Curso
:
Computación
Tema
:
Virus Informático
Profesora
:
Mercedes Méndez Rojas
Nombre
:
Zavaleta Chichipe Joseph
Terrones Monzón Javier Grado
:
Sección
:
1. Introducción
3°
“B”
El presente trabajo tiene como objetivo mostrar como atacan los virus a las computadoras y como afectan a las empresas como se puede combatir y prevenir ante los virus con soluciones conocidas como son los antivirus. Debemos saber que los virus están en constante evolución como los virus que afectan a los humanos cada vez son mas fuertes y mas invulnerables a los ataques de los antivirus y afectan a empresarios de una manera muy grande, los creadores de dicho virus son los hackers ya que ellos manipulan donde deben atacar sus programas ya que estos son solo programas que atacan el sistema. Las computadoras presentan varios síntomas después de que son infectadas como que son lentas o manejan mensajes de burla hacia el usuario e inutiliza el sistema ya sea de una manera parcial o totalmente.
HISTORIA DEL LOS VIRUS Hasta los años 80, el término "virus" se empleaba solo dentro del campo de las ciencias médicas y biológicas para definir a microorganismos capaces de penetrar en el ser humano y destruir o alterar el contenido genético celular provocando cuadros patológicos específicos. Por similitudes en su modo de acción y efectos, en informática se bautizó como virus a ciertos programas que pueden auto reproducirse, "transmitirse" de una ordenador a otra, y desencadenar daños a la información contenida en ella (software) e incluso al mismo equipo (hardware). A continuación se mostrara lo orígenes de los virus y de que tiempo data. 1949: Se da el primer indicio de definición de virus. John Von Neumann (considerado el Julio Verne de la informática), expone su "Teoría y organización de un autómata complicado". Nadie podía sospechar de la repercusión de dicho artículo. 1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de núcleos de ferrita. Consistía en una batalla entre los códigos de dos programadores, en la que cada jugador desarrollaba un programa cuya misión era la de acaparar la máxima memoria posible mediante la reproducción de si mismo. 1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER...ATRAPAME SI PUEDES!". Ese mismo año es creado su antídoto: el antivirus Reaper cuya misión era buscar y destruir al Creeper. 1974: El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema. 1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de 23 años aunque según él fue un accidente. 1983: El juego Core Wars, con adeptos en el MIT, salio a la luz publica en un discurso de Ken Thompson. Dewdney explica los términos de este juego. Ese mismo año aparece el término virus tal como lo entendemos hoy. 1985: Dewdney intenta enmendar su error publicando otro artículo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores". 1987: Se da el primer caso de contagio masivo de computadoras a través del MacMag Virus también llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de
Aldus Corporation, se llevó el disco a Chicago y contaminó la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand. El virus contaminó el disco maestro que fue enviado a la empresa fabricante que comercializó su producto infectado por el virus. Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusalén. 1988: El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistan aparece en Estados Unidos.
VIRUS INFORMÁTICOS Definiciones hay muchas, así como preguntas sin respuesta, vamos a conocer alguna de las características de este agente:
○
Son programas de computadora.
○
Su principal cualidad es la de poder auto - rreplicarse.
○
Intentan ocultar su presencia hasta el momento de la explosión.
○
Producen efectos dañinos en el "huésped".
Las últimas tres son aplicables a los virus biológicos. Como el cuerpo humano, la computadora puede ser atacada por agentes infecciosos capaces de alterar su correcto funcionamiento o incluso provocar daños irreparables en ciertas ocasiones. Un virus es un agente peligroso que hay que manejar con sumo cuidado. Un virus informático es un programa de computadora, tal y como podría ser un procesador de textos, una hoja de cálculo o un juego; siendo todos estos típicos programas que casi todo el mundo tiene instalados en sus computadoras. El virus informático ocupa poco espacio en el disco de la computadora; tengamos presente que su tamaño es vital para poder pasar desapercibido y no ser detectado si no hasta después que todo este infectado, lo que pudiera general el borrado general del disco duro, de archivos, sin olvidar todo el daño que ha estado causando durante su estadía en nuestro computador; por que tiene por característica auto rreplicarse y ejecutarse sin conocimiento del usuario, lo que quiere decir que infecta a los archivos haciendo copias de si mismo. Se podría decir que los virus informáticos son una especie de burla tecnológica.
