Download LECTURA COMPLEMENTARIA (TRABAJO INDEPENDIENTE

LECTURA COMPLEMENTARIA (TRABAJO INDEPENDIENTE)
VIRUS
Definición
Es un segmento de código de programación que se implanta a sí mismo en un archivo
ejecutable y se multiplica sistemáticamente de un archivo a otro.
Pequeño segmento de código ejecutable escrito en ensamblador o lenguaje de macro,
capaz de tomar el control de la maquina o aplicación en algún momento y auto replicarse,
alojándose en un soporte diferente al que se encontraba originalmente
Programa que puede infectar otros programas modificándolos para incluir una versión de
si mismo.
Son programas de ordenador. Su principal cualidad es la de poder auto replicarse o auto
reproducirse. Intentan ocultar su presencia hasta el momento de su explosión y alteran el
comportamiento y rendimiento del ordenador.
Los virus tienen la misión que le ha encomendado su programador, con lo que sería difícil
decir que los virus tienen una misión común. Lo único que tienen de parecido es que
deben pasar desapercibidos el máximo tiempo posible para poder cumplir su misión. Si
son detectados, el usuario puede eliminar el virus y controlar el contagio
Un virus informático no es más que un programa parásito auto reproductor, generalmente
de efectos destructivos, que necesita de otros programas para su reproducción. Su
nombre es totalmente correcto, ya que su funcionamiento es similar al de los virus
orgánicos, de 1 pasa a 2, de 2 a 4, de 4 a 8 y así hasta llegar a la epidemia. Al contrario
que los virus orgánicos, los virus informáticos no sufren mutaciones en su comportamiento
por sí solos, aunque si pueden cambiar su código en cada infección, sin alterar su
funcionamiento, para evitar su fácil detección. A estos virus, debido a su técnica de
ocultamiento, se les denomina Virus Polimórficos y cambian según un código en
Encriptación variable.
Un virus de computadora, es un programa o código que se replica añadiendo una copia
de si mismo a otro archivo ejecutable. Un virus es particularmente da debido a que, sin
detección o protección antivirus, el usuario no se percata que su sistema está siendo
invadido hasta que ve los resultados que pueden ir desde anuncios inócuos hasta la
pérdida total del sistema.
Un virus informático es un programa de ordenador, cuyo autor generalmente prefiere
guardar el anonimato y que se caracteriza porque:
Puede generar copias de sí mismo en un ordenador distinto del que se ocupa.
Modifica los programas ejecutables, entre cuyas instrucciones se introduce, bien sean
programas de aplicación o programas del sistema operativo, aunque estos últimos
constituyen el principal objetivo del virus
Puede ser activado involuntariamente por el usuario cuando éste ejecute el programa que
porta el virus.
Para que un virus pueda llevar a cabo acciones nocivas, es necesarios que se active y
que permanezca en memoria para obtener permanentemente el control de la unidad
central del ordenador.
OBJETIVO DE LOS CREADORES
Sabotear de una aplicación o programa, un proceso o un documento informático, no es
algo lucrativo para sus creadores, sólo les deja una sensación de poder cuando su
creación obtiene un nivel de propagación considerable, como una venganza o un desafió
técnico informático, debido a la gran proliferación y poder destructivo de los diversos
virus, estos son considerados como un delito en muchos países
MEDIOS DE INFECCIÓN
1. Unidades de Discos Extraibles: Las unidades de discos sirven para guardar la
información en forma externa y poderla instalar o ejecutar en otras computadoras en
forma temporal o permanente. En este proceso de transferencia de la información puede
darse el caso de que una de las unidades de discos extraíbles como los discos de 3.5",
CDROM, Jazz y ZIP se encuentren infectadas por algún virus y al instalar o ejecutar un
archivo o programa se contamine la computadora destino.
2. Redes de Computadoras : Una red de computadora conecta entre si varias
computadoras físicamente y sirve principalmente para poder compartir archivos que
generalmente se encuentran en una computadora principal llamada servidor o bien
compartirse entre ellas (clientes);En el proceso de transmisión de archivos pudiera darse
el caso que la computadora origen estuviera infectada por algún virus, lo que infectaría la
computadora destino y si alguien más accede a esta última se infectaría y así
sucesivamente; por lo que en una red la propagación de un virus puede llegar a ser mayor
si no se detecta y elimina a tiempo el virus.
3. Internet: Se dice que el internet es la red de redes, ya que las redes locales en una
oficina están conectadas a otra red mayor y esta su vez a otra más mayor, hasta llegar a
formar una Súper red. Con lo anterior podemos imaginar la magnitud de la posible
propagación de un solo virus a través del internet, en este caso se podría hablar en una
escala internacional o mundial. De hecho últimamente se considera el internet el medio de
infección mas susceptible. Pueden existir varios factores como el punto mencionado
anteriormente la "conexión mundial de computadoras", la gran cantidad de usuarios y la
facilidad con la que se tiene acceso a los diversos servicios que ofrece internet, muchos
de ellos de libre acceso.
Casi todos los servicios que ofrece internet como WWW (páginas web), Correo
Electrónico, Chat, FTP, New, Telnet son medios de infección de virus, principalmente el
servicio de correo electrónico. En este ultimo los virus se envían principalmente por medio
de archivos adjuntos o anexos (atachments).
Otro de los servicios de mayor susceptibilidad es FTP(protocolo de transferencia de
ficheros) o descargas de archivos(Download), esto es debido que la mayor parte de
usuarios pasan un buen tiempo bajando o descargando archivos de música, videos, etc.
ESPACIOS DE RESIDENCIA (DONDE SE ESCONDEN)
1.- Memoria Principal
En este caso el virus se coloca automáticamente en la memoria principal (RAM) en forma
permanente, esperando que se ejecute un programa con extensión EXE o COM para
infectarlo.
