Apellidos: Leitón valiente
Nombre: María Esther
I.E: “Mariano santos mateo”
Profesora: Mercedes Méndez rojas
Grado y sección: 3º “C”
Dedicatoria El presente trabajo está dedicado a uno de mis parientes más cercanos como lo es mi abuelo, la persona que me enseño en placer de leer, a la cual le encantaba aprender algo mas y
así tener más conocimiento sobre algún tema
Agradecimiento Agradezco principalmente a dios por la iluminación para hacer un buen trabajo y poder presentarlo de manera que sirva de mucha ayuda, agradezco también a las personas que leyeron mi trabajo y pudieron valerse de él para.
Presentación La alumna del tercer año c tiene el agrado de presentar el trabajo de investigación titulado “virus informático” con la finalidad de dar a conocer un poco más a las personas sobre virus, para que los demás puedan saber sobre este mal que amenaza a los sistemas informativos de manera que ellas puedan saber cómo actuar frente a este.
Índice •
•
• • • • •
• •
•
• •
• • • • •
Introducción ---------------------------------------------------------- 06 Virus informático ---------------------------------------------------- 07 – ¿Qué es un virus informático? ----------------------------- 07 – ¿Cómo funcionan? ------------------------------------------- 07 – ¿Cómo surge un virus? -------------------------------------- 09 – ¿Por qué se hace un virus? ---------------------------------- 10 – ¿cómo se propaga? ------------------------------------------ 10 Ciclo de vida de un Virus ------------------------------------------- 11 Historia del virus informativo -------------------------------------- 12 cronología ------------------------------------------------------------ 13 Características de un virus informativo -------------------------- 14 Virus informáticos y los Sistemas Operativos ------------------- 15 Los virus informáticos, electrónicos o computacionales ------- 16 Clasificación de un virus informático --------------------------- 17 Funcionamiento --------------------------------------------------- 19 – Proceso de infección ----------------------------------------- 19 – Técnicas de propagación ------------------------------------ 20 Consecuencias -------------------------------------------------------- 23 Métodos de protección y tipos ------------------------------------- 24 – "la mejor manera de defensa s un buen ataque y la primera – línea de ataque es la del conocimiento” Tipos de virus e imitaciones ----------------------------------------- 27 Acciones del virus ---------------------------------------------------- 27 Conclusiones ----------------------------------------------------------- 28 Bibliografía ------------------------------------------------------------ 29 Anexos ------------------------------------------------------------------ 30
INTRODUCCION Un virus informático es un pedazo o secuencia de código ejecutable que se caracteriza por ser capaz de clonarse a sí mismo. Al igual que sus homólogos biológicos, los virus informáticos se propagan a gran velocidad, por lo que a menudo resultan muy difíciles de erradicar. Se "acoplan" prácticamente a cualquier tipo de archivo, quedando ocultos en su interior y difundiéndose cuando esos ficheros se copian para enviarse de una persona a otra. Algunos virus informáticos contienen una rutina que hace que se activen y causen algún tipo de daño. Ese daño puede consistir en meras molestia, como que aparezcan en la pantalla imágenes o mensajes, hasta llegar incluso al borrado de archivos, el reformateado del disco duro u otro tipo de daños. Los virus que no contienen rutinas de ataque causan igualmente problemas al modificar el tamaño de los archivos, haciendo que ocupen más espacio y ocupando memoria o ralentizando en general el funcionamiento del ordenador. Cada vez se dan más ataques víricos, más frecuentes y de consecuencias más graves. Debido a la rápida aparición de gran número de redes internas y conexiones de red en las empresas en los últimos tiempos, vinculadas sobre todo a internet e intranets, éstos se ha incrementado espectacularmente. Cuantos más ficheros se envíen entre sí los usuarios, tanto mayor será el riesgo de que un virus les infecte. Además del aumento de la cantidad de virus capaces de penetrar en la red de una empresa, el crecimiento de la tasa de incidencias se debe al surgimiento de nuevos tipos de virus, como los virus de macro y los de PE, que se extienden a gran velocidad en los documentos que viajan de unos usuarios a otros u ocultos en archivos adjuntos o en mensajes de correo.
