Download Infectadores de Sistema

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
page
53
page
54
page
55
page
56
page
57
page
58
Document related concepts
no text concepts found
Transcript 
Seguridad frente a Virus
1
ISAT: Infrestructura de Aplicaciones Telemáticas
Índice





2
Introducción
Virus para PC:
Funcionamiento y Características
Política de Seguridad frente a Virus
Varios
Más información
ISAT: Infrestructura de Aplicaciones Telemáticas
Introducción
3
ISAT: Infrestructura de Aplicaciones Telemáticas
Definición (I)


Un virus es un programa que se añade a otros
programas (o sobreescriben o reemplazan) para
replicarse a sí mismo (con posibles evoluciones) sin
el conocimiento del usuario
Algunas variaciones:
– No se replican pero realizan acciones no deseadas (Virus
Troyano, Caballo de Troya o Trojan Horse)
– No están unidos a programas de un ordenador, se replican
por la red (Gusano o Worm)
– No tienen por qué realizar acciones maliciosas (aunque por
lo menos consumen recursos)
4
ISAT: Infrestructura de Aplicaciones Telemáticas
Definición (y II)

5
Un antivirus es un programa diseñado para
– detectar los virus que pretenden infectar un
sistema
– localizar la existencia de virus en un sistema
infectado
– opcionalmente, eliminar automáticamente los virus
localizados e intentar recuperar la información
alterada por ellos
ISAT: Infrestructura de Aplicaciones Telemáticas
Aspectos negativos de los virus



6
Se pueden reproducir con más rapidez que con la que
se pueden detener
Pueden ser mortales. Por ejemplo un virus que
detiene el sistema esperando que se pulse una tecla
en un sistema de soporte vital en un hospital
Son incontrolados: los autores de los virus no
pueden detener su distribución
ISAT: Infrestructura de Aplicaciones Telemáticas
Colectivos de Riesgo


Los virus se pueden dar en cualquier ordenador de
propósito general
Hay varias razones para que predominen en PCs con
DOS:
–
–
–
–
Hay muchos más usuarios de este tipo de sistemas
Existe costumbre de intercambio de software
No tienen control de acceso a memoria
Los que tienen el conocimiento necesario de otros sistemas
normalmente se dedican a labores más constructivas
– Es más fácil atacar a un sistema más avanzado a través de
los agujeros de seguridad que mediante virus
7
ISAT: Infrestructura de Aplicaciones Telemáticas
Implicaciones legales (I)

8
Algunos aspectos motivados por virus que pueden
ser ilegales:
– Acceso no autorizado
– Modificación no autorizada
– Pérdida de datos
– Peligro para la seguridad pública
– Apología (dar información sobre la escritura de
virus, etc)
– Denegación de servicio
ISAT: Infrestructura de Aplicaciones Telemáticas
Implicaciones legales (y II)



Las leyes varían de un lugar a otro, pero si el virus
atraviesa las fronteras (muy probable) y existen
tratados de extradición puede traer consecuencias
legales
Los casos más graves se dan si se infectan sistemas
de la administración pública
Para más información:
http://www.web2000.com/ribas&rodriguez/LEYES.HTM
9
ISAT: Infrestructura de Aplicaciones Telemáticas
Virus para UNIX
10
ISAT: Infrestructura de Aplicaciones Telemáticas
Virus para UNIX




11
Casi no hay virus que no sean experimentales. El más
famoso fue el Internet Worm (gusano) de Morris en
Noviembre de 1988
Se pueden transmitir cuando un usuario ejecuta los
programas de otro (trabajo en grupo, supervisión de
un jefe, etc). Muy peligroso si el ejecutante tiene
muchos privilegios en el sistema
Se suelen utilizar comprobadores de integridad (pero
los cambios normalmente no se deben a virus)
Los infectadores de sistema pueden atacar el registro
de arranque maestro (MBR) de PCs con UNIX
ISAT: Infrestructura de Aplicaciones Telemáticas
Virus para PC
Funcionamiento y Características
12
ISAT: Infrestructura de Aplicaciones Telemáticas
Tipos: Infectadores de Ficheros