2.-Documento con Macros.
Un macro se puede considerar un pequeño programa o subrutina que otro programa
puede llevar acabo como las herramientas de office ( word, excell, power point, etc), en
estas subrutinas se pueden acomodar rutinas de algún virus, que al momento de ser
ejecutado el macro en algún tipo de documento de Office, el programa se contamine.
3.- Sectores de Arranques
Los discos duros y discos flexibles tiene dentro de su sectores un sector llamado de
arranque, donde se encuentran información acerca de las características del disco y el
contenido del mismo. En este sector se puede acomodar un virus, que al intentar
encender la computadora, el virus se ejecute dentro del mismo sector contaminado el
programa.
4.- Archivos Adjunto ( Attachaments)
Como se mencionó anteriormente los archivos adjuntos de correos electrónicos son
medios "eficaces" para la propagación de virus; ya que el código del virus se puede enviar
como un archivo anexo con cualquier nombre y extensión que del momento no cause
sospecha.
5.-Páginas Web´s
Quizás en la escala de susceptible ocupe lo últimos lugares , porque son archivos de
hipertextos, el problema sería con aquellas páginas de carácter interactiva como las que
contienen formularios, ya que estas y otras partes de la paginas contienen programas
llamados Applets de Java y controles Activex.
FASES DE INFECCIÓN DE UN VIRUS
Infección: El virus pasa a la memoria del computador, tomando el control del mismo,
después de intentar inicializar el sistema con un disco, o con el sector de arranque
infectado o de ejecutar un archivo infectado. El virus pasa a la memoria y el sistema se
ejecuta, el programa funciona aparentemente con normalidad, de esta forma el usuario no
se da cuenta de que su sistema está siendo infectado.
Latencia: Durante esta fase el virus, intenta replicarse infectando otros archivos del
sistema cuando son ejecutados o atacando el sector de arranque del disco duro. De esta
forma el virus toma el control del sistema siempre que se encienda el computador, ya que
intervendrá el sector de arranque del disco, y los archivos del sistema. Si durante esta
fase utilizamos discos flexibles no protegidos contra escritura, dichos discos quedan
infectados y listos para pasar el virus a otro computador e infectar el sistema.
Activación: Esta es la última fase de la vida de un virus y es la fase en donde el virus se
hace presente. La activación del virus trae como consecuencia el despliegue de todo su
potencial destructivo, y se puede producir por muchos motivos, dependiendo de cómo lo
creó su autor y de la versión de virus que se trate, debido a que en estos tiempo
encontramos diversas mutaciones de los virus.
Algunos virus se activan después de un cierto número de ejecuciones de un programa
infectado o de encender el sistema operativo; otros simplemente esperan a que se escriba
el nombre de un archivo o de un programa. La mayoría de los virus se activan mediante el
reloj del sistema para comprobar la fecha y activar el virus, dependiendo de la fecha u
hora del sistema o mediante alguna condición y por último atacan, el daño que causan
depende de su autor.
TIPOS DE VIRUS
Acompañante: Estos virus basan su principio en que MS-DOS, ejecuta el primer archivo
COM y EXE del mismo directorio. El virus crea un archivo COM con el mismo nombre y
en el mismo lugar que el EXE a infectar. Después de ejecutar el nuevo archivo COM
creado por el virus y cede el control al archivo EXE.
Archivo o fichero: Los virus que infectan archivos del tipo *.EXE, *.DRV, *.DLL, *.BIN,
*.OVL, *.SYS e incluso BAT. Este tipo de virus se añade al principio o al final del archivo.
Estos se activan cada vez que el archivo infectado es ejecutado, ejecutando primero su
código vírico y luego devuelve el control al programa infectado pudiendo permanecer
residente en la memoria durante mucho tiempo después de que hayan sido activados.
Este tipo de virus de dividen el dos: Virus de Acción Directa y los virus de Sobrescritura
De accion directa: Al contrario que los residentes, estos virus no permanecen en
memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento
de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los
ficheros ubicados dentro de su mismo directorio para contagiarlos. Además, también
realizan sus acciones en los directorios especificados dentro de la línea PATH (camino o
ruta de directorios), dentro del fichero AUTOEXEC.BAT (fichero que siempre se encuentra
en el directorio raíz del disco duro).
Sobreescritura: Estos virus se caracterizan por destruir la información contenida en los
ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido,
haciendo que queden total o parcialmente inservibles. También se diferencian porque los
ficheros infectados no aumentan de tamaño, a no ser que el virus ocupe más espacio que
el propio fichero (esto se debe a que se colocan encima del fichero infectado, en vez de
ocultarse dentro del mismo). La única forma de limpiar un fichero infectado por un virus
de sobreescritura es borrarlo, perdiéndose su contenido.
Algunos ejemplos de este tipo de virus son: Way, Trj.reboot
Residentes: La característica principal de estos virus es que se ocultan en la memoria
RAM de forma permanente o residente. De este modo, pueden controlar e interceptar
todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos
ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados,
etc.
Estos virus sólo atacan cuando se cumplen ciertas condiciones definidas previamente por
su creador (por ejemplo, una fecha y hora determinada). Mientras tanto, permanecen
ocultos en una zona de la memoria principal, ocupando un espacio de la misma, hasta
que son detectados y eliminados.
Algunos ejemplos de este tipo de virus son:CMJ,
MEVE
Macros: De acuerdo con la Internacional Security Association, los virus macro forman el
80% de todos los virus y son los que más rápidamente han crecido en toda la historia de
los ordenadores en los últimos 5 años. A diferencia de otros tipos de virus, los virus macro
no son exclusivos de ningún sistema operativo y se diseminan fácilmente a través de
archivos adjuntos de e-mail, disquetes, bajadas de Internet, transferencia de archivos y
aplicaciones compartidas.
Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro
que acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que
un Word virus macro puede infectar un documento Excel y viceversa.
En cambio, los virus macro viajan entre archivos en las aplicaciones y pueden,
eventualmente, infectar miles de archivos.
Los virus macro son escritos en Visual Basic y son muy fáciles de crear. Pueden infectar
diferentes puntos de un archivo en uso, por ejemplo, cuando éste se abre, se graba, se
cierra o se borra. Lo primero que hacen es modificar la plantilla maestra (normal.dot) para
ejecutar varias macros insertadas por el virus, así cada documento que abramos o
creemos, se incluirán las macros "víricas". Con la posibilidad de contener un virus
convencional, cambiar un ejecutable o DLL e insertarlo en el sistema.
Multi partes o multipartites: Los virus multi-parte pueden infectar tanto el sector de
arranque como los archivos ejecutables, suelen ser una combinación de todos los tipos
existentes de virus, su poder de destrucción es muy superior a los demás y de alto riesgo
para nuestros datos, su tamaño es más grande a cambio de tener muchas mas opciones
de propagarse e infección de cualquier sistema.
Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes
técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos,
programas, macros, discos, etc.
Se consideran muy peligrosos por su capacidad de combinar muchas técnicas de
infección y por los dañinos efectos de sus acciones. Algunos ejemplos de estos virus son:
Ywinz.
De Enlace/Directorio: Los ficheros se ubican en determinadas direcciones (compuestas
básicamente por unidad de disco y directorio), que el Sistema Operativo conoce para
poder localizarlos y trabajar con ellos.
Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan
los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión EXE o
COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya
que éste habrá modificado la dirección donde se encontraba originalmente el programa,
colocándose en su lugar.
Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros
originales
Virus de Compañía: Son virus de fichero que al mismo tiempo pueden ser residentes o de
acción directa. Su nombre deriva de que "acompañan" a otros ficheros existentes en el
sistema antes de su llegada, sin modificarlos como hacen los virus de sobreescritura o los
residentes.
Para efectuar las infecciones, los virus de compañía pueden esperar ocultos en la
memoria hasta que se lleve a cabo la ejecución de algún programa, o actuar directamente
haciendo copias de sí mismos.
Algunos ejemplos de este tipo de virus son: Statox , Terrax1069
Virus de Polimorficos: Son virus que en cada infección que realizan se cifran o encriptan
de una forma distinta (utilizando diferentes algoritmos y claves de cifrado).
De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los
antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser
los virus más costosos de detectar
Sector de Arranque: Este tipo de virus infecta el sector de arranque de un disquete y se
esparce en el disco duro del usuario, el cual también puede infectar el sector de arranque
del disco duro (MBR). Una vez que el MBR o sector de arranque esté infectado, el virus
intenta infectar cada disquete que se inserte en el sistema ,ya sea una CD-R, una unidad
ZIP o cualquier sistema de almacenamiento de datos.
Los virus de arranque trabajan de la siguiente manera: se ocultan en el primer sector de
un disco y se cargan en la memoria antes de que los archivos del sistema se carguen.
Esto les permite tomar total control de las interrupciones del DOS y así, pueden
diseminarse y causar daño.
Estos virus, generalmente reemplazan los contenidos del MBR o sector de arranque con
su propio contenido y mueven el sector a otra área en el disco. La erradicación de un virus
de arranque puede hacerse inicializando la máquina desde un disquete sin infectar, o
encontrando el sector de arranque original y reemplazándolo en el lugar correcto del
disco.
VBS: Debido al auge de Internet los creadores de virus han encontrado una forma de
propagación masiva y espectacular de sus creaciones a través mensajes de correo
electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la
extensión .VBS
El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones
o comandos en lotes. Con el advenimiento de Windows 95/98/NT/Me/2000/XP, este tipo
de archivos dejó de ser empleado y fue reemplazado por los Visual Basic Scripts.
Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas
secuencialmente para realizar una determinada acción al iniciar un sistema operativo, al
hacer un Login en un Servidor de Red, o al ejecutar una aplicación, almacenadas bajo un
nombre de archivo y extensión adecuada.
Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows,
Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.
Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos
de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como medios
de propagación. Asimismo, un VBS puede contener instrucciones que afecten a los
sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y
guardar el archivo con la extensión .VBS.
Actualmente existen 2 medios de mayor difusión de virus en VBS:
Infección de canales IRC (el chat convoca a una enorme cantidad de "victimas") El IRC
(Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación entre
usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados
"clientes IRC" (tales como el mIRC, pIRCh, Microsoft Chat).
Re-envío de mensajes de la libreta de direcciones Microsoft Outlook. Office
95/97/2000/XP, respectivamente, integran sus programas MS Word, Excel, Outlook y
Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que permiten invocar
la ejecución de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso
a un Editor de Visual Basic. Aunque también pueden editar instrucciones y comandos con
el NotePad y archivarlo con la extensión .VBS
Virus Falsos: Al margen de las divisiones anteriores, existen ciertos tipos de mensajes o
programas que en ciertos casos son confundidos con virus, pero que no son virus en
ningún sentido.
El principal componente de este grupo son los hoaxes o bulos. Los hoaxes no son virus,
sino mensajes de correo electrónico engañosos, que se difunden masivamente por
Internet sembrando la alarma sobre supuestas infecciones víricas y amenazas contra los
usuarios.
Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos que parecen
ciertos y proponiendo una serie de acciones a realizar para librarse de la supuesta
infección.