Virus informático ¿Qué es un virus informático? ¿Cómo funcionan? Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos. Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos por que no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil. El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al del programa infectado y se graba en disco, con lo cual el proceso de replicado se completa. Los virus informáticos son pequeños programas de software diseñados para propagarse de un equipo a otro y para interferir en el funcionamiento del equipo. Un virus puede dañar o eliminar datos del equipo, usar el programa de correo electrónico para propagarse a otros equipos o incluso borrar todo el contenido del disco duro.
Los virus se propagan más fácilmente mediante datos adjuntos incluidos en mensajes de correo electrónico o de mensajería instantánea. Por este motivo es fundamental no abrir nunca los datos adjuntos de correo electrónico a menos que sepa de quién proceden y los esté esperando. Los virus se pueden disfrazar como datos adjuntos de imágenes divertidas, tarjetas de felicitación o archivos de audio y video. Los virus también se propagan como descargas en Internet. Se pueden ocultar en software ilícito u otros archivos o programas que puede descargar.
Para prevenirse contra los virus, es fundamental que mantenga el equipo actualizado con las actualizaciones y herramientas antivirus más recientes, que esté informado acerca de las últimas amenazas y que siga unas reglas básicas cuando explore la Web, descargue archivos o abra archivos adjuntos. Si un virus infecta su equipo, el tipo al que pertenece y el método usado para adquirir acceso al equipo no son cuestiones tan importantes como su rápida eliminación y la interrupción de su propagación.
¿Cómo surge un virus? Los virus tienen un ciclo de vida muy concreto: * * * *
Programación y desarrollo Expansión Actuación Extinción o mutación)
Virii: Con este término se hace referencia al estudio y desarrollo de virus informáticos. Tras esta palabra se esconde toda una filosofía informática. En Internet podemos encontrar cientos de páginas que tratan el tema, y tras ellas importantes desarrolladores de virus, en algunos casos organizados en grupos con nombres como 29A, La Vieja Guardia
En la cabecera de algunas de estas páginas podemos encontrar un mensaje como "Los autores no se responsabilizan del contenido de estas páginas"... o " solo con fines educativos"... pero cuando damos una vuelta por ellas podemos encontrar código destructivo de lo más variado, incluso ponen a disposición de incautos programas ejecutables infectados. También podemos encontrar herramientas de generación de virus tales como el Virus Creation Lab, Trojan Horse, ... Estos grupos se mueven a sus anchas por Internet, participando en los grupos de noticias ( ej.: es.comp.virus ) y en los canales de IRC. Las páginas de "La Vieja Guardia" son un ejemplo de las muchas relacionadas con el Underground, un tema que está gozando de un gran auge en Internet. Es justo reconocer que estos grupos hacen casi más que nadie en la lucha contra los virus informáticos, aunque esto pueda parecer una contradicción. Ciertamente podemos hacer distinciones entre desarrolladores de virus. En su inmensa mayoría son personas que intentan superarse a sí mismas creando virus cada vez más complicados, pero cuando alguien necesita ayuda para desinfectar ese virus puede encontrarse con que el propio programador le responda en algún grupo de noticias diciéndole lo que tiene que hacer o que antivirus le recomienda. ( Ciertamente hacen un doble juego ).
