésticos.

 Tenga precaución con los sitios Web que piden instalación de software. No permita que se instalen programas nuevos desde el navegador a menos que esté usted confíe absolutamente tanto en el sitio Web como en el proveedor de ese programa.
 Revise con un programa antivirus y anti spyware actualizado, todos los programas que descargue de Internet. Esto incluye cualquier descarga desde redes Peer to Peer, a través de la Web, o cualquier servidor FTP, independientemente de las fuentes.
 Cuídese de los mensajes de correo electrónico que no espera o con aspecto extraño o sospechoso, independientemente del remitente. Nunca abra los archivos adjuntos o haga clic en enlaces que contengan esos mensajes.
 Habilite la función de actualización automática en su sistema operativo Windows e instale los parches de actualización en el momento en que estén disponibles.
 Siempre tenga un servicio antivirus en tiempo real en su sistema. Asegúrese regularmente que está actualizado y que el servicio está activo.