Infectan ejecutables e incluso fuentes
Dos tipos:
– De acción directa. Infectan cada vez que se ejecuta el
programa infectado. Ejemplo: Vienna
– Residentes. Infectan quedándose residentes. Ejemplo:
Jerusalem

Funcionamiento:
– Normalmente se unen a aplicaciones ejecutables
– También pueden estar en algunos ficheros de datos como
macros
– Es menos usual en ficheros batch, postscript y fuente
13
ISAT: Infrestructura de Aplicaciones Telemáticas
Tipos: Infectadores de Sistema (Boot-Record)



Se encuentran en ciertas áreas del sistema en discos
Suelen ser residentes
Funcionamiento:
– Alteran el sector de arranque de los discos
– Ejecutan su propio código (que normalmente infecta el
sector de arranque del disco duro) y luego continúa el
proceso de arranque

14
Ejemplos: Brain, Stoned, Empire, Azusa y
Michelangelo
ISAT: Infrestructura de Aplicaciones Telemáticas
Tipos: Virus de Macro




15
Se reproducen a través de ficheros de datos
(documentos) que contienen macros (instrucciones
ejecutables para realizar tareas repetitivas)
Los más conocidos son los de MS Word, Excel y Ami
Pro (en distintas plataformas y S.O.)
Gran parte de su peligrosidad se basa en que es
normal el intercambio de documentos de texto y hay
antivirus que no examinan los ficheros “.DOC”
Una protección consiste en no abrir el documento
con Word, sino con un visor que no ejecute macros,
sobre todo los documentos de la red
ISAT: Infrestructura de Aplicaciones Telemáticas
Otros Tipos


Multi-Parte (mezcla de ficheros y sistema)
De Cluster (modifican las tablas de directorio)
– No modifican propiamente a los programas
– El virus es cargado y ejecutado antes que el programa
– Ejemplo: Dir-II

De Kernel (usan determinadas características del
kernel del sistema operativo)
– Ejemplo: 3APA3A (también es multi-parte)
16
ISAT: Infrestructura de Aplicaciones Telemáticas
Activación (I)


Se denomina activación de un virus a la ejecución de
su código
Un PC se infecta con un virus de sistema si es (re-)
arrancado (normalmente por accidente) con un
disquete infectado en la disquetera (los disquetes
formateados tienen código en el sector de arranque)
– Los virus de sistema son los más comunes y normalmente
no se reproducen por la red
– Se suelen reproducir a través de disquetes de procedencia
muy diversa (de demostración, de vendedores, de
mantenimiento, etc)
17
ISAT: Infrestructura de Aplicaciones Telemáticas
Activación (y II)

Un infectador de ficheros contamina a otros ficheros
cuando se ejecuta el programa contaminado
– Pueden reproducirse a través de la red
– Su procedencia puede ser la misma que los infectadores de
sistema y también servidores de FTP y BBSs

18
Los virus Multi-Parte infectan los sectores de
arranque y los ficheros
ISAT: Infrestructura de Aplicaciones Telemáticas
Características Funcionales

Cualquiera que sea el sistema que un virus infecte y
el tipo a que pertenezca, puede participar de una o
varias características que dificulten su detección o lo
hagan más virulento. Así, existen virus:
polimórficos, furtivos, de cavidad, de túnel, bombas ANSI.
de infección rápida, lenta o infrecuente, etc…
19
ISAT: Infrestructura de Aplicaciones Telemáticas
Características ...

Furtivos o sigilosos (Stealth )
– Mientras se están ejecutando ocultan las modificaciones
– Se detectan porque mientras se ejecutan están en memoria
– Ejemplos: Brain, Number of the Beast y Frodo

Polimórficos o mutantes
– Producen versiones modificadas de sí mismos
– Son difíciles de detectar con los buscadores de cadenas
simples
20
ISAT: Infrestructura de Aplicaciones Telemáticas
Características ...