Clasificación de los virus La clasificación correcta de los virus siempre resulta variada según a quien se le pregunte. Podemos agruparlos por la entidad que parasitan (sectores de arranque o archivos ejecutables), por su grado de dispersión a nivel mundial, por su comportamiento, por su agresividad, por sus técnicas de ataque o por como se oculta, etc. Nuestra clasificación muestra como actúa cada uno de los diferentes tipos según su comportamiento. En algunos casos un virus puede incluirse en más de un tipo (un multipartito resulta ser sigiloso). Caballos de Troya Los caballos de troya no llegan a ser realmente virus porque no tienen la capacidad de autoreproducirse. Se esconden dentro del código de archivos ejecutables y no ejecutables pasando inadvertidos por los controles de muchos antivirus. Posee subrutinas que permitirán que se ejecute en el momento oportuno. Existen diferentes caballos de troya que se centrarán en distintos puntos de ataque. Su objetivo será el de robar las
contraseñas que el usuario tenga en sus archivos o las contraseñas para el acceso a redes, incluyendo a Internet. Después de que el virus obtenga la contraseña que deseaba, la enviará por correo electrónico a la dirección que tenga registrada como la de la persona que lo envió a realizar esa tarea. Hoy en día se usan estos métodos para el robo de contraseñas para el acceso a Internet de usuarios hogareños. Un caballo de troya que infecta la red de una empresa representa un gran riesgo para la seguridad, ya que está facilitando enormemente el acceso de los intrusos. Muchos caballos de troya utilizados para espionaje industrial están programados para autodestruirse una vez que cumplan el objetivo para el que fueron programados, destruyendo toda la evidencia. Camaleones Son una variedad de similar a los Caballos de Troya, pero actúan como otros programas comerciales, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales). Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos (rlogin, telnet) realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón. Virus polimorfos o mutantes Los virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus. Solo deja disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse. Una vez desencriptado el virus intentará alojarse en algún archivo de la computadora. En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el virus presente su característica de cambio de formas debe poseer algunas rutinas especiales. Si mantuviera siempre su estructura, esté encriptado o no, cualquier antivirus podría reconocer ese patrón. Para eso incluye un generador de códigos al que se conoce como engine o motor de mutación. Este engine utiliza un generador numérico aleatorio que, combinado con un algoritmo matemático, modifica la firma del virus. Gracias a este engine de mutación el virus podrá crear una rutina de desencripción que será diferente cada vez que se ejecute. Los métodos básicos de detección no pueden dar con este tipo de virus. Muchas veces para virus polimorfos particulares existen programas que se dedican especialmente a localizarlos y eliminarlos. Algunos softwares que se pueden baja gratuitamente de Internet se dedican solamente a erradicar los últimos virus que han aparecido y que también son los más peligrosos. No los fabrican empresas comerciales sino grupos de hackers que quieren protegerse de otros grupos opuestos. En este ambiente el presentar este tipo de soluciones es muchas veces una forma de demostrar quien es superior o quien domina mejor las técnicas de programación. Las últimas versiones de los programas antivirus ya cuentan con detectores de este tipo de virus. Virus sigiloso o stealth
El virus sigiloso posee un módulo de defensa bastante sofisticado. Este intentará permanecer oculto tapando todas las modificaciones que haga y observando cómo el sistema operativo trabaja con los archivos y con el sector de booteo. Subvirtiendo algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra la zona que infectada. Es difícil que un antivirus se de cuenta de estas modificaciones por lo que será imperativo que el virus se encuentre ejecutándose en memoria en el momento justo en que el antivirus corre. Los antivirus de hoy en día cuentan con la técnica de verificación de integridad para detectar los cambios realizados en las entidades ejecutables. El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector de arranque de los disquetes e intercepta cualquier operación de entrada / salida que se intente hacer a esa zona. Una vez hecho esto redirigía la operación a otra zona del disquete donde había copiado previamente el verdadero sector de booteo. Este tipo de virus también tiene la capacidad de engañar al sistema operativo. Un virus se adiciona a un archivo y en consecuencia, el tamaño de este aumenta. Está es una clara señal de que un virus lo infectó. La técnica stealth de ocultamiento de tamaño captura las interrupciones del sistema operativo que solicitan ver los atributos del archivo y, el virus le devuelve la información que poseía el archivo antes de ser infectado y no las reales. Algo similar pasa con la técnica stealth de lectura. Cuando el SO solicita leer una posición del archivo, el virus devuelve los valores que debería tener ahí y no los que tiene actualmente. Este tipo de virus es muy fácil de vencer. La mayoría de los programas antivirus estándar los detectan y eliminan. Virus lentos Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario hace ejecutar por el SO, simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan. Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original intacto. Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil. La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy launching. Se crean varios archivos .EXE y .COM cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su conocimiento. Retro-virus o Virus antivirus Un retro-virus intenta como método de defensa atacar directamente al programa antivirus incluido en la computadora. Para los programadores de virus esta no es una información difícil de obtener ya que pueden conseguir cualquier copia de antivirus que hay en el mercado. Con un poco de tiempo pueden descubrir cuáles son los puntos débiles del programa y buscar una buena forma de aprovecharse de ello.
