VIRUS!!!!!
VIRUS INFORMATICO
Virus Informáticos
Indice
1. Que son y qué hacer ante ellos?
2. ¿Qué daño puede hacer un virus a
mi sistema?
3. Tipos de Virus de Computación por su destino de infección
4. Tipos de Virus de Computación por sus acciones y/o modo de activación
5. Estrategias de infección usadas por los virus
6. Virus falsos: HOAX
7. Medidas antivirus
1. Que son y qué hacer ante ellos?
Desde hace
algunos años los virus son la mayor amenaza para los sistemas informáticos y la
principal causa de pérdidas económicas en las empresas. Vale subrayar la
importancia de evitar el pánico y de entender que los virus son controlables, y
que es posible hacer que nuestra computadora nunca sufra una infección grave.
Por este motivo el Departamento de Investigaciones del Instituto Argentino de
Computación (IAC) les brinda información para conocer como se originan los
virus, qué daño puede producir en nuestra computadora, y como solucionarlo.
Los primeros virus informáticos que alcanzaron un gran nivel de dispersión
aparecieron durante la década del 80. Cuando todo esto empezó, quienes escribían
aquellos primeros virus eran programadores expertos, que conocían en profundidad
lenguajes de programación de bajo nivel como el Assembler y la arquitectura de
los procesadores. La poca disponibilidad de memoria y la velocidad de
procesamiento de la época exigía programas muy eficientes para poderse ocultar
en ese contexto. Hoy en día, se necesitan muchos menos conocimientos para
escribir un virus, se pueden generar con cualquier herramienta de programación
sencilla, como las incluidas en el Word o el Excel. Además, se cuenta con la
ayuda de los más de 35000 web sites de hacking que existen en Internet.
Otro
punto que ha potenciado el avance de los virus es su forma de infección, ya que
en un principio su dispersión se realizaba por medio del intercambio de
disquetes u otros medios físicos, pero hoy en día gracias a Internet, un virus
recién desarrollado en Japón puede infectar miles de computadoras en todo el
mundo en cuestión de segundos.
2. ¿Qué daño puede hacer un virus a mi
sistema?
· Software
· Modificación de programas para que dejen de
funcionar
· Modificación de programas para que funcionen erróneamente
·
Modificación sobre los datos
· Eliminación de programas y/o datos
·
Acabar con el espacio libre en el disco rígido
· Hacer que el sistema
funcione mas lentamente
· Robo de información confidencial
· Hardware
· Borrado del BIOS
· Quemado del procesador por falsa información del
sensor de temperatura
· Rotura del disco rígido al hacerlo leer
repetidamente sectores específicos que fuercen su funcionamiento mecánico
¿Cómo se propagan los virus?
· Disquetes u otro medio de almacenamiento
removible
· Software pirata en disquetes o CDs
· Redes de computadoras
· Mensajes de correo electrónico
· Software bajado de Internet
·
Discos de demostración y pruebas gratuitos
Síntomas que indican la presencia
de Virus....
· Cambios en la longitud de los programas
· Cambios en la
fecha y/u hora de los archivos
· Retardos al cargar un programa
·
Operación más lenta del sistema
· Reducción de la capacidad en memoria y/o
disco rígido
· Sectores defectuosos en los disquetes
· Mensajes de error
inusuales
· Actividad extraña en la pantalla
· Fallas en la ejecución de
los programas
· Fallas al bootear el equipo
· Escrituras fuera de tiempo
en el disco
3. Tipos de Virus de Computación por su destino de infección
Infectores de archivos ejecutables
· Afectan archivos de extensión EXE,
COM, BAT, SYS, PIF, DLL, DRV
· Infectores directos
El programa infectado
tiene que estar ejecutándose para que el virus pueda funcionar (seguir
infectando y ejecutar sus acciones destructivas)
Infectores residentes en
memoria
El programa infectado no necesita estar ejecutándose, el virus se
aloja en la memoria y permanece residente infectando cada nuevo programa
ejecutado y ejecutando su rutina de destrucción
Infectores del sector de
arranque
Tanto los discos rígidos como los disquetes contienen un Sector de
Arranque, el cual contiene información específica relativa al formato del disco
y los datos almacenados en él. Además, contiene un pequeño programa llamado Boot
Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y
ejecutar en el disco los archivos del sistema operativo. Este programa es el que
muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de no
encontrar los archivos del sistema operativo. Este es el programa afectado por
los virus de sector de arranque. La computadora se infecta con un virus de
sector de arranque al intentar bootear desde un disquete infectado. En este
momento el virus se ejecuta e infecta el sector de arranque del disco rígido,
infectando luego cada disquete utilizado en la PC. Es importante destacar que
como cada disco posee un sector de arranque, es posible infectar la PC con un
disquete que contenga solo datos.....