Infectadores Rápidos
– Cuando están activos infectan a los programas que se
ejecutan e incluso a los ficheros que simplemente se abren
– Muy peligrosos si se ejecuta un buscador o comprobador de
integridad estando el virus en memoria
– Ejemplos: Dark Avenger y Frodo

Infectadores Lentos
– Sólo infectan ficheros cuando son modificados o creados
– Difíciles de detectar cuando se confía en los comprobadores
de integridad
– Ejemplo: Darth Vader
21
ISAT: Infrestructura de Aplicaciones Telemáticas
Características ...

Infectadores ocasionales (sparse)
– Infectan sólo algunas veces (por ejemplo cada diez
ejecuciones)
– Intentan minimizar la probabilidad de ser detectados

Acompañantes (companion)
– Se ejecutan en lugar del programa original y luego ejecutan
éste.
– Una forma de hacerlo es con un fichero “.COM” con el mismo
nombre que el original “.EXE”
– Los comprobadores de integridad no lo detectan
22
ISAT: Infrestructura de Aplicaciones Telemáticas
Características ...

Blindados
– Usan trucos especiales para evitar su detección y la
comprensión de su funcionamiento
– Ejemplo: Whale

De Cavidad
– Sobreescriben parte no usada del programa original, para no
incrementar la longitud del mismo
– Ejemplo: Lehigh

De Túnel
– Llaman directamente a las interrupciones de DOS y de BIOS
– No son detectados por los “controladores de actividad” o
monitores
23
ISAT: Infrestructura de Aplicaciones Telemáticas
Características ...

Instaladores (droppers)
– Llevan escondido el virus para instalarlo
– Son Caballos de Troya cuya carga es el virus
– Si sólo instalan el virus en memoria se llaman inyectores

Bombas ANSI
– Son secuencias de caracteres que reprograman el teclado en
computadores con controlador de consola ANSI
– Una posible reprogramación es convertir la tecla ENTER en
“format c:ENTER”
– No son demasiado peligrosos
– Hay controladores ANSI mejorados que no permiten la
reprogramación del teclado
24
ISAT: Infrestructura de Aplicaciones Telemáticas
Política de Seguridad frente a Virus
25
ISAT: Infrestructura de Aplicaciones Telemáticas
Contenido
Prevención
Detección
Corrección
26
ISAT: Infrestructura de Aplicaciones Telemáticas
Prevención


27
Tareas previas
– Preparar disquetes de arranque limpios
– Configurar adecuadamente la CMOS
– Realizar copias de seguridad frecuentes
Prevención de contagio por disquetes
ISAT: Infrestructura de Aplicaciones Telemáticas
Disquetes de arranque limpios (I)


28
Tener preparados varios disquetes de arranque
“limpios”
Se deben preparar (FORMAT A: /S o SYS A:) en un
sistema no infectado
– No se puede estar seguro al 100%, pero se puede
confiar en un buen antivirus buscador. Se debe ser
un poco paranoico y tener especial cuidado en la
preparación
– Se deben proteger contra escritura
inmediatamente
ISAT: Infrestructura de Aplicaciones Telemáticas
Disquetes de arranque limpios (II)


29
Se deben usar para arrancar en frío el ordenador
antes de usar el antivirus (arrancar para cada
antivirus)
Se deben tener al menos dos versiones distintas para
actualizar en dos saltos
ISAT: Infrestructura de Aplicaciones Telemáticas
Disquetes de arranque limpios (y III)

Deben contener todo lo necesario para no ejecutar
nada del disco duro y que el sistema sea usable
(drivers, configuración, etc):
–
–
–
–
30
Utilidades necesarias para Instalar el S.O. en el disco duro
Software de diagnóstico y reparación de urgencia
Herramientas antivirus
En DOS: FDISK, CHKDSK y/o SCANDISK, FORMAT, SYS,
MEM, UNFORMAT, UNDELETE, MSD (de la misma versión
que el sistema)
ISAT: Infrestructura de Aplicaciones Telemáticas
Configurar adecuadamente la CMOS