Generalmente los retro-virus buscan el archivo de definición de virus y lo eliminan, imposibilitando al antivirus la identificación de sus enemigos. Suelen hacer lo mismo con el registro del comprobador de integridad. Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse o inician una rutina destructiva antes de que el antivirus logre encontrarlos. Algunos incluso modifican el entorno de tal manera que termina por afectar el funcionamiento del antivirus. Virus multipartitos Los virus multipartitos atacan a los sectores de arranque y a los ficheros ejecutables. Su nombre está dado porque infectan las computadoras de varias formas. No se limitan a infectar un tipo de archivo ni una zona de la unidad de disco rígido. Cuando se ejecuta una aplicación infectada con uno de estos virus, éste infecta el sector de arranque. La próxima vez que arranque la computadora, el virus atacará a cualquier programa que se ejecute. Virus voraces Estos virus alteran el contenido de los archivos de forma indiscriminada. Generalmente uno de estos virus sustituirá el programa ejecutable por su propio código. Son muy peligrosos porque se dedican a destruir completamente los datos que puedan encontrar. Bombas de tiempo Son virus convencionales y pueden tener una o más de las características de los demás tipos de virus pero la diferencia está dada por el trigger de su módulo de ataque que se disparará en una fecha determinada. No siempre pretenden crear un daño específico. Por lo general muestran mensajes en la pantalla en alguna fecha que representa un evento importante para el programador. El virus Michel Angelo sí causa un daño grande eliminando toda la información de la tabla de particiones el día 6 de marzo.
Características Dado que una característica de los virus es el consumo de recursos, los virus ocasionan problemas tales como: pérdida de productividad, cortes en los sistemas de información o daños a nivel de datos. Una de las características es la posibilidad que tienen de diseminarse por medio de replicas y copias. Las redes en la actualidad ayudan a dicha propagación cuando éstas no tienen la seguridad adecuada. Otros daños que los virus producen a los sistemas informáticos son la pérdida de información, horas de parada productiva, tiempo de reinstalación, etc. Hay que tener en cuenta que cada virus plantea una situación diferente. FUNCIONAMIENTO DEL VIRUS Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las histerias y los miedos infundados y al mismos tiempo ser consientes del daño real que puede causarnos. Para ello, lo mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente.
PROCESO DE INFECCIÓN.
El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último archivo descargado de Internet, etc. Dependiendo del tipo de virus el proceso de infección varía sensiblemente. Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario introduce el disco en la computadora (por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus desfasado) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un ejecutable. Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son leídas por el computadora y procesadas, pero también procesa otras instrucciones que no deberían estar ahí. El virus comprueba si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa a esta y puede que se quede residente en ella. A partir de ese momento todo programa que se ejecute será contaminado. El virus ejecutará todos los programas, pero después se copiará a sí mismo y se "pegará" al programa ejecutado "engordándolo" unos cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan esos bytes de más para que parezca que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de sistema, aquellos que están en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. Así, cuando el usuario vuelva a arrancar la computadora el virus se volverá a cargar en la memoria cuando se ejecuten los archivos de arranque del sistema contaminados y tomará otra vez el control del mismo, contaminando todos los archivos que se encuentre a su paso. Puede que el virus sea también de "Sector de arranque". En ese caso el código del virus se copiará en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobrescriba el sector original o que se quede una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si ell usuario arranca la computadora con un disquete "limpio" el virus no podrá cargarse en memoria y no tendrá el control. Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de arranque, etc.
LOS NUEVOS VIRUS DOWNLOAD.TROJAN ○
Caballo de Troya, afecta a NT y 2K.
○
Se conecta con los sitios Web y de FTP de su autor.
○
Trae desde allí troyanos, virus, gusanos y los componentes de éstos hacia la máquina infectada.
○
Cada vez que se trae archivos desde Internet, se auto ejecuta.
○
SOLUCIÓN: Borrado manual.
FAKE SERVER TROJAN
○
Afecta sólo archivos .exe.
○
SOLUCIÓN: Borrado manual.
HACK V1.12.TROJAN
○
Afecta sólo archivos .exe.
○
SOLUCIÓN: Borrado manual.
JS.EXITW.TROJAN ○
No afecta NT ni 2K.
○
Hace que Windows arranque y se cierre inmediatamente.
○
SOLUCIÓN: Borrado manual.
JS.FORTNIGHT ○
Afecta a NT y 2K. Híbrido de gusano/troyano.
○
Modifica la configuración del programa Outlook Express y envía un link al sitio del hacker, escondido en la firma del usuario.
○
Configura una página pornográfica como página de inicio del Internet Explorer.
○
SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.
JS.FORTNIGHT.B
○
Igual al anterior. Además, redirecciona toda URL a la URL que el hacker desea y inhabilita la solapa "Seguridad" del Internet Explorer.
○
SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.
JS.FORTNIGHT.C ○
Igual a los anteriores, pero no inhabilita la solapa del IE5.
○
SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.
MMC.EXE ○
Es el Caballo de Troya del W32.Nimda.A@mm (ver).
○
SOLUCIÓN: Borrado manual.
MSBLAST.EXE
○
Es el Caballo de Troya del W32.Blaster. Worm (ver).
○
SOLUCIÓN: Borrado manual.
NETBUS.170.W95.TROJAN ○
Muy peligroso. Afecta NT y 2K.
○
Troyano backdoor. Le da a su creador acceso y permisos FULL CONTROL para atacar el equipo infectado. Estas capacidades incluyen enviar archivos del usuario al sitio del hacker, ejecutar aplicaciones, robar documentos y borrar archivos en forma remota.
○
SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.