Normalmente el buen desarrollador de virus maneja con gran perfección el lenguaje ensamblador, aunque un virus puede desarrollarse también en lenguajes de alto nivel. Se pueden encontrar incluso aplicaciones destinadas a usuarios con pocos conocimientos de programación para la creación de virus tales como el Virus Construction Lab, Nowhere Utilities, Vc2000, nada que ver con el Turbo Assembler. "Peligro Biológico": Los trabajadores de hospitales, laboratorios e industrias farmacológicas saben muy bien lo que significa la "flor de biopeligrosidad"... la gente que trabaja con computadoras no sabe en la mayoría de las ocasiones lo que implica el término "Virus Informático". ¿Por qué se hace un virus? La gran mayoría de los creadores de virus lo ven como un hobby, aunque también otros usan los virus como un medio de propaganda o difusión de sus quejas o ideas radicales, como por ejemplo el virus Telefónica, que emitía un mensaje de protesta contra las tarifas de esta compañía a la vez que reclamaba un mejor servicio, o el famosísimo Silvia que sacaba por pantalla la dirección de una chica que al parecer no tuvo una buena relación con el programador del virus. En otras ocasiones es el orgullo, o la competitividad entre los programadores de virus lo que les lleva a desarrollar virus cada vez más destructivos y difíciles de controlar. Pero que afortunadamente se están desarrollando mejores antivirus.
¿ cómo se propaga? Un virus informático es un programa o software que se auto ejecuta y se propaga insertando copias de sí mismo en otro programa o documento. Un virus informático se adjunta a un programa o archivo de forma que pueda propagarse, infectando los ordenadores a medida que viaja de un ordenador a otro. Como los virus humanos, los virus de ordenador pueden propagarse en gran medida. Algunos virus solo causan efectos ligeramente molestos mientras que otros, pueden dañar tu software o archivos de documentos. Casi todos los virus se unen a un fichero ejecutable, lo que significa que el virus puede estar en tu ordenador pero no puede infectarlo a menos que ejecutes o abras el programa infectado. Es importante observar que un virus no puede continuar su propagación sin la acción humana, por ejemplo: ejecutando un programa infectado. La gente contribuye a la propagación de los virus, muchas veces sin saberlo, al compartir archivos infectados o al enviar e-mails con virus como archivo adjuntos en el mismo
Ciclo de vida de un Virus Se considera que se ha desatado un brote vírico en una red cuando se ve infestada de virus o repleta de mensajes que los contienen: el resultado es un servidor colapsado, cuya inactividad cuesta a la empresa mucho dinero. El ciclo vital de los virus informáticos comienza con su creación y termina con su completa erradicación. ETAPA 1: CREACIÓN Hasta hace pocos años, crear un virus exigía conocer en profundidad un lenguaje de programación. En la actualidad cualquiera que sepa programar un poco puede hacer un virus. ETAPA 2: REPRODUCCIÓN Los virus se reproducen a sí mismos: forma parte de su naturaleza. Un virus bien diseñado está preparado para estar copiándose a sí mismo en distintos ficheros durante bastante tiempo, el suficiente para llegar a muchísimos usuarios. ETAPA 3: ACTIVACIÓN En los virus con rutinas de ataque, éstas se activan cuando se dan determinadas condiciones, por ejemplo, una fecha concreta o que el usuario realice una acción "x". Sin embargo, incluso los virus que están pensados para causar un daño específico entorpecen el sistema al ocupar en él un valioso espacioso de almacenamiento. ETAPA 4: DESCUBRIMIENTO Cuando se detecta un nuevo virus, se aísla y se envía a la Asociación Internacional de Seguridad Informática, con sede en Washington, D.C., donde se toma nota de sus características para posteriormente distribuirlo a los fabricantes de antivirus. En general, el descubrimiento tiene lugar por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática.
ETAPA 5: ASIMILACIÓN En este punto, los fabricantes de antivirus modifican su software para que sea capaz de detectar el nuevo virus. Este proceso puede durar desde un día hasta seis meses, dependiendo del desarrollador y del tipo de virus.
ETAPA 6: ERRADICACIÓN Cualquier virus puede ser erradicado si suficientes usuarios mantienen al día su protección antivirus. Hasta el momento ningún virus ha desaparecido por completo, pero algunos hace mucho que han dejado de representar una amenaza importante.