Si se recibe un hoax, no hay que hacer caso de sus advertencias e instrucciones: lo más
aconsejable es borrarlo sin prestarle la más mínima atención y no reenviarlo a otras
personas
Gusano: es un programa informático que se reproduce a sí mismo en otras zonas de la
memoria del ordenador diferentes a la que ocupa hasta que desborda la capacidad de
almacenamiento de la memoria. La diferencia entre el gusano y el virus consiste en que el
gusano se reproduce por sus propios medios, y en cambio el virus necesita adherirse a
otros programas.
Caballo de troya o camaleones: es un programa legítimo en el que se han introducido,
camufladas, unas instrucciones malignas que pueden destruir la información almacenada
en los discos. En otros casos, las instrucciones malignas consiguen desviar pequeñas
cantidades de dinero de las cuentas bancarias hacia otra cuenta, a la que tiene acceso la
persona que ha introducido el caballo de Troya, al igual capturan datos generalmente
password enviándolos a otro sitio, o dejar indefenso el ordenador donde se ejecuta,
abriendo agujeros en la seguridad del sistema, con la siguiente profanación de nuestros
datos.
El caballo de troya incluye el código maligno en el programa benigno, mientras que los
camaleones crean uno nuevo programa y se añade el código maligno.
Estos son algunos ejemplos de Troyanos: Netbus , backorifice
Bomba lógica o de tiempo: es un programa nocivo que se oculta, ocupando una pequeña
parte de la memoria y que actúa en una determina fecha, una combinación de teclas, etc.,
si no se produce la condición permanece oculto al usuario
Joke Program: Simplemente tienen un payload (imagen o sucesión de estas) y suelen
destruir datos.
MailBomb Casi virus ¿o no?
Esta clase de virus todavía no está catalogado como tal, pero, con este ejemplo podrás
opinar si lo son o no.
Por lo general todos son iguales, escribes un texto que quieras una dirección de e-mail
(victima) introduces el número de copias y ya está.
El programa crea tantos mensajes como el número de copias indicado antes,
seguidamente empezara a enviar mensajes hasta saturar el correo de la víctima.
Retro Virus: Este programa busca cualquier antivirus, localiza un bug (fallo) dentro del
antivirus y normalmente lo destruye.
Bug_Ware: Es el termino dado a programas informáticos legales diseñados para realizar
funciones concretas. Debido a una inadecuada comprobación de errores o a una
programación confusa causan daños al hardware o al software del sistema. Muchas veces
los usuarios finales aducen esos daños a la actividad de virus informáticos. Los
programas bug-ware no son en absoluto virus informáticos, simplemente son fragmentos
de código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan
los datos del computador
Virus del Mirc: Son la nueva generación de infección, aprovechan la ventajas
proporcionadas por la Red y de los millones de usuarios conectados a cualquier IRC a
través del Mirc. Consiste en un script para el cliente de IRC Mirc. Cuando se accede a un
canal de IRC, recibe por DCC un archivo llamado "script.ini". Por defecto, el subdirectorio
donde se descargan los archivos es el mismo donde esta instalado el programa, esto
causa que el "script.ini" original se sobrescrito por el "script.ini" maligno.
Nos preguntaremos ¿y para en que nos afecta a nosotros? Pues muy fácil, los autores
pueden desconectarte del IRC o acceder a información privada,(archivo de claves o el
"etc/passwd" de Linux).
WEB: Los applets de JAVA y los controles ACTIVE X, son unos lenguajes nuevos
orientados a Internet, pero las nuevas tecnologías abren un mundo nuevo a explorar por
los creadores de virus. Apartir del año 2000, superan en número a los virus de macro.
SÍNTOMAS DE INFECCIÓN EN EL EQUIPO
Reducción del espacio libre en la memoria o disco duro.
Actividad y comportamientos inusuales de la pantalla. Muchos de los virus eligen el
sistema de vídeo para notificar al usuario su presencia en el ordenador. Cualquier
desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de
un virus.
El disco duro aparece con sectores en mal estado. Algunos virus usan sectores del disco
para camuflarse, lo que hace que aparezcan como dañados o inoperativos.
Cambios en las características de los ficheros ejecutables. Casi todos los virus de fichero,
aumentan el tamaño de un fichero ejecutable cuando lo infectan. También puede pasar, si
el virus no ha sido programado por un experto, que cambien la fecha del fichero a la fecha
de infección.
Aparición de anomalías en el teclado. Existen algunos virus que definen ciertas teclas que
al ser pulsadas, realizan acciones perniciosas en el ordenador. También suele ser común
el cambio de la configuración de las teclas, por la del país donde se programo el virus.
Desaparición de archivos y carpetas. Los archivos contenidos en algunas carpetas
concretas (generalmente aquellas que pertenecen al sistema operativo o a ciertas
aplicaciones), han desaparecido porque el virus las ha borrado. También podrían
desaparecer directorios o carpetas completas.
Imposible acceder al contenido de archivos. Cuando se abre un archivo, se muestra un
mensaje de error, o simplemente esto es imposible. Puede ser que el virus haya
modificado la Tabla de Asignación de Archivos, perdiéndose así las direcciones en las
que éstos comienzan.
Mensajes de error inesperados y no habituales. Aparecen cuadros de diálogo con
mensajes absurdos, jocosos, hirientes, agresivos,... etc.; que generalmente no aparecen
en situaciones normales.
Errores del sistema operativo. Al realizar ciertas operaciones -normales y soportables por
el sistema operativo en otro tipo de circunstancias- aparecen mensajes de error, se
realizan otras acciones no deseadas, o simplemente no ocurre nada.
Archivos duplicados. Si existe un archivo con extensión EXE, aparecerá otro con el mismo
nombre que éste, pero con extensión COM (también programa). El archivo con extensión
COM será el virus. El virus lo hace así porque, si existen dos archivos con el mismo
nombre, el sistema operativo ejecutaría siempre en primer lugar el que tenga extensión
COM.