NETBUS.2.TROJAN
○
Este troyano es la aplicación cliente de la herramienta de hackeo Netbus 2.0. Se conecta desde un sistema remoto y gana control de acceso sobre la máquina infectada.
○
SOLUCIÓN: Borrado manual.
PRETTYPARK.WORM ○
Conocido gusano de red.
○
Es parecido al Happy99. Dispara un troyano (prettypark.exe) que a veces hace correr el salvapantallas de las cañerías.
○
Se conecta solo a un servidor IRC, a un canal específico y monitorea para recibir los comandos que el dueño le manda desde ese canal.
○
Le entrega al hacker las claves de discado para conexión de la víctima, toda la información del sistema y la configuración del ICQ.
○
A su vez, el hacker (siempre vía IRC) tiene acceso a recibir, crear, borrar y ejecutar cualquier archivo.
○
SOLUCIÓN: Ejecutar el reparador. Luego, corregir a mano la registry, si se encuentran daños en ella.
TROJAN.ADCLICKER ○
Funciona en NT y 2K.
○
La función de este troyano es que la máquina de la víctima haga clic permanentemente en las publicidades de las páginas web de las que es dueño su programador.
○
SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry
TROJAN.DOWNLOAD.CHECKIN
○
Este Caballo de Troya es, aparentemente, parte de una aplicación de adware.
○
Se conecta a varios sitios e IPs diferentes y chequea si hay nuevas versiones de sí mismo. Si la respuesta es afirmativa, las baja en la máquina infectada y las ejecuta. Como no hace chequeo de CRC ni integridad antes de ejecutar, si el troyano bajó corrupto los resultados son imprevisibles.
○
SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.
VBS.HAPTIME.A@MM ○
Gusano de red, de peligrosidad Grado 3.
○
Infecta los archivos .htm, .html, .vbs, .asp y .htt.
○
Se dispersa bajo la forma de objetos MAPI adjuntos. Además, en todos los mensajes salientes se adjunta el virus como Material de Papelería de Outlook Express.
○
Utiliza una vulnerabilidad de Microsoft Outlook Express para poderse autoejecutar sin necesidad de correr ningún adjunto.
○
SOLUCIÓN: Ejecutar el reparador. A continuación, instalar en todos los equipos el parche de seguridad para el Outlook Express. Este parche no desinfectará las máquinas víctimas, pero sí impedirá que una máquina limpia ejecute el troyano en forma automática. Verificar la registry, comparando sus valores.
Formas de Prevención y Eliminación del Virus •
Copias de seguridad:
Realice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y protegido de campos magnéticos, calor, polvo y personas no autorizadas. •
Copias de programas originales: No instale los programas desde los disquetes originales. Haga copia de los discos y utilícelos para realizar las instalaciones.
•
No acepte copias de origen dudoso: Evite utilizar copias de origen dudoso, la mayoría de las infecciones provocadas por virus se deben a discos de origen desconocido.
•
Utilice contraseñas: Ponga una clave de acceso a su computadora para que sólo usted pueda acceder a ella.
•
Anti-virus: Tenga siempre instalado un anti-virus en su computadora, como medida general analice todos los discos que desee instalar. Si detecta algún virus elimine la instalación lo antes posible.
•
Actualice periódicamente su anti-virus: Un anti-virus que no está actualizado puede ser completamente inútil. Todos los anti-virus existentes en el mercado permanecen residentes en la computadora pata controlar todas las operaciones de ejecución y transferencia de ficheros analizando cada fichero para determinar si tiene virus, mientras el usuario realiza otras tareas.
Efectos de los Virus en las Computadoras Cualquier virus es perjudicial para un sistema. Como mínimo produce una reducción de la velocidad de proceso al ocupar parte de la memoria principal. Estos efectos se pueden diferenciar en destructivos y no destructivos. Efectos no destructivos: ○
Emisión de mensajes en pantalla: Es uno de los efectos más habituales de los virus. Simplemente causan la aparición de pequeños mensajes en la pantalla del sistema, en ocasiones se trata de mensajes humorísticos, de Copyright, etc. Ejemplo: Soupy: "Get ready.." cause THERE´S A VIRUS IN YOUR SOUP! Casino: "DISK MALTA".
○
DESTROYER.
A
SOUVENIR
FROM
Borrado a cambio de la pantalla: También es muy frecuente la visualización en pantalla de algún efecto generalmente para llamar la atención del usuario. Los efectos usualmente se producen en modo texto. En ocasiones la imagen se acompaña de efectos de sonido. Ejemplo:
Ambulance: Aparece una ambulancia moviéndose por la parte inferior de la pantalla al tiempo que suena una sirena. Walker: Aparece un muñeco caminando de un lado a otro de la pantalla. Efectos destructivos: ○
Desaparición de ficheros: Ciertos virus borran generalmente ficheros con extensión exe y com, por ejemplo una variante del Jerusalem-B se dedica a borrar todos los ficheros que se ejecutan.
○
Formateo de discos duros: El efecto más destructivo de todos es el formateo del disco duro. Generalmente el formateo se realiza sobre los primeros sectores del disco duro que es donde se encuentra la información relativa a todo el resto del disco.