Historia El primer virus que atacó a una máquina IBM Serie 360 (y reconocido como tal), fue llamado Creeper, creado en 1972. Este programa emitía periódicamente en la pantalla el mensaje: «I'm a creeper... catch me if you can!» (soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (cortadora). Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro programadores (H. Douglas Mellory, Robert Morris, Victor Vysottsky y Ken Thompson) desarrollaron un juego llamado Core Wars, el cual consistía en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible. Después de 1984, los virus han tenido una gran expansión, desde los que atacan los sectores de arranque de disquetes hasta los que se adjuntan en un correo electrónico.
Cronología: 1949: Se da el primer indicio de definición de virus. John Von Numen (considerado el Julio Verme de la informática), expone su "Teoría y organización de un autómata complicado". Nadie podía sospechar de la repercusión de dicho artículo. 1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de núcleos de ferrita. Consistía en una batalla entre los códigos de dos programadores, en la que cada jugador desarrollaba un programa cuya mision era la de acaparar la máxima memoria posible mediante la reproducción de sí mismo. 1970: El Cree per es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER...ATRAPAME SI PUEDES". Ese mismo año es creado su antidoto: el antivirus Reader cuya misión era buscar y destruir al Cree per. 1974: El virus Rabbit hacía una copia de sí mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema. 1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de 23 años aunque según él fue un accidente. 1983: El juego Core Wars, con adeptos en el MIT, salió a la luz pública en un discurso de Ken Thompson. Dewdney explica los términos de este juego. Ese mismo año aparece el término virus tal como lo entendemos hoy. 1985: Dewdney intenta enmendar su error publicando otro artículo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores". 1987: Se da el primer caso de contagio masivo de computadoras a través del MacMag Virus también llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y contaminó la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand.
El virus contaminó el disco maestro que fue enviado a la empresa fabricante que comercializó su producto infectado por el virus. Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusalén. 1988: El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistan aparece en Estados Unidos.
Características
Dado que una característica de los virus es el consumo de recursos, los virus ocasionan problemas tales como: pérdida de productividad, cortes en los sistemas de información o daños a nivel de datos. Una de las características es la posibilidad que tienen de diseminarse por medio de replicas y copias. Las redes en la actualidad ayudan a dicha propagación cuando éstas no tienen la seguridad adecuada. Otros daños que los virus producen a los sistemas informáticos son la pérdida de información, horas de parada productiva, tiempo de reinstalación, etc. Hay que tener en cuenta que cada virus plantea una situación diferente.
Virus informáticos y Sistemas Operativos Los virus informáticos afectan en mayor o menor medida a casi todos los sistemas más conocidos y usados en la actualidad. Las mayores incidencias se dan en el sistema operativo Windows debido, entre otras causas, a: •
Su gran popularidad, como sistema operativo, entre los ordenadores personales, PC. Se estima que, en el 2007, un 90% de ellos usa Windows. Esta popularidad basada en la facilidad de uso sin conocimiento previo alguno, facilita la vulnerabilidad del sistema para el desarrollo de los virus, y así atacar sus puntos débiles, que por lo general son abundantes.
•
Falta de seguridad en esta plataforma (situación a la que Microsoft está dando en los últimos años mayor prioridad e importancia que en el pasado). Al ser un sistema muy permisivo con la instalación de programas ajenos a éste, sin requerir ninguna autentificación por parte del usuario o pedirle algún permiso especial para ello (en los Windows basados en NT se ha mejorado, en parte, este problema).
•
Software como Internet Explorer y Outlook Express, desarrollados por Microsoft e incluidos de forma predeterminada en las últimas versiones de
Windows, son conocidos por ser vulnerables a los virus ya que éstos aprovechan la ventaja de que dichos programas están fuertemente integrados en el sistema operativo dando acceso completo, y prácticamente sin restricciones, a los archivos del sistema. •
La escasa formación de un número importante de usuarios de este sistema, lo que provoca que no se tomen medidas preventivas por parte de estos, ya que este sistema está dirigido de manera mayoritaria a los usuarios no expertos en Informática. Esta situación es aprovechada constantemente por los programadores de virus.