Archivos renombrados. El virus habrá cambiado el nombre de los archivos a los que ha
infectados y/o a otros concretos.
Problemas al prender el computador. El computador no arranca, o no lo hace de la forma
habitual. Sería conveniente prender el computador con un disco de sistema o arranque y
analizar todas las áreas del computador con un antivirus n línea de comandos.
Bloqueo del computador. En situaciones donde tenemos pocos programas abiertos (o
ninguno) y la carga del sistema no es elevada, éste se bloquea (se queda "colgado") y
nos impide continuar trabajando. Será necesario utilizar la combinación de teclas
CTRL+ALT+SUPR. para poder eliminar la tarea que se ha bloqueado, o reiniciar el
sistema.
El computador se apaga (se reinicia). Sin realizar ninguna operación extraña y mientras
estamos trabajando normalmente con el computador, éste se apaga automáticamente y
se vuelve a encender (se reinicia). Evidentemente, todo aquello que no hayamos
guardado o grabado, se habrá perdido definitivamente.
El programa se cierra. Mientras estamos trabajando con una aplicación o programa, ésta
se cierra sin haber realizado ninguna operación indevida o alguna que debería haber
producido esta acción.
Se abre y cierra la bandeja del CD-ROM. Sin que intervengamos para nada en el equipo,
la bandeja de la unidad lectora de CD-ROM, se abre y se cierra de forma autónoma. Esta
acción es muy típica de los troyanos.
El teclado y/o el ratón no funcionan correctamente. Cuando utilizamos el teclado, éste no
escribe lo que queremos, o realiza acciones que no corresponden a la combinación de
teclas que hemos pulsado. Por otra parte, el puntero del ratón se mueve de forma
autónoma por toda la pantalla, sin que nosotros lo movamos (o cuando lo movemos,
realiza ciertas animaciones no habituales).
Desaparecen secciones de ventanas y/o aparecen otras nuevas. Determinadas secciones
(botones, opciones de menú, residentes en la barra de tareas de Windows, textos,...) que
deberían aparecer en una determinada ventana, han desaparecido y no se muestran en
ella. También sería posible que en pantallas donde no debería aparecer nada, se
muestren iconos extraños o contenidos que no son habituales en ellas (por ejemplo en la
barra de tareas de Windows, junto al reloj del sistema).
CONSEJOS VITALES PARA PROTEGERSE DE LOS VIRUS
Si todavía no se infectó, aquí van los 10 consejos más importantes para tener muy en
cuenta:
Cuidado con los archivos VBS: No abrir archivos cuya extensión sea VBS (Visual Basic
Script es un lenguaje que permite ejecutar rutinas dentro de la PC) a menos que se esté
absolutamente seguro que el mail viene de una persona confiable y que haya indicado
previamente sobre el envío.
No esconder extensiones de archivos tipos de programa conocidos: Todos los sistemas
operativos Windows, por predeterminación, esconden la extensión de archivos conocidos
en el Explorador de Windows. Ésta característica puede ser usada por los diseñadores de
virus y hackers para disfrazar programas maliciosos como si fueran otra extensión de
archivo. Por eso los usuarios, son engañados, y cliquean el archivo de “texto” y sin darse
cuenta ejecutan el archivo malicioso.
Configurar la seguridad de Internet Explorer como mínimo a "Media": Para activar esta
función hay que abrir el navegador, ir a Herramientas, Opciones de Internet, Seguridad.
Después elegir la zona correspondiente (en este caso Internet) y un clic en el botón Nivel
Personalizado: allí hay que seleccionar Configuración Media o Alta, según el riesgo que
sienta el usuario en ese momento. Aceptar y listo.
Instalar un buen firewall: Otra opción muy recomendable para aumentar la seguridad.
Puede bajarse alguno gratuito o configurar el del sistema operativo (especialmente si se
cuenta con Windows XP). Esta es una lista con los mejores firewall.
Hacer copias de seguridad: Un camino es subir periódicamente los archivos más vitales a
Internet. En la Web existen “bauleras” muy fáciles de usar para guardar lejos de la PC la
información más importante y que puede devorada por algún virus. El otro camino es
realizar copias de seguridad de esos archivos o carpetas en zips, discos, disquetes o
cualquier otra plataforma para copiar.
Actualizar el sistema operativo: Fundamental para aumentar al máximo la seguridad ante
eventuales ataques víricos ya que muchos de los gusanos que recorren el mundo buscan,
especialmente, los agujeros de seguridad de muchos de los productos de Microsoft. Para
ello esta empresa ofrece periódicamente actualizaciones “críticas” para descargar y si el
usuario el algo vago para buscarlas, se puede configurar Windows para que las
descargue en forma automática.
Cuidado con los archivos que llegan por email: Al recibir un nuevo mensaje de correo
electrónico, analizarlo con el antivirus antes de abrirlo, aunque conozca al remitente. En
los últimos meses, muchos virus se activaron porque los usuarios abrían los archivos
adjuntos de los emails. Es preferible guardar los archivos en el disco local y luego
rastrearlo con un antivirus actualizado (En vez de hacer doble click sobre el archivo
adjunto del email entrante).
El chat, otra puerta de entrada: En las salas de chat es muy común enviar archivos de
todo tipo a través del sistema DDC. Si se recibe uno que no se solicitó o de origen
desconocido jamás aceptarlo por más interesante que parezca.
Otros consejos:
Prestar mucha atención si los archivos aumentan de tamaño
inesperadamente o aparecen avisos extraños de Windows. También evitar descargar
programas desde sitios de Internet que despierten sospechas o desconocidos.
Y por supuesto, actualizar el antivirus: Hoy en día existen buenos antivirus pagos y
gratuitos. En ambos casos se actualizan automáticamente, por lo que la gran mayoría ya
dispone del parche para el peligroso MyDoom en todas sus variantes. En la próxima
página, una selección con los mejores antivirus en Terra Downloads.