CONCLUSIONES Un virus es un programa pensado para poder reproducirse y replicarse por sí mismo, introduciéndose en otros programas ejecutables o en zonas reservadas del disco o la memoria. Sus efectos pueden no ser nocivos, pero en muchos casos hacen un daño importante en el ordenador donde actúan. Pueden permanecer inactivos sin causar daños tales como el formateo de los discos, la destrucción de ficheros, etc. Tener siempre a mano un disco de arranque limpio. Este disco de arranque se crea formateando un disquete con FORMAT/S de forma que se incluyen ficheros de arranque IO.SYS, MSDOS.SYS y COMMAND.COM. Este disco permitirá arrancar el ordenador. Algunas de las tácticas para combatirlos son: •
Hacer regularmente copias de seguridad
•
Realizar periódicamente una defragmentación del disco.
•
Utilizar las opciones anti-virus de la BIOS del ordenador.
•
Utilizar software legalmente
•
Utilizar un anti-virus
•
Tener una lista con la configuración del equipo, es decir, los parámetros de todas las tarjetas, discos y otros dispositivos.
Los temas de protección de los sistemas operativos son preocupantes por los siguientes motivos: El más evidente es la necesidad de prevenir la violación intencionada y maliciosa de una restricción de acceso, por parte de un usuario del sistema. Sin embargo, es de importancia más general la necesidad de asegurar que cada componente de un programa únicamente utiliza los recursos del mismo según los criterios que establezca el sistema operativo. Para construir un sistema de protección se tiene que definir; por un lado, la estrategia de protección (de qué fallos hay que proteger al sistema) y por otro, los mecanismos de protección (cómo hacer que se consiga la protección definida por la estrategia).
Pasos para eliminar macro-virus son los siguientes:
1. 2. Activar la protección antivirus si está desactivada. • •
Abrir el Word directamente, sin ningún documento.
•
•
Ir al menú Herramientas, y elegir Opciones....
• •
En la pestaña General, activar la casilla donde dice Protección antivirus en macro. 1. 2. Abrir el documento infectado teniendo en cuenta que, cuando se presente la ventana de Advertencia, se debe elegir la opción Abrir sin Macros para no infectarse. 3.
4. Una vez abierto el documento, elegir, dentro del menú Herramientas, la opción Macro y dentro de ella, la que dice Editor de Visual Basic, o directamente, presionar la combinación de teclas ALT+F11. Donde, en la parte izquierda de la pantalla, se podrá observar un cuadro que dice "Proyecto - ..." y el nombre del archivo abierto, en este caso Normal. 5.
6. Se debe desplegar cada uno de los ítems de ese cuadro para ver el código de las macros. Al hacer doble click sobre algunos de estos elementos, se abrirá una nueva ventana con código. 7.
8. Se debe marcar el texto que aparece en la nueva ventana, y eliminarlo como se haría con cualquier texto. Al hacer esto, se estarán eliminando las macros que contiene el documento, lo que eliminará completamente el Macrovirus.
BIBLIOGRAFÍA
•
Enciclopedia Aula Siglo XXI. (2001). Curso de Orientación Escolar. Gráficas Reunidas S.A. España
•
Enciclopedia Británica Balsa 2001.
•
Enciclopedia Encarta 2001. Microsoft Elsevier.
OBJETIVOS
En el desarrollo del Trabajo, se trazó como objetivo fundamental, mediante la búsqueda de información en diferentes fuentes, recopilar múltiples criterios dados por expertos en el tema sobre LOS VIRUS INFORMATICOS, CABALLOS DE TROYA y GUSANOS INFORMATICOS, y con esto dar repuestas a diferentes interrogantes que pueden surgir. Así como mostrar el estado actual de los virus y programas malignos en nuestro país e internacionalmente, con cifras reportadas hasta la actualidad, apreciándose además una reseña sobre su primera aparición y evolución. También se enfatiza en su definición, propagación, daños que ocasionan, métodos para prevenirlos y principales antivirus para su erradicación. Aspiramos que este trabajo quede como material de consulta para todos aquellos interesados en adentrarse en el mundo de los "virus informáticos ", y ayude a fomentar en las personas la necesidad de tomar todas las medidas de protección para evitar ser dañados por estos molestos pero interesantes "intrusos". Capítulo I: Virus Informáticos. 1.1-¿Qué es un virus? Es necesario definir y conocer al enemigo, a menudo se suele utilizar el término virus para designar diferentes tipos de comportamientos maliciosos que se transmiten por Internet. Todos los días surgen nuevos virus, que pueden llegar a propagarse en los ordenadores de todo el mundo en cuestión de segundos, o pueden quedar en un intento fracasado de protagonismo por parte de sus creadores. En cualquier caso se trata de una amenaza de la que ningún ordenador esta libre. [ALF04] Un virus es un programa o secuencia de instrucciones que un ordenador es capaz de interpretar y ejecutar. Con relación a este concepto el Ingeniero Edgar Guadis Salazar¹ añade que "es aplicable para cualquier programa maligno". Aunque todo virus ha de ser programado y realizado por expertos informáticos, argumenta también el Ingeniero que: "No necesariamente, en INTERNET hay herramientas que permiten generar virus de una manera sumamente sencilla, solo pulsando