31
Proteger contra escritura el sector de partición (MBR)
y el sector de arranque del disco duro (puede dar
falsa alarma al actualizar el S.O.)
Cambiar el orden de arranque de A: C: a C: A:
Comprobar que algún virus no haya configurado la
CMOS para que parezca que no hay disquetera (lo
hacen para arrancar desde disco duro y luego simular
que arranca desde disquete)
ISAT: Infrestructura de Aplicaciones Telemáticas
Realizar copias de seguridad o backup (I)

32
Algunas consideraciones previas:
– ¿Qué usuarios dependen de los ficheros del
sistema?
– ¿Cuánto tiempo puede estar el usuario más
importante sin poder acceder a estos ficheros?
– ¿Qué proporción (y cantidad) de ficheros son fijos
frente a los que cambian?, ¿Todos los cambios
deben ser copiados?
– ¿Qué tipo de información se guarda en los ficheros
que cambian normalmente?
ISAT: Infrestructura de Aplicaciones Telemáticas
Realizar copias de seguridad o backup (II)



33
Separar las copias de
– datos (incluyendo ficheros de configuración)
– ejecutables
Realizar copias de los ejecutables después de
instalarlos, asegurándose antes que no estén
infectados
No realizar copias de ejecutables en medios que
contengan copias anteriores en utilización
ISAT: Infrestructura de Aplicaciones Telemáticas
Realizar copias de seguridad o backup (y III)


34
Realizar distintos conjuntos de copias:
– a largo plazo
– a corto plazo
Tener todo el software necesario (que no esté
infectado) para recuperar las copias de seguridad,
que funcione incluso si el disco duro queda
totalmente vacío
ISAT: Infrestructura de Aplicaciones Telemáticas
Prevenir el contagio mediante disquetes



35
Proteger contra escritura (y comprobar que el
hardware funciona)
Comprobar con buscadores TODOS los disquetes,
sea cual se su procedencia (incluso los precintados)
Algunas posibles políticas a seguir, que pueden
requerir el modificar los drivers:
– No permitir el acceso a ejecutables en disquetes
– Usar un formato no estándar
– No permitir el uso de disquetes no desinfectados
(el antivirus les pondría una marca especial)
– Utilizar PCs sin disquetera
ISAT: Infrestructura de Aplicaciones Telemáticas
Contenido
Prevención
Detección
Corrección
36
ISAT: Infrestructura de Aplicaciones Telemáticas
Detección


37
Normas básicas
– Cómo detectar un virus
– Actuaciones tras la detección
Herramientas antivirus
– Clasificación
– Uso de la herramientas antivirus
– Elección de un paquete antivirus
ISAT: Infrestructura de Aplicaciones Telemáticas
Cómo detectar los virus


38
Los virus intentan reproducirse antes de realizar
acciones destructivas (para poder infectar más
sistemas)
Algunos posibles síntomas son:
– Cambios en tamaño y contenido de ficheros
– Cambios en vectores de interrupción
– Cambios en sector de arranque
– Actividad de disco prolongada
– En arranque de Windows mensajes de “32 bit Disk
Access cannot be used”
ISAT: Infrestructura de Aplicaciones Telemáticas
Actuaciones tras la detección (I)




39
Mantener la calma: normalmente el virus no causará
más daño, pero una acción irresponsable sí podría
hacerlo
Comprobar que no es una falsa alarma (falso
positivo). Usar las últimas versiones de distintos
paquetes antivirus
NO reformatear el disco duro: normalmente no es
necesario y probablemente no destruirá el virus
Avisar inmediatamente al responsable del parque
informático
ISAT: Infrestructura de Aplicaciones Telemáticas
Actuaciones tras la detección (y II)

Pautas generales a seguir:
– No seguir trabajando en el sistema infectado
– Comprobar si otros sistemas del entorno están
infectados (si no es posible comprobarlo suponer que
sí lo están)
– No intercambiar disquetes
– Cerrar las sesiones de red de los sistemas infectados
(ponerse en contacto con el administrador de red)
– Si se es responsable del parque de equipos, informar a
todos los usuarios del riesgo.
– Comprobar TODOS los disquetes y TODOS los backups
40
ISAT: Infrestructura de Aplicaciones Telemáticas
Tipos de antivirus (I)