TÉCNICAS DE LOS VIRUS
Las técnicas más utilizadas por los virus para ocultarse, reproducirse y camuflarse de los
antivirus son:
1. Ocultación
Mecanismos de Stealth: Éste es el nombre genérico con el que se conoce a las técnicas
de ocultar un virus. Varios son los grados de stealth, y en ellos se engloban argucias tan
diversas como la originalidad y nivel del autor permiten. A un nivel básico basta saber que
en general capturan determinadas interrupciones del PC para ocultar la presencia de un
virus, como:
Mantener la fecha original del archivo
Restaura el tamaño original de los archivos infectados
Modifica directamente la FAT
Modifican la tabla de Vectores de Interrupción
Se instalan en los buffers del DOS
Soportan la re inicialización del sistema por teclado
Se instalan por encima de los 649 KB normales del DOS
Evita que se muestren mensajes de error, cuando el virus intenta escribir sobre discos
protegidos.
Técnicas de stealth avanzadas pretenden incluso hacer invisible al virus frente a un
antivirus. En esta categoría encontramos los virus que modifican la tabla de vectores de
interrupción (IVT), los que se instalan en alguno de los buffers de DOS, los que se
instalan por encima de los 640KB e incluso los hay que soportan la re inicialización del
sistema por teclado.
Técnicas de auto encriptación
Esta técnica muy utilizada, consigue que el virus se encripte de manera diferente cada
vez que se infecta el fichero, para intentar pasar desapercibido ante los antivirus
Anti-debuggers
Un debugger es un programa que permite descompilar programas ejecutables y mostrar
parte de su código en lenguaje original.
Los virus usan técnicas para evitar ser desensamblados y así impedir su análisis para la
fabricación del antivirus correspondiente.
Armouring
Mediante esta técnica el virus impide que se examinen los archivos que él mismo ha
infectado. Para conocer más datos sobre cada uno de ellos, éstos deben ser abiertos
(para su estudio) como ficheros que son, utilizando programas especiales (Debuger) que
permiten descubrir cada una de las líneas del código (lenguaje de programación en el que
están escritos). Pues bien, en un virus que utilice la técnica de Armouring no se podrá leer
el código.
3. Camuflaje
Mecanismos Polimorficos
Es una técnica para impedir ser detectados, es la de variar el método de encriptación de
copia en copia. Esto obliga a los antivirus a usar técnicas heurísticas ya que como el virus
cambia en cada infección es imposible localizarlo buscándolo por cadenas de código.
Esto se consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles
a los antivirus. No obstante no se puede codificar todo el código del virus, siempre debe
quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al
antivirus.
4. Evasión
Técnica de Tunneling
Con esta técnica, intentar burlar los módulos residentes de los antivirus mediante
punteros directos a los vectores de interrupción.
Requiere una programación compleja, hay que colocar el procesador en modo paso a
paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la
interrupción 1.
Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan
instrucciones comprobando cada vez si se ha llegado a donde se quería hasta recorrer
toda la cadena de ISRs que haya colocando el parche al final de la cadena.
5. Residentes tsr
Los virus utilizan esta técnica para permanecer residente en memoria y así mantener el
control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su
paso.
El virus permanece en memoria mientras el ordenador permanezca encendido.
Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los
ficheros de arranque del sistema para asegurarse de que cuando se vuelva a arrancar el
ordenador volverá a ser cargado en memoria.
Antivirus
Un antivirus es un programa creado para prevenir o evitar la activación de los virus, así
como su propagación y contagio. Cuenta además con rutinas de detención, eliminación y
reconstrucción de los archivos y las áreas infectadas del sistema.
Un antivirus es un programa capaz de detectar y alertar al usuario sobre cambios
anormales en el contenido de un archivo, programa, direccionamiento de memoria, o
partes del disco y a su vez detener el proceso multiplicador o infeccioso de los virus en su
equipo. También son creados para definir barreras que impidan el acceso de los virus a
su sistema.
Un antivirus tiene tres principales funciones y componentes:
Vacuna es un programa que instalado residente en la memoria, actúa como "filtro" de los
programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo real.
Detector, que es el programa que examina todos los archivos existentes en el disco o a
los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y
reconocimiento exacto de los códigos virales que permiten capturar sus pares,
debidamente registrados y en forma sumamente rápida desarman su estructura.
Eliminador es el programa que una vez desactivada la estructura del virus procede a
eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas
afectadas.
MÓDULOS DE UN ANTIVIRUS
Un antivirus cuenta con ciertos módulos o componentes que pueden determinar su
eficiencia o veracidad con respecto otros, y pueden ser:
Un sistema de administración: Desde el cual el usuario podrá acondicionar el antivirus a
las necesidades o componentes de su sistema para obtener un mayor provecho sin limitar
el optimo rendimiento de los demás componentes de su Pc. Desde éste módulo
podremos personalizar aspectos como: El sistema de detección definiendo forma de
chequeo en cuanto a : tipos de archivo, discos, fechas, La acción contra archivos
infectado: borrarlos, limpiarlos, bloquearlos, ..., Alertas: alcance y tipo de mensajes de
alerta, Reportes : si se desea obtener un informe de chequeo. Formas de comportamiento
ante el correo, forma de actualización del programa vía Internet, Nivel se seguridad de
acceso al antivirus,
Módulo Residente: Es el encargado de estar siempre alerta de todos los procesos que
puedan llevarse a cabo en memoria y dispositivos de almacenamiento, se carga residente
a memoria al iniciar el Pc, y permanece allí mientras éste permanezca encendido, por ello
al abrir un archivos infectado, o insertar un disco, o al modificar la su fat , se observan
mensajes de alerta sobre virus.