Macrovirus
Son los virus mas
populares de la actualidad. No se transmiten a través de archivos ejecutables,
sino a través de los documentos de las aplicaciones que poseen algún tipo de
lenguaje de macros. Entre ellas encontramos todas las pertenecientes al paquete
Office (Word, Excel, Power Point, Access) y también el Corel Draw.
Cuando
uno de estos archivos infectado es abierto o cerrado, el virus toma el control y
se copia a la plantilla base de nuevos documentos, de forma que sean infectados
todos los archivos que se abran o creen en el futuro...
Los lenguajes de
macros como el Visual Basic For Applications son muy poderosos y poseen
capacidades como para cambiar la configuración del sistema operativo, borrar
archivos, enviar e-mails, etc.
De Actives Agents y Java Applets
En 1997,
aparecen los Java applets y Actives controls. Estos pequeños programas se graban
en el disco rígido del usuario cuando está conectado a Internet y se ejecutan
cuando la página web sobre la que se navega lo requiere, siendo una forma de
ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados
con Java applets y Actives controls acceden al disco rígido a través de una
conexión www de manera que el usuario no los detecta. Se pueden programar para
que borren o corrompan archivos, controlen la memoria, envíen información a un
sitio web, etc.
De HTML
Un mecanismo de infección más eficiente que el
de los Java applets y Actives controls apareció a fines de 1998 con los virus
que incluyen su código en archivos HTML. Con solo conectarse a Internet,
cualquier archivo HTML de una página web puede contener y ejecutar un virus.
Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de
Win98, 2000 y de las últimas versiones de Explorer. Esto se debe a que necesitan
que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar
o corromper archivos.
Trojanos/Worms
Los troyanos son programas que
imitan programas útiles o ejecutan algún tipo de acción aparentemente
inofensiva, pero que de forma oculta al usuario ejecutan el código dañino.
Los troyanos no cumplen con la función de autorreproducción, sino que
generalmente son diseñados de forma que por su contenido sea el mismo usuario el
encargado de realizar la tarea de difusión del virus. (Generalmente son enviados
por e-mail)
4. Tipos de Virus de Computación por sus acciones y/o modo de
activación
Bombas
Se denominan así a los virus que ejecutan su acción
dañina como si fuesen una bomba. Esto significa que se activan segundos después
de verse el sistema infectado o después de un cierto tiempo (bombas de tiempo) o
al comprobarse cierto tipo de condición lógica del equipo. (bombas lógicas).
Ejemplos de bombas de tiempo son los virus que se activan en una determinada
fecha u hora determinada. Ejemplos de bombas lógicas son los virus que se
activan cuando al disco rígido solo le queda el 10% sin uso, etc.
Camaleones
Son una variedad de virus similares a los caballos de Troya que actúan como
otros programas parecidos, en los que el usuario confía, mientras que en
realidad están haciendo algún tipo de daño. Cuando están correctamente
programados, los camaleones pueden realizar todas las funciones de los programas
legítimos a los que sustituyen (actúan como programas de demostración de
productos, los cuales son simulaciones de programas reales).
Un software
camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos
realizando todas las acciones que ellos realizan, pero como tarea adicional (y
oculta a los usuarios) va almacenando en algún archivo los diferentes logins y
password para que posteriormente puedan ser recuperados y utilizados ilegalmente
por el creador del virus camaleón.
Reproductores
Los reproductores
(también conocidos como conejos-rabbits) se reproducen en forma constante una
vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio
de disco o memoria del sistema.
La única función de este tipo de virus es
crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito
es agotar los recursos del sistema, especialmente en un entorno multiusuario
interconectado, hasta el punto que el sistema principal no puede continuar con
el procesamiento normal.
Gusanos (Worms)
Los gusanos son programas que
constantemente viajan a través de un sistema informático interconectado, de PC a
PC, sin dañar necesariamente el hardware o el software de los sistemas que
visitan.
La función principal es viajar en secreto a través de equipos
anfitriones recopilando cierto tipo de información programada (tal como los
archivos de passwords) para enviarla a un equipo determinado al cual el creador
del virus tiene acceso.
Backdoors
Son también conocidos como
herramientas de administración remotas ocultas. Son programas que permiten
controlar remotamente la PC infectada. Generalmente son distribuidos como
troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del
sistema operativo, al cual monitorea sin ningún tipo de mensaje o consulta al
usuario. Incluso no se lo vé en la lista de programas activos. Los Backdoors
permiten al autor tomar total control de la PC infectada y de esta forma enviar,
recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc....
5. Estrategias de infección usadas por los virus
Añadidura o empalme:
El código del virus se agrega al final del archivo a infectar, modificando
las estructuras de arranque del archivo de manera que el control del programa
pase por el virus antes de ejecutar el archivo. Esto permite que el virus
ejecute sus tareas específicas y luego entregue el control al programa. Esto
genera un incremento en el tamaño del archivo lo que permite su fácil detección.
Inserción:
El código del virus se aloja en zonas de código no utilizadas
o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se
requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado
este método.
