40056-evidencia Virus
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View 40056-evidencia Virus as PDF for free.
More details
- Words: 850
- Pages: 8
EVIDENCIA 11/08/08 Es necesario descargar de Internet 5 tipos diferentes de virus. Deshabilitar todos los antivirus de sistema 1. Contaminar el Win XP con el 1 virus 2. Apagar la maquina y reiniciar el sistema 3. aplicar su antivirus favorito 4. intentar remover el virus 5. Arrancar el so con el DOS y aplicar el antivirus Fpro DOS para verificar que definitivamente se removió el virus 6. Para contaminar el sistema con 2 virus es necesario bajar todas las particiones y volver a instalar las particiones y seguir los puntos arriba mencionados 7. Como evidencia se debe entregar lo siguiente 8. El nombre de los 5 virus descargados y su correspondiente ficha técnica 9. Procedimiento o forma como contaminamos el SO 10. Anomalías y efectos que a presentado después de contaminar el SO, debidamente detallados. 11. Procedimiento utilizado para descontaminar el SO y las conclusiones correspondiente de los daños ocurridos o secuelas dejado por el virus. 12. Y las correspondientes recomendaciones como técnicos del SENA •
Descargamos los diferentes tipos de virus
•
Deshabilitar el antivirus
•
Contaminar el sistema operativo ejecutando los virus, entre algunos programas vienen ocultos los virus.
•
Descomprimimos el archivo y este se ejecuta automáticamente.
•
Para que el virus tenga efecto reiniciamos nuestro equipo.
•
Aplicamos dos antivirus los cuales nos mostraban ventanas emergentes con la descripción del virus y su ruta de acceso, desde el mismo antivirus tratamos de removerlo.
NOD32
AVAST
•
En este paso eliminamos el virus.
•
Ahora arrancamos el equipo desde el DOS y aplicamos otro antivirus que funciona bajo esta plataforma, (F-PROT ANTIVIRUS).
Le configuramos la opción desinfectar
automáticamente.
Ponemos a escanear y este nos muestra los virus que ha encontrado y los elimina, después lo ponemos a escanear de nuevo y veremos que ya no encontrara los virus.
Si en el primer escaneo nos muestra que no ha encontrado virus esto se puede deber a la falta de actualización del antivirus •
Después de infectar el equipo pudimos notar un mal comportamiento en el: 1. Lentitud del equipo al abrir las aplicaciones del escritorio. 2. Se demora el proceso de reinicio. 3. Se vuelve muy lento.
4. 5. 6. 7.
No lo deja Reiniciar. Al darle reiniciar se apaga totalmente. El inicio del sistema operativo es demasiado lento. No deja retirar la memoria USB. FICHAS TECNICAS DE ALGUNOS VIRUS
BWME.GSD.1145 Es un virus inofensivo residente en la memoria. Engancha 21h INT e infecta los archivos EXE que se ejecutan o están abiertos. Fue creado con el motor Biological Warfare Mutation Engine - es un motor polimórfico, como los motores de MtE y de la TPE. Este virus se inscribe a sí mismo al final de los archivos. Contiene las secuencias de texto: [BWME] [BW] Glycogen Storage Disease BWME.Gangi.1130 Es un peligroso virus parásito residente de la memoria. Intercepta 21h INT y se escribe al final de los archivos EXE que se ejecutan. El virus tiene un error y puede paralizar el sistema. Éste fue creado con el motor Biological Warfare Mutation Engine - es un motor polimórfico, como los motores de MtE y de la TPE. Este virus se inscribe a sí mismo al final de los archivos EXE. Contiene las siguientes secuencias de texto: [BWME] [NCSA] Gangi is a dweeb BWME.Test.1287 Es un virus inofensivo residente en la memoria. Engancha 21h INT e infecta los archivos .COM y .EXE que son ejecutados o abiertos. Fue creado con el motor Biological Warfare Mutation Engine - él es un motor polimórfico, como los motores de MtE y de la TPE. Este virus se inscribe a sí mismo al final de los archivos. Contiene las siguientes secuencias de texto: [BWME] [BW] Test virus #1
Devices.2000 Es un virus inofensivo, parásito polimórfico residente en la memoria. Se escribe a sí mismo al principio del sistema y al final de los archivos EXE. Cuando se está ejecutando un archivo EXE infectado el virus abre el archivo C: \CONFIG.SYS, explora los nombres de los controladores de dispositivos, los infecta y vuelve al programa. Cuando infecta el archivo SYS el virus crea en forma temporal el archivo DEVICES.$$$, escribe su código en ese archivo, añade el código del archivo SYS, después elimina el archivo SYS (original) y renombra el archivo DEVICES.$$$ con el nombre SYS que ahora está infectado. Mientras se está cargando un archivo SYS infectado el virus se instala en la memoria del sistema como dispositivo controlador, conecta INT 1Ch, espera algún tiempo, entonces intercepta 21h INT y mientras tiene acceso al disco blando (floppy disks) busca e infecta los archivos EXE. El virus tiene la siguiente secuencia de texto: XMSXXXX0 :\devices.\ config.sistema *.exe Happy_II.506 Es un virus parásito inofensivo que no reside en la memoria. Busca archivos COM (excepto COMMAND.COM), luego se añade a sí mismo al final del archivo. El virus no se manifiesta de ninguna manera, contiene las siguientes cadenas: *.com COMMAND. HAPPY v1.03 (C) PROFESSOR,KPI Como evitar los virus o Tener un buen antivirus activado y actualizado en el computador. o Evitar bajar demasiadas cosas de Internet. o Estar escaneando el computador una ve a la semana.