Discos de Emergencia o Rescue: Son discos que permite crear el antivirus como una
forma portátil de vacuna para solución de infecciones en discos duros que no permiten el
acceso a su antivirus instalado. Dichos discos varía en número según la versión y tipo de
antivirus entre 1 y 4 discos. La forma de creación se hace desde el modulo administrativo
del antivirus y es similar en todos los antivirus, se pide formatear el disco, y con un
asistente se transferirán los archivos necesarios para el chequeo limpieza de sus sistema,
igualmente la puesta en marcha de éstos, simplemente se reinicia el quipo infectado con
el primer disco de la secuencia de emergencia y se inicia un proceso automático de
arranque del equipo y solución a la infección. Generalmente en modo texto.
TIPOS DE ANTIVIRUS
Antivirus Detectores o Rastreadores : Son aquellos antivirus que usan técnicas de
búsqueda y detección explorando o rastreando todo el sistema en busca de un virus.
Estos programas se utilizan para detectar virus que pueden estar en la memoria, en el
sector de arranque del disco duro, en la zona de partición del disco y en algunos
programas. Dependiendo de la forma de analizar los archivos los podemos clasificar a su
vez en antivirus de patrón y heurístico.
Antivirus de Patrón : Realizan el análisis de los archivos por medio de la búsqueda en el
archivo de una cualidad particular de los virus. Existen antivirus específicos para un
determinado virus, conociendo su forma de atacar y actuar.
Antivirus Heurístico : Este antivirus busca situaciones sospechosas en los programas,
simulando la ejecución y observando el comportamiento del programa.
Limpiadores o Eliminadores : Una vez desactivada la estructura del virus procede a
eliminar o erradicar el virus de un archivo, del sector de arranque de un disco, en la zona
de partición de un disco y en algunos programas.
Estos antivirus deben tener una base de datos con información de cada virus para saber
que método de desinfección deben usar para eliminar el virus.
Dependiendo de los efectos de la especie viral procederá a reconstruir las partes
afectadas por el virus informático.
Protectores o Inmunizadores : Es un programa para prevenir la contaminación de virus,
estos programas no son muy usados porque utilizan mucha memoria y disminuyen la
velocidad de la ejecución de algunos programas y hasta del computador.
Residentes: Permanecen en memoria para el reconocimiento de un virus desde que es
ejecutado. Cada vez que cargamos un programa, el antivirus lo analiza para verificar si el
archivo está infectado o no, con algún virus informático.
TÉCNICAS DE LOS ANTIVIRUS
Búsquedas en cadena (Escaneo de Firmas): La mayoría de los programas antivirus
utilizan esta técnica. Revisan los programas para localizar una secuencia de instrucciones
que son únicas de los virus.
Chequeo de Integridad: Utilizan el Chequeo de Redundancia Cíclica (CRC), es decir
toman las instrucciones de un programa como si fuesen datos y se hace un cálculo, se
graban en un archivo los resultados, y luego se revisa si el programa fue modificado o
alterado.
Monitoreo: Interceptan o bloquean instrucciones sospechosas o riesgosas, por ejemplo
cuando un programa pide cargarse en memoria y permanecer residente, alterar el área de
arranque o modificar un archivo de algún programa. Esta técnica funciona residente en
memoria supervisando continuamente cuando se ejecuta un programa, entonces
intercepta los llamados a funciones sospechosas.
Análisis Heurístico: Analiza cada programa sospechoso sin ejecutar sus instrucciones, lo
que hace es desensamblar el código de máquina para saber que haría el programa si se
ejecuta. Avisa al usuario si el programa tiene instrucciones para hacer algo raro en un
programa normal, pero que es común en los virus, puede revisar varios o todos los
programas de un disco, e indica que puede suceder algo raro cuando se ejecute el
programa.
Algunos Tipos De Antivirus
ANTIVIRUS DE ESCRITORIO
Grisoft ofrece AVG Antivirus Free edition un antivirus completo para pc
de escritorio, con las funciones habituales de protección residente y
exploración de correo electrónico, y actualización periódica (hemos
observado varias veces por semana) de los patrones de virus. Es
gratuito sólo para usuarios domésticos.
La empresa alemana H+BEDV ofrece Antivir Personal Edition, un
antivirus de escritorio gratuito para fines personales. Incluye escudo
residente, detección de virus de macro y asistente de actualización.
Disponible en Inglés y en Alemán
Clam AntiVirus es un escáner anti-virus escrito desde cero. Se distribuye
con licencia GNU GPL2 (gratuito, código abierto) y usa la misma base
de datos de Open AntiVirus. Está escrito en C y cumple con la norma
POSIX. Funciona en Linux, Solaris, FreeBSD, OpenBSD, NetBSD, AIX,
Mac OS X, y en Windows con Cygwin B20; y en múltiples arquitecturas
como Intel, Alpha, Sparc, Cobalt MIPS boxes, PowerPC, RISC 6000. En
Linux se puede correr como un demonio, proporcionando protección
permante.
Alwil Software ofrece la versión doméstica de su antivirus, Avast Home,
gratuito para usuarios domésticos sin ánimo de lucro. Está disponible
en español, aunque en la versión analizada aquí (Noviembre de 2003)
la ayuda en línea estaba en inglés. Dispone de protección residente, y
su característica más relevante es que el filtrado de correo electrónico
es independiente del cliente de correo, ya que implementa un servidor
de correo SMTP, donde realiza la exploración el correo. Simplemente
hay que configurar cliente de correo para que use como servidor de
correo entrante y saliente el del antivirus. Como curiosidad, dispone de
un interfaz personalizable mediante pieles (skins)
ANTIVIRUS EN LÍNEA
El tiempo de escaneo varía en función de la velocidad de su conexión, la carga momentánea de los
servidores o el volumen de datos que usted quiera rastrear. La mayoría de estos servicios descargan
un subprograma (ActiveX o Java applet), por lo que la primera vez que se accede tardan unos
minutos en arrancar.