En otros sistemas operativos como Mac OS X, GNU/Linux y otros basados en Unix las incidencias y ataques son prácticamente inexistentes. Esto se debe principalmente a: •
Tradicionalmente los programadores y usuarios de sistemas basados en Unix/BSD han considerado la seguridad como una prioridad por lo que hay mayores medidas frente a virus tales como la necesidad de autenficación por parte del usuario como administrador o root para poder instalar cualquier programa adicional al sistema.
•
Los directorios o carpetas que contienen los archivos vitales del sistema operativo cuentan con permisos especiales de acceso, por lo que no cualquier usuario o programa puede acceder fácilmente a ellos para modificarlos o borrarlos. Existe una jerarquía de permisos y accesos para los usuarios.
•
Relacionado al punto anterior, a diferencia de los usuarios de Windows, la mayoría de los usuarios de sistemas basados en Unix no pueden normalmente iniciar sesiones como usuarios Administradores o por el superusuario root, excepto para instalar o configurar software, dando como resultado que, incluso si un usuario no administrador ejecuta un virus o algún software malicioso, éste no dañaría completamente el sistema operativo ya que Unix limita el entorno de ejecución a un espacio o directorio reservado llamado comúnmente home.
•
Estos sistemas, a diferencia de Windows, son usados para tareas más complejas como servidores que por lo general están fuertemente protegidos, razón que los hace menos atractivos para un desarrollo de virus o software malicioso.
LOS VIRUS INFORMÁTICOS, ELECTRÓNICOS O COMPUTACIONALES Los Virus Informáticos son programas hechos por programadores con la finalidad de instalarse mediante disquetes ahora la fuente principal de contagio está en InterNet, en especial en los correos electrónicos que se reciben contaminados en su Computador y poder multiplicarse, causar daño al sistema y propagarse a otros disquetes desde su PC infectado y por intermedio de ellos llegar a diferentes computadores y así seguir en una cadena de nunca acabar. Son muy pequeños y con precisas indicaciones en su código para copiarse a sí mismos, tomar el control del sistema y actuar de acuerdo a cómo fue programado para decirle lo que debe hacer, como por ejemplo: Formatear" el disco duro, modificar los archivos en la fecha y características de los mismos, borrar archivos, etc.
Pueden ejecutar todas las operaciones que el sistema operativo permite realizar. Operaciones hechas sin su conocimiento y dañando la correcta ejecución de los programas, con la pérdida total de la información en algunos casos. El daño que cada virus puede causar, significa para el año 1992 y sólo en los EE.UU. una cifra anual que va entre los 5 a los 10 mil millones de dólares. Richard B. Levin destaca en su libro "Virus Informáticos" que:
clasificacion •
VIRUS DE SECTOR DE ARRANQUE (BOOT).
Utilizan el sector de arranque, el cual contiene la información sobre el tipo de disco, es decir, numero de pistas, sectores, caras, tamaño de la FAT, sector de comienzo, etc. Atodo esto hay que sumarle un pequeño programa de arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de discos duros pueden utilizar también la tabla de particiones como ubicación. Suelen quedar residentes en memoria al hacer cualquier operación en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el Brain.
•
VIRUS DE ARCHIVOS.
Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM...) los que estan en boga gracias a los virus de macro (descritos mas adelante). Normalmente insertan el codigo del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que se continue de modo normal. El Viernes 13 es un ejemplar representativo de este grupo. Dentro de la categoria de virus de archivos podemos encontrar mas subdivisiones, como los siguientes: Virus de accion directa. Son auellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un archivo infectado.
Virus de sobreescritura. Corrompen el achivo donde se ubican al sobreescribirlo. Virus de compañia. Aprovechan una caracteristica del DOS, gracias a la cual si llamamos un archivo para ejecutarlo sin indicar la extension el sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica el programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo el virus con extensión COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente este pasara el control a la aplicación original.
•
VIRUS DE MACRO.