Descargamos los diferentes tipos de virus
•
Deshabilitar el antivirus
•
Contaminar el sistema operativo ejecutando los virus, entre algunos programas vienen ocultos los virus.
•
Descomprimimos el archivo y este se ejecuta automáticamente.
•
Para que el virus tenga efecto reiniciamos nuestro equipo.
•
Aplicamos dos antivirus los cuales nos mostraban ventanas emergentes con la descripción del virus y su ruta de acceso, desde el mismo antivirus tratamos de removerlo.
NOD32
AVAST
•
En este paso eliminamos el virus.
•
Ahora arrancamos el equipo desde el DOS y aplicamos otro antivirus que funciona bajo esta plataforma, (F-PROT ANTIVIRUS).
Le configuramos la opción desinfectar
automáticamente.
Ponemos a escanear y este nos muestra los virus que ha encontrado y los elimina, después lo ponemos a escanear de nuevo y veremos que ya no encontrara los virus.
Si en el primer escaneo nos muestra que no ha encontrado virus esto se puede deber a la falta de actualización del antivirus •
Después de infectar el equipo pudimos notar un mal comportamiento en el: 1. Lentitud del equipo al abrir las aplicaciones del escritorio. 2. Se demora el proceso de reinicio. 3. Se vuelve muy lento.
4. 5. 6. 7.
No lo deja Reiniciar. Al darle reiniciar se apaga totalmente. El inicio del sistema operativo es demasiado lento. No deja retirar la memoria USB. FICHAS TECNICAS DE ALGUNOS VIRUS
BWME.GSD.1145 Es un virus inofensivo residente en la memoria. Engancha 21h INT e infecta los archivos EXE que se ejecutan o están abiertos. Fue creado con el motor Biological Warfare Mutation Engine - es un motor polimórfico, como los motores de MtE y de la TPE. Este virus se inscribe a sí mismo al final de los archivos. Contiene las secuencias de texto: [BWME] [BW] Glycogen Storage Disease BWME.Gangi.1130 Es un peligroso virus parásito residente de la memoria. Intercepta 21h INT y se escribe al final de los archivos EXE que se ejecutan. El virus tiene un error y puede paralizar el sistema. Éste fue creado con el motor Biological Warfare Mutation Engine - es un motor polimórfico, como los motores de MtE y de la TPE. Este virus se inscribe a sí mismo al final de los archivos EXE. Contiene las siguientes secuencias de texto: [BWME] [NCSA] Gangi is a dweeb BWME.Test.1287 Es un virus inofensivo residente en la memoria. Engancha 21h INT e infecta los archivos .COM y .EXE que son ejecutados o abiertos. Fue creado con el motor Biological Warfare Mutation Engine - él es un motor polimórfico, como los motores de MtE y de la TPE. Este virus se inscribe a sí mismo al final de los archivos. Contiene las siguientes secuencias de texto: [BWME] [BW] Test virus #1
Devices.2000 Es un virus inofensivo, parásito polimórfico residente en la memoria. Se escribe a sí mismo al principio del sistema y al final de los archivos EXE. Cuando se está ejecutando un archivo EXE infectado el virus abre el archivo C: \CONFIG.SYS, explora los nombres de los controladores de dispositivos, los infecta y vuelve al programa. Cuando infecta el archivo SYS el virus crea en forma temporal el archivo DEVICES.$$$, escribe su código en ese archivo, añade el código del archivo SYS, después elimina el archivo SYS (original) y renombra el archivo DEVICES.$$$ con el nombre SYS que ahora está infectado. Mientras se está cargando un archivo SYS infectado el virus se instala en la memoria del sistema como dispositivo controlador, conecta INT 1Ch, espera algún tiempo, entonces intercepta 21h INT y mientras tiene acceso al disco blando (floppy disks) busca e infecta los archivos EXE. El virus tiene la siguiente secuencia de texto: XMSXXXX0 :\devices.\ config.sistema *.exe Happy_II.506 Es un virus parásito inofensivo que no reside en la memoria. Busca archivos COM (excepto COMMAND.COM), luego se añade a sí mismo al final del archivo. El virus no se manifiesta de ninguna manera, contiene las siguientes cadenas: *.com COMMAND. HAPPY v1.03 (C) PROFESSOR,KPI Como evitar los virus o Tener un buen antivirus activado y actualizado en el computador. o Evitar bajar demasiadas cosas de Internet. o Estar escaneando el computador una ve a la semana.