Encontramos 3 tipos básicos de antivirus en línea, que determinan en qué plataformas funcionarán:
RAV, DialogueScience y Kaspersky funcionan enviando un fichero a un servidor web mediante un
formulario, por lo que son independientes de la platajorma.
OpenAntivirus, desarrollado en Java, debería funcionar en cualquier plataforma con Java instalado.
El resto requieren un sistema operativo Windows de 32 bits (Win 9x,Me,NT,2000,XP)
Tras la carga del subprograma ActiveX y sus componentes, muestra
una vista en árbol de la estructura de directorios del sistema. En ella,
se pueden seleccionar las unidades sobre las que se desea realizar la
búsqueda de código maligno. En Español.
Descarga un control ActiveX y realiza el escaneo, desinfección y
eliminación de virus por todas las unidades del sistema, incluyendo
los ficheros comprimidos y el correo electrónico. Es actualizado
diariamente. En Español.
Realiza la búsqueda y desinfección de virus tanto en ficheros
(comprimidos inclusive) como en directorios (previamente
seleccionados en una imagen del árbol de directorios).
Se selecciona el fichero a examinar y se envía a un servidor donde
será analizado. Este devuelve un informe con el resultado de la
inspección del fichero. Si se desea examinar más de un fichero, bien
se envían al servidor de uno en uno, bien se crea un fichero
comprimido (.zip, .rar, .arj) que contenga todos los archivos a
examinar y se envía.
Tras la instalación de unos ficheros, nos ofrece la posibilidad de
realizar tres chequeos diferentes del sistema. Escaneo total de la
máquina, escaneo rápido (solamente examina los ficheros que son
objetivo frecuente de virus: sector de arranque, directorio raíz,...) o
escaneo de los directorios y ficheros que se le sean especificados.
Solamente permite el escaneo de ficheros individuales (comprimidos
incluidos). Se envía al servidor el fichero a examinar mediante
un formulario y devuelve un informe con el resultado.
Descarga un subprograma ActiveX y realiza el escaneo de todas las
unidades del sistema, sin dar opción a elegir un subconjunto. La
búsqueda no se realiza en ficheros comprimidos
Utiliza un control ActiveX (IE) o un applet de Java (Netscape).
Presenta una estructura de árbol de directorios con las unidades del
sistema donde se pretende realizar el escaneo de virus en línea. La
búsqueda se realizará solamente en las unidades seleccionadas.
OpenAntivirus es el proyecto de desarrollo un antivirus de código
abierto, con licencia GNU, como Linux. Uno de sus componentes,
VirusHammer es un antivirus de escritorio. Desarrollado en Java,
debe funcionar en cualquier ordenador con JRE 1.3. La forma más
sencilla de usarlo 7es en línea, para lo cual necesita descargar Java
WebStart. Aún está en fase de desarrollo y los patrones de virus no
se actualizan con demasiada frecuencia.
Se selecciona el fichero a escanear del sistema local y se envía a un
servidor. Este, una vez finalizado el rastreo, devuelve un informe con
el resultado del estudio. Si se quiere chequear más de un fichero,
deben enviarse todos al servidor en formato comprimido (zip, arj,...).
En ningún caso el tamaño de la información a rastrear será superior a
1MB.
Tras aceptar la descarga de un control ActiveX, comienza el escaneo
de la parte del sistema elegida. Esta elección se restringe a la unidad
C:, al directorio "Mis documentos" o a los ficheros de Windows. Al
finalizar el proceso, muestra un listado con los ficheros infectados y el
virus que los afecta.
Taller De Retroalimentación
Mediante la lectura del documento sobre Virus
conocimientos para resolver el siguiente test.
y antivirus, Ud. Deberá obtener los
Defina ampliamente lo que es un virus informático.
En cuál de las fases de vida será más fácil para el antivirus detectarlos, en cual los
detecta el usuario?
Caracterice los siguientes tipos de virus: De fichero, Residentes, acción Directa, De sobre
escritura, de compañía, de boot, Macro, Enlace o directorio.
Qué son los bug - Ware, si no son virus?. Cuáles son los virus que mas atacan los
archivos de Office?
Mail Bomb y Mirc, Son realmente virus?
Los virus multipartes y de sector de arranque, que tan peligros pueden ser?
Cuáles son los focos de ataque de los virus VBS y Web?
Cuál de los virus considera más perjudicial y porque?
A que se le llama técnica en un virus informático?
Como consiguen ocultarse los virus de los antivirus?
En qué consiste la técnica del sobrepasamiento que daño causa?
Cuál es la diferencia entre autoencriptación – polimorfismo y armouring?
Qué es lo que oculta al usuario un virus con la técnica de ocultación?
Qué es un virus antidebuger?
Explique la técnica de evasión o tunneling y los residentes?
Cual considera que es la técnica más perjudicial y porque?
Donde pueden esconderse los diferentes tipos de virus?
Como saber si mi equipo está infectado de virus?
Según las técnicas antivirus, qué diferencia hay entre la búsqueda en cadenas y la
búsqueda de excepciones?
Cuando debe usarse una técnica heurística y porque?
Cómo funciona la técnica de la vacunación? Y la protección permanente?
Qué recomendarías a un usuario para evitar la infección con virus informático?
Qué es un antivirus?
Caracterice cada uno de los módulos o componentes del antivirus.
Qué aspectos tendrías en cuenta al comparar la eficiencia de los diferentes antivirus?
Indique algunos antivirus de escritorio y otros para vacunado en línea.