Es una familia de virus de reciente aparición y gran expansión. Estos están programas usando el lenguaje de macros WordBasic, gracias al cual pueden infectar y replicarse a través de archivos MS-Word (DOC). En la actualidad esta técnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son multiplataforma en cuanto a sistemas operativos, ya que dependen únicamente de la aplicación. Hoy en día son el tipo de virus que están teniendo un mayor auge debido a que son facilites de programar y de distribuir a través de Internet. Aun no existe una concienciación del peligro que puede representar un simple documento de texto. Porcion de codigo de un tipico virus Macro: Sub MAIN DIM dlg As FileSaveAs GetCurValues dlg ToolsOptionsSave.GlobalDotPrompt=0 Ifcheckit(0)=0 Then MacroCopy FileName$() + ":autoopen", "global;autoopen" End If •
VIRUS BAT.
Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dañinos como cualquier otro tipo virus. En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes.
Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a codigo maquina son <> y no
producen ningun efecto que altere el funcionamiento del virus.
•
VIRUS DEL MIRC.
Vienen a formar parte de la nueva generacion Internet y demuestra que la Red abre nuevas forma de infeccion. Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini". Funcionamiento Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las histerias y los miedos infundados y al mismos tiempo ser consientes del daño real que puede causarnos. Para ello, lo mejor es tener conocimiento de cómo funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente.
PROCESO DE INFECCION.
El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último archivo descargado de Internet. Dependiendo del tipo de virus el proceso de infección varia sensiblemente. Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario introduce el disco en la computadora ( por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus desfasado ) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí está, un ejecutable. Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son leídas por el computadora y procesadas, pero también procesa otras instrucciones que no deberían estar ahí. El virus comprueba si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa a esta y puede que se quede residente en ella.
A partir de ese momento todo programa que se ejecute será contaminado. El virus ejecutará todos los programas, pero después se copiará a sí mismo y se "pegará" al programa ejecutado "engordándolo" unos cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan esos bytes de más para que parezca que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de sistema, aquellos que están en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. Así, cuando el usuario vuelva a arrancar la computadora el virus se volverá a cargar en la memoria cuando se ejecuten los archivos de arranque del sistema contaminados y tomará otra vez el control del mismo, contaminando todos los archivos que se encuentre a su paso.
Puede que el virus sea también de "Sector de arranque". En ese caso el código del virus se copiará en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobrescriba el sector original o que se quede una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si el usuario arranca la computadora con un disquete "limpio" el virus no podrá cargarse en memoria y no tendrá el control. Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de arranque...
TECNICAS DE PROGRAMACION
Técnicas Stealth Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus ocultan el tamaño real de los archivos que han contaminado, de forma que si hacemos un DIR la información del tamaño de los archivos puede ser falsa.
Los virus de tabla de partición guardan una copia de la FAT original en otro lugar del disco que marcan como sectores defectuosos para mostrarsela al usuario cuando haga por ejemplo un FDISK. Incluso hay virus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de su propio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda. Tunneling Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupción y tener así un control directo sobre esta. Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena. Antidebuggers
Un debugger es un programa que permite descompilar programas ejecutables y mostrar parte de su código en lenguaje original. Los virus usan técnicas para evitar ser desensamblados y así impedir su análisis para la fabricación del antivirus correspondiente. Polimorfismo o automutación Es una técnica que consiste en variar el código vírico en cada infección ( más o menos lo que hace el virus del SIDA en los humanos con su capa proteica ). Esto obliga a los antivirus a usar técnicas heurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código. Esto se consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus.
No obstante no se puede codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus. La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es reversible: 7 XOR 9 = 2 2 XOR 9 = 7 En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obtiene una codificación también distinta. Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico. TSR Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecución. Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido. Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando se vuelva a arrancar la computadora volverá a ser cargado en memoria.
CONSECUENCIAS
Ejemplo del Virus "World Cup 98"
Green Caterpillar
Inversion de la pantalla por el virus HPS
Virus Marburg
Métodos de protección y tipos Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.
Activos •
Antivirus: los llamados programas antivirus tratan de descubrir las trazas que ha dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación. Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad.