41
Buscadores (scanners):
– Convencionales: programas que buscan patrones
de virus conocidos (cadenas de búsqueda)
– TSR: son residentes que buscan mientras otros
programas se ejecutan
– VxD: se ejecutan bajo Windows o Win 95 de forma
concurrente
– Heurísticos: buscan código sospechoso que
pueda descubrir a un virus desconocido
ISAT: Infrestructura de Aplicaciones Telemáticas
Tipos de antivirus (y II)


42
Monitores de actividad:
– Son residentes que controlan el comportamiento
de otros programas
Comprobadores de integridad:
– Mantienen una base de datos con las
características de los programas ejecutables
– Algunos utilizan algoritmos de encriptado para
evitar que los virus los engañen
ISAT: Infrestructura de Aplicaciones Telemáticas
Utilización puntual de un antivirus

43
Usar un buscador:
– En TODOS los programas y disquetes nuevos
(protegerlos antes contra escritura)
– Cuando un comprobador de integridad indica una
diferencia
– Cuando un monitor da una señal de alarma
– Cuando se obtenga una nueva versión del
buscador u otro buscador distinto
ISAT: Infrestructura de Aplicaciones Telemáticas
Utilización permanente de un antivirus (I)



44
Cargar en el arranque antivirus residente de tipo
buscador o monitor
Si no es demasiado lento, ejecutar un buscador y un
comprobador de integridad al arrancar
Los compresores de disco (y también las
herramientas de encriptado) normalmente dificultan
la labor de los virus (aunque algunos virus simples
corrompen los discos)
ISAT: Infrestructura de Aplicaciones Telemáticas
Utilización permanente de un antivirus (y II)


45
Los sistemas de protección de escritura por software
ayudan, pero no son totalmente seguros y no se debe
confiar en ellos
Lo mejor sería tener todos los ejecutables en un
disco y protegerlo contra escritura por hardware
ISAT: Infrestructura de Aplicaciones Telemáticas
Elección de un antivirus

Usar un antivirus de confianza, bien instalado y
actualizado
– Tener copia de la documentación
– Apropiado al entorno de trabajo (p. ej. Windows)
– Puede ser de shareware. Es aconsejable pagar o
registrarse ya que:
» Anima al autor a mejoralo
» Permite pedir soporte técnico en caso de crisis
46
ISAT: Infrestructura de Aplicaciones Telemáticas
Algunos paquetes antivirus








47
AVP - AntiViral Toolkit Pro
AVTK - Dr. Solomon's
AntiVirus ToolKit
CPAV - Central Point
AntiVirus
The Doctor
Disinfectant (Mac)
DSAVTK - Dr. Solomon's
AntiVirus ToolKit
F-Prot
FindViru(s) - DSAVTK
scanner
ISAT: Infrestructura de Aplicaciones Telemáticas








Gatekeeper (Mac)
Invircible
MSAV - MicroSoft AntiVirus
NAV - Norton AntiVirus
SCAN - ViruScan (de McAfee)
Sweep - Scanner by Sophos
TBAV - Thunderbyte
AntiVirus
VET
Contenido
Prevención
Detección
Corrección
48
ISAT: Infrestructura de Aplicaciones Telemáticas
Corrección



49
Desinfección de ficheros
Desinfección de sistema
Solicitud de ayuda al grupo alt.comp.virus
ISAT: Infrestructura de Aplicaciones Telemáticas
Desinfección de ficheros



Arrancar desde un disquete limpio
Restaurar los ficheros infectados a partir de una
buena copia de seguridad
Si no se tiene una buena copia de seguridad usar un
programa para desinfectar. Puede dar problemas:
– Algunos virus contienen errores
– La información original puede que haya sido sobreescrita y
sea irrecuperable
– A veces no es posible detectar la pérdida de información
(aleatoria) ni indicar al usuario qué objetos están
corrompidos

50
Se deben desinfectar TODOS los disquetes
ISAT: Infrestructura de Aplicaciones Telemáticas
Desinfección de sistema (I)



51
Arrancar desde un disquete limpio
Si el virus es un infectador de sistema, se podría usar
temporalmente el ordenador arrancando de disquete
limpio
Usar una herramienta antivirus. Puede dar problemas
si el sistema hubiera sido infectado por varios virus
ISAT: Infrestructura de Aplicaciones Telemáticas
Desinfección de sistema (II)