unos botones, como haces al calcular algo con la calculadora" [GAB00, GUADIS*] Incluso cualquiera que vea el código fuente de un P.M escrito en lenguaje Visual Basic Script puede hacer una variación sencilla y generar una variante, sin tener grandes conocimientos del lenguaje, es casi nemotécnico y puedes encontrar ayuda fácil en INTERNET. En esta red hay muchos códigos fuentes de virus, el trabajo mayor lo pasa el creador original, el resto realmente tiene que hacer muy poco para generar una variante. Su misión principal es introducirse, lo más discretamente posible en un sistema informático y permanecer en un estado de latencia hasta que se cumple la condición necesaria para activarse. [GAB00] Las posibles vías de transmisión de los virus son: los discos, el cable de una red y el cable telefónico. Normalmente encontramos en estas características especiales y comunes en todos ellos: son muy pequeños, casi nunca incluyen el nombre del autor, ni el registro, ni la fecha. Se reproducen a si mismos y controlan y cambian otros programas. Al problema no se le tomo importancia
hasta que llego a compañías grandes y de gobierno entonces se le busco solución al problema. [VIL04] Decimos que es un programa parásito porque el programa ataca a los archivos o sector es de "booteo" y se replica a sí mismo para continuar su esparcimiento. [ MAN97 ] Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los primeros son agentes externos que invaden células para alterar su información genética y reproducirse, los segundos son programas-rutinas, en un sentido más estricto, capaces de infectar archivos de computadoras, reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando la información existente en la memoria o alguno de los dispositivos de almacenamiento del ordenador. [ MAN97 ] Tienen diferentes finalidades: Algunos sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE. [ MAN97 ] Es importante destacar que "el potencial de daño de un virus informático no depende de su complejidad sino del entorno donde actúa". Marcelo Manson² En cuanto a este criterio, plantea el compañero Guadis: "Hay que tener mucho cuidado con las definiciones. Un virus es solo un tipo particular de programa maligno, pero todos tiene que hablar de una manera u otra de la replica o infección, pues por eso se llaman virus" [GUADIS*] La definición más simple y completa que hay de los virus corresponde al modelo D. A. S., y se fundamenta en tres características, que se refuerzan y dependen mutuamente. Según ella, un virus es un programa que cumple las siguientes pautas: [ MAN97 ] •
Es dañino
•
Es autor reproductor
•
Es subrepticio
El hecho de que la definición imponga que los virus son programas no admite ningún tipo de observación; está extremadamente claro que son programas, realizados por personas. Además de ser programas tienen el fin ineludible de causar daño en cualquiera de sus formas. [MAN97] ¹ Edgar Guadis Salazar: Ingeniero Informático, Especialista del Instituto de Seguridad Informática (SEGURMATICA), ubicado en el Municipio Centro Habana. Ciudad de la Habana. Cuba ² Licenciado Marcelo Manson: Extraído de un artículo publicado en 1997 en Monografías.Com Asimismo, se pueden distinguir tres módulos principales de un virus informático: [ MAN97 ] •
Módulo de Reproducción
•
Módulo de Ataque
•
Módulo de Defensa
El módulo de reproducción se encarga de manejar las rutinas de "parasitación" de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a través de algunos de estos archivos. [ MAN97 ] El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de producir los daños que se detallarán más adelante, tiene un módulo de ataque que se activa cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable. [ MAN97 ] El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la remoción del virus y retardar, en todo lo posible, su detección. [ MAN97 ] 1.2- Surgimiento y evolución de los virus. En 1949, el matemático estadounidense de origen húngaro John Von Neumann, en el Instituto de Estudios Avanzados de Princenton (nueva Jersey), planteo la posibilidad teórica de que un programa informático se reprodujera poniéndose en evidencia en su ensaño titulado "Theory and Organization of Complicated Automata" (Teoría y Organización de un Autómata Complejo). [VIL04] Esta teoría se comprobó experimentalmente en la década de 1950 en los Laboratorios Bell, donde se desarrollo un juego llamado Core Wars que los jugadores creaban minúsculos programas informáticos que atacaban y borraban el sistema del oponente e intentaban propagarse a través de el. En 1970 John Soch y John Up elaboraron, en el Palo Alto Research Center (PARC) de Seros, programas que se auto reproducían y que servia para controlar la salud de las redes informáticas. Uno de ellos se llamo "El gusano vampiro" porque se escondía en la red y se activaba por las noches. El nombre fue tomado de una novela de ficción llamada "The Shockwave Rider" y en la cual un programa llamado gusano o "tenia" se reproducía hasta el infinito y no podía ser eliminado. [VIL04] En 1983, Ken Thompson da a conocer las "Guerras del Núcleo" y anima a la experimentación con esas pequeñas "criaturas lógicas". La revista Scientific American dio difusión