•
Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el ordenador está conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o usando técnicas de firewall. En general, este sistema proporciona una seguridad donde no se requiere la intervención del usuario, puede ser muy eficaz, y permitir emplear únicamente recursos de forma más selectiva.
Pasivos •
Evitar introducir a tu equipo medios de almacenamiento removibles que consideres que pudieran estar infectados con algún virus.
•
No instalar software "pirata".
•
Evitar descargar software de Internet.
•
No abrir mensajes provenientes de una dirección electrónica desconocida.
•
No aceptar e-mails de desconocidos.
•
Generalmente, suelen enviar "fotos" por la web, que dicen llamarse "mifoto.jpg", tienen un ícono cuadrado blanco, con una línea azul en la parte superior. En realidad, no estamos en presencia de una foto, sino de una aplicación Windows (*.exe). Su verdadero nombre es "mifoto.jpg.exe", pero la parte final "*.exe" no la vemos porque Windows tiene deshabilitada (por defecto) la visualización de las extensiones registradas, es por eso que solo vemos "mifoto.jpg" y no "mifoto.jpg.exe". Cuando la intentamos abrir (con doble clik) en realidad estamos ejecutando el código de la misma, que corre bajo MS-DOS.
"LA MEJOR DEFENSA ES UN BUEN ATAQUE Y LA PRIMERA LINEA DE ATAQUE ES LA DEL CONOCIMIENTO"
• •
El nombre VIRUS INFORMÁTICO se puso por haber ciertas semejanzas con los Virus biológicos. Son programas que se comportan, informáticamente hablando, como virus. Un Virus, la forma de vida más pequeña de la Naturaleza, no es una célula, son partículas moleculares vivas que necesitan estar dentro de células para poder vivir y multiplicarse. Los programas virus se hacen por programadores para producir daño a terceros.
Son muy pequeños, se establecen en el núcleo del Sistema cambiando su estructura y multiplicándose con la ejecución de programas infectados, lo que les permite propagarse dentro del Sistema y contagiar disquetes - ahora además al correo electrónico - y por medio de ellos a otros computadores. Pueden tener un período de latencia en el sistema antes de manifestarse y hay test para diagnosticarlos. •
Existen semejanzas que justifican plenamente el nombre VIRUS para estos traicioneros "software" que también son pequeños y entran al sistema sin uno notarlo, se adosan a otros programas para "vivir" reproduciéndose con la posibilidad de destruir el programa donde residen, se pueden autoduplicar y son de fácil difusión y poder de contagio. Ambos virus tienen MEDIDAS DE PROFILAXIS o prevención y causan alarma pública, uno a nivel del Sector Salud el otro en el Sector Computacional siendo la mejor defensa contra ellos el ESTAR ALERTA/PREVENIDOS. Más vale prevenir que curar frente a los virus.
Tipos de virus e imitaciones Existen diversos tipos de virus, varían según su función o la manera en que éste se ejecuta en nuestra computadora alterando la actividad de la misma, entre los más comunes están: •
Troyano: que consiste en robar información o alterar el sistema del hardware o en un caso extremo permite que un usuario externo pueda controlar el equipo.
•
Gusano: tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
•
Bombas Lógicas o de Tiempo: son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario.
•
Hoax: los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño
enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas novatos. Acciones de los virus •
Unirse a un programa instalado en el ordenador permitiendo su propagación.
•
Mostrar en la pantalla mensajes o imágenes humorísticas, generalmente molestas.
•
Ralentizar o bloquear el ordenador.
•
Destruir la información almacenada en el disco, en algunos casos vital para el sistema, que impedirá el funcionamiento del equipo.
•
Reducir el espacio en el disco.
Conclusiones
Bibliografía
http://googlead1.blogspot.com/2009/08/virus-informaticos.html http://www.desarrolloweb.com/articulos/2176.php http://www.geocities.com/ogmg.rm/index.html http://www.monografias.com/trabajos15/virus-informatico/ http://www.microsoft.com/latam/protect/computer/basics/virus.mspx http://www.virusprot.com/Evirus.html
Anexos