52
Un método (con cierto peligro) para eliminarlo sería:
– Arrancar de disquete limpio
– Comprobar que la configuración de la memoria es
normal (MEM). Comprobar que las particiones son
las normales (FDISK)
– Intentar ver el contenido de todos los discos duros
(DIR)
– Si las comprobaciones anteriores no son
satisfactorias no seguir adelante, se podría perder
información crítica
ISAT: Infrestructura de Aplicaciones Telemáticas
Desinfección de sistema (y III)


53
Reemplazar el código del registro de arranque
maestro (MBR) con FDISK /MBR. Esta operación hace
que este método sea peligroso y se pueda perder
información (algunos virus encriptan el disco duro y
guardan la clave en el MBR)
Reemplazar el sector de arranque de DOS con SYS C:
(o lo que sea adecuado para la primera partición y
con la misma versión del S.O.). Si se usa compresión
de disco se debe hacer en el volumen en que se
instaló (normalmente H: o I:)
ISAT: Infrestructura de Aplicaciones Telemáticas
Referencias y Glosario
54
ISAT: Infrestructura de Aplicaciones Telemáticas
Referencias

Información enlzada en http://trajano.us.es/isat/
– Grupos de News: comp.virus y alt.comp.virus
– Listas de distribución:
ftp://corsa.ucr.edu/pub/virus-l/virus-l.README

55
– Software antivirus
Libros:
– "Robert Slade's Guide to Computer Viruses",
Robert Slade, Springer-Verlag, 1994
– "A Short Course on Computer Viruses", 2nd
edition, Dr. Fred B.Cohen, Wiley, 1994
ISAT: Infrestructura de Aplicaciones Telemáticas
Glosario (I)






56
AV - AntiVirus.
BSI - Boot Sector Infector (= BSV - Boot Sector
Virus). Infectador del sector de arranque
BIOS - Basic Input Output System. Sistema básico de
entrada y salida
CMOS - Memoria usada para guardar información
sobre la configuración hardware
DBR - DOS Boot Record. Registro de arranque de
DOS
DBS - DOS Boot Sector. Sector de arranque de DOS
ISAT: Infrestructura de Aplicaciones Telemáticas
Glosario (II)





57
GOAT FILES - Programas simples que sirven para
capturar virus y poder estudiarlos. Algunos
sinónimos son: BAIT FILES, DECOY FILES y VICTIM
FILES
In-the-wild - describe los virus que se han
encontrado reproduciéndose en sistemas reales
MBR - Master Boot Record (Partition Sector).
Registro de arranque maestro
TSR - Un programa DOS residente en memoria
VX - Aquellos que estudian, intercambian y escriben
virus, no necesariamente con intenciones maliciosas
ISAT: Infrestructura de Aplicaciones Telemáticas
Glosario (y III)


58
VxD - Un programa de Windows que puede ser
ejecutado concurrentemente
Zoo - Conjunto de virus usado para comprobaciones
ISAT: Infrestructura de Aplicaciones Telemáticas
Related documents
elementos de virus informaticos
elementos de virus informaticos
Virus informáticos y Programas Malignos.
Virus informáticos y Programas Malignos.
virus y seguridad tecnológica en la docencia
virus y seguridad tecnológica en la docencia
Virus informáticos
Virus informáticos
LECTURA COMPLEMENTARIA (TRABAJO INDEPENDIENTE
LECTURA COMPLEMENTARIA (TRABAJO INDEPENDIENTE
Polarización del diodo - EHU-OCW
Polarización del diodo - EHU-OCW
ejercicio 1. - informatica multitech
ejercicio 1. - informatica multitech
Breve resumen de Virus informáticos
Breve resumen de Virus informáticos
Estudio Sobre Virus Informaticos
Estudio Sobre Virus Informaticos
Estudio sobre virus informáticos
Estudio sobre virus informáticos