a las "Guerras del núcleo", lo que provocó que muchos de sus lectores experimentaran con ellas, con lo que aparecieron los primeros virus experimentales. En 1983 el ingeniero eléctrico estadounidense Fred Cohen, que entonces era un estudiante universitario, acuño el termino de "virus" para describir un programa informático que se reproducía a si mismo. De hecho esta historia se remonta al 3 de noviembre de 1983, que fue cuando el primer virus fue concebido como un experimento para ser presentado en un seminario semanal de Seguridad Informática. El concepto fue introducido por el propio Cohen y el nombre virus fue dado por Len Adleman. Tuvieron que pasar 8 horas de trabajo en una Vax 11/750 hasta el 10 de noviembre de ese año, en que después de obtener las autorizaciones necesarias y concluir cinco experimentos el virus fue mostrado. [VIL04]
En el año 1985 aparecen los primeros virus de MS-DOScomo los clásicos "Brain" y "Pin-Pon". Su propagación en aquellos tiempos era lenta, e disco a disco, cuando las mayorías de las maquinas de entonces ni siquiera contaban con disco duro. Los discos se los pasaban unos amigos a atroz para intercambiarse programas y la capacidad de expansión de los virus eran limitadas. [VIL04] En este mismo año aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de gráficos llamados EGABTR y un juego llamado NUKE-LA. Pronto le siguió un sin números de virus cada vez mas complejos. [VIL04] En 1986 apareció el virus llamado "Brain" nació en Pakistan, de la mano de dos desarrolladores llamados Basit y Amjads, que crearon u programa llamado Ashar, no dañino, que mas tarde evoluciono en el Brain, virus que infectan los antiguos discos de 5,25 pulgadas. Este virus sobrescribía el sector de arranque y desplazaba el sector de arranque original a otra posición del disco. Aunque el virus apenas provocaba daños llamaba la atención su capacidad de ocultación ya que era el primer programa que utilizaba la técnica invisible haciendo que el disco tuviera una apariencia normal. Por esta razón, el virus no fue descubierto has un año después, en 1987. [VIL04] El 2 de noviembre de 1988 Internet, entonces aún llamada ARPAnet, sufrió un grave ataque que provocó que toda la red se colapsara a causa de un gusano que se comía la memoria de todos los ordenadores conectados a la red y ralentizaba su funcionamiento. En tres horas, un gusano se hizo conocer por prácticamente todos los administradores de sistemas de Estados Unidos. En pocas horas se descubría que las copias del gusano llegaban y se difundían a través del correo electrónico, pero el gusano ya había infectado los ordenadores de un gran número de universidades y de importantes instituciones científicas como la NASA, el laboratorio de Inteligencia Artificial del MIT (Massachusetts Institute of Technology), la red del Departamento de Defensa norteamericano (MILNET), etc. [@1] Toda la red Internet estaba afectada, y las soluciones tardarían varios días en llegar. El coste de la erradicación del gusano ascendió a un millón de dólares, unidos a los daños provocados por el colapso de la red. Se descubrió que el gusano afectaba a gestores de correo electrónico Sendmail, programa que a causa de un error permitía que el gusano fuera enviado junto con los propios mensajes de ordenador a ordenador. También se supo que el gusano no provocaba daño alguno a los datos. [@2] Los técnicos de Berkeley crearon un parche para el error del Sendmail que solucionó finalmente la infección. Finalmente se detuvo al autor, Robert Morris Jr., un graduado de Harvard de 23 años que reconoció su error y lo calificó de "fallo catastrófico", ya que su idea no era hacer que los ordenadores se ralentizaran. Curiosamente, Morris era hijo de Robert Morris, uno de los tres programadores de las "guerras del núcleo" sobre las que ya hemos hablado. De hecho, Morris Jr. utilizó parte del código utilizado por su padre en las "guerras del núcleo" muchos años atrás. El 13 de enero de 1989, viernes, se produjo la primera infección de una importante institución, lo que produjo que la prensa convirtiera los avisos de las casas antivirus en un auténtico acontecimiento. [@3]
-1989 aparece el primer antivirus heurístico, y los primeros virus con nuevas técnicas de ocultamiento. En 1989 apareció el primer antivirus heurístico, capaz de detectar, no sólo los virus que ya eran conocidos, sino aquellos virus que surgieran en el futuro y que reprodujesen patrones sospechosos. La heurística monitoriza la actividad del ordenador hasta el momento en que encuentra algo que puede ser identificado con un virus. Frente a esta innovación surgieron virus con nuevas formas de ocultación, como el full stealth y surgieron nuevas técnicas para acelerar la velocidad de las infecciones. Esto se logró haciendo que los virus atacasen los archivos que fueran abiertos y no sólo aquellos que se ejecutaban. Un ejemplo de esta época son Antictne, alias Telefónica, el primer virus español que se extendió por todo el mundo, ó 4096, alias FRODO, el primer virus en usar el efecto tunneling, una técnica utilizada posteriormente por los propios antivirus para sistemas anti-stealth. En el ámbito técnico, fue todo un fenómeno entre los expertos en virus. [@3] 1990 Virus de infección rápida provenientes de Bulgaria: el virus Dark Avenger. En 1990 apareció gran cantidad de virus provenientes de Bulgaria. El máximo representante de esa nueva ola fue Dark Avenger, uno de los más famosos autores de virus, que introdujo los conceptos de infección rápida (el virus se oculta en la memoria e infecta, no sólo los archivos ejecutados, sino también los leídos, extendiendo la infección a gran velocidad), y daño sutil (por ejemplo, el virus 1800 sobreescribía ocasionalmente un sector del disco inutilizando la información, algo que el usuario no es capaz de detectar fácilmente hasta algún tiempo después). Además, Dark Avenger utilizaba las BBS para infectar los programas antivirus shareware facilitando la rápida extensión de sus virus. [@2] 1991 Aparecen los primeros paquetes para la construcción de virus En 1991 surgieron los primeros paquetes para construcción de virus, lo que no hizo sino facilitar la creación de virus y aumentar su número a mayor velocidad. El primero fue el VCL (Virus Creation Laboratory), creado por Nowhere Man, y más tarde apareció el Phalcon/Skism Mass-Produced Code Generator, de Dark Angel. Estos paquetes facilitaban la tarea de crear un virus a cualquier usuario de ordenador medianamente experimentado, así que en unos pocos meses surgieron docenas de virus creados de esta forma. A mediados de la década de los noventa se produjeron enormes cambios en el mundo de la informática personal que llegan hasta nuestros días y que dispararon el número de virus en circulación hasta límites insospechados. Si a finales de 1994 el número de virus, según la Asociación de Seguridad Informática (ICSA), rondaba los cuatro mil, en los siguientes cinco años esa cifra se multiplicó por diez, y promete seguir aumentando. La razón principal de este desmesurado crecimiento es el auge de Internet, que en 1994 ya comenzaba a popularizarse en Estados Unidos y un par de años más tarde empezaría a generalizarse en el resto del mundo. Para principios del nuevo milenio, la cifra de personas que se conectan habitualmente a la red se estima en trescientos millones. Por lo tanto, las posibilidades de creación y de expansión de los virus se han desarrollado hasta límites inimaginables hace tan solo unos años. En primer lugar, porque los creadores de virus tienen a su disposición toda la información y las
herramientas que necesitan para llevar a cabo sus creaciones. También pueden entrar en contacto con otros programadores. Finalmente, pueden hacer uso de toda una serie de herramientas cuando desean dar a conocer sus criaturas a un mercado potencial de varios cientos de millones de usuarios. El correo electrónico es probablemente el medio "estrella" de difusión de virus, aunque hay otras muchas vías mediante las cuales un ordenador puede llegar a infectarse por medio de la red. Los grupos de noticias son un medio que se suele utilizar habitualmente por la facilidad que supone enviar un mensaje con un fichero adjunto infectado a un grupo leído por cientos de miles, tal vez millones de personas. La infección está garantizada. [@4] 1995 El nacimiento de los virus de Macro: el virus Concept. Microsoft Windows 95 trajo toda una serie de novedades al mundo de los virus. En primer lugar, los virus de sector de arranque dejaron de tener efectividad con el nuevo sistema operativo. Sin embargo, Windows 95 y el paquete ofimático Office 4.2 (también de Microsoft) propiciaron el nacimiento de los virus de macro, virus que hacen uso del lenguaje de comandos de los programas del paquete ofimático para configurar nuevos virus. Los virus de macro, se han extendido muy fácilmente porque los archivos que los incluyen son, en apariencia, archivos de datos (que, en teoría, no era posible infectar), aunque incluyen las secuencias de comandos de macro que los convierten en otra amenaza más para nuestro ordenador. En 1995 apareció el primer virus "salvaje", llamado Concept. El virus contiene 5 macros y afecta a aquellos archivos que son archivados con el comando "Guardar como...". De este virus existen numerosas variantes y además fue convertido al formato de Word 97 por lo que su difusión ha sido imparable y aún hoy es causa de numerosas infecciones. Hoy día los virus de macro son los más peligrosos y extendidos, y gracias a Internet han cobrado mayor relevancia si cabe. Hoy día, un 64 % de los desastres informáticos están causados por virus de macro, lo que les convierte en la mayor amenaza contra la seguridad informática del mundo. [@4] 1997 Aparece el virus Lady Di En 1997 apareció un nuevo virus de macro sin características especiales ni efectos dañinos destacables, pero que tuvo una amplia repercusión en la prensa, debido a que tiene el anecdótico interés de haber sido escrito en memoria de la princesa Diana Spencer, fallecida el 31 de agosto de 1997 en accidente de tráfico en pleno centro de París. El efecto del virus es la reproducción en pantalla, el día 31 de cada mes, de la letra de la canción Candle In The Wind, escrita por Elton John originalmente en memoria de Marilyn Monroe, pero que fue reescrita especialmente para el funeral de la princesa en la abadía de Westmister de Londres.