Reorientación:
Es una variante del anterior. Se introduce
el código principal del virus en zonas físicas del disco rígido que se marcan
como defectuosas y en los archivos se implantan pequeños trozos de código que
llaman al código principal al ejecutarse el archivo. La principal ventaja es que
al no importar el tamaño del archivo el cuerpo del virus puede ser bastante
importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya
que basta con rescribir los sectores marcados como defectuosos.
Polimorfismo:
Este es el método mas avanzado de contagio. La técnica
consiste en insertar el código del virus en un archivo ejecutable, pero para
evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su
código y del código del archivo anfitrión, de manera que la suma de ambos sea
igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa
primero el código del virus descompactando en memoria las porciones necesarias.
Una variante de esta técnica permite usar métodos de encriptación dinámicos para
evitar ser detectados por los antivirus.
Sustitución:
Es el método mas
tosco. Consiste en sustituir el código original del archivo por el del virus. Al
ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular
este proceder reporta algún tipo de error con el archivo de forma que creamos
que el problema es del archivo.
Ejemplos de virus y sus acciones
·
Happy99: Programa enviado por mail, abre una ventana con fuegos artificiales.
Manipula la conectividad con Internet.
· Melissa: Macrovirus de Word. Se
envía a sí mismo por mail. Daña todos los archivos .doc
· Chernobyl
(W95.CIH): Borra el primer Mb del HD, donde se encuentra la FAT. Obliga a
formatear el HD. Además intenta rescribir el BIOS de la PC lo que obliga a
cambiar el mother. Se activa el 26 de abril.
· Michelangelo: Virus de boot
sector. Se activa el 6 de marzo. Sobre escribe la FAT, dejando el disco
inutilizable.
· WinWord.Concept: Macrovirus que infecta la plantilla
Normal.dot. Hace aparecer mensajes en la pantalla y mal funcionamiento del Word.
· FormatC: Troyano que infecta el Word, al abrir un archivo infectado
formatea el disco rígido.
· Back Orifice2000 (BO2K): Funcionalmente es un
virus y sirve para el robo de información. Permite tomar control remoto de la PC
o del servidor infectados, con la posibilidad de robar información y alterar
datos.
· VBS/Bubbleboy: Troyano que se ejecuta sin necesidad de abrir un
attachment, y se activa inmediatamente después de que el usuario abra el mail.
No genera problemas serios.
6. Virus falsos: HOAX
¿Qué son?
Falsas
alarmas de virus
Ejemplos: Join The Crew, Win a Holiday, Solidaridad con
Brian
¿Qué no hay que hacer?
Responder esas cadenas, ya que crea
saturación de los servidores de mail y, además son usadas para levantar
direcciones de e-mails para luego enviar publicidades.
Email Bombing and
Spamming
Descripción
E-mail bombing es el envío reiterado de un mismo
mail a una cuenta en particular.
E-mail spamming es una variante del
bombing, es el envío de e-mail a cientos o miles de usuarios. El problema se
acrecienta si alguien responde el mensaje a todos.
Spamming y bombing pueden
ser combinados con e-mail spoofing, que consiste en alterar la dirección del
emisor del destinatario, haciendo imposible conocer quien originó la cadena.
Cuando una gran cantidad de mensajes son dirigidos a un mismo servidor, este
puede sufrir un DoS (Denial of Service), o que el sistema se caiga como
consecuencia de utilizar todos los recursos del servidor, o completar el espacio
en los discos.
¿Qué puede hacer usted?
En principio es imposible de
prevenir ya que cualquier usuario de e-mail puede spam cualquier otra cuenta de
e-mail, o lista de usuarios.
Se deben activar las opciones de filtrado de
mensajes
Práctica de seteo de opciones de filtrado de mensajes
¿Qué no
debe hacer?
Responder esas cadenas, ya que crea saturación de los servidores
de mail y además son usadas para levantar direcciones de e-mails para luego
enviar publicidades.
E-mail con attachments
¿Qué hacer cuando se
reciben?
No lo abra a menos que necesite su contenido
En este caso,
primero grábelo en el HD y luego pásele un antivirus.
¿Qué hacer si debe
enviarlos?
Si es un documento de texto grábelo con formato RTF
De lo
contrario ejecute su antivirus antes de adosar el archivo
Contenido activo
en el e-mail
¿Qué es?
Páginas con xml, java, Actives objects, etc.
¿Cuándo se ejecuta?
Al visualizar la página
¿Cómo me protejo?
Solo se puede limitar el riesgo con las opciones de la Zona de Seguridad
empleada.
Practica de cambiar opciones de seguridad.....
Web scripts
malignos
¿Qué son?
Un "script" es un tipo de programa de computación
usado en la programación de sitios web. (Ej.: Javascript, Perl, Tcl, VBScript,
etc). Un script consiste en comandos de texto. Cada vez que el browser recibe
estos comandos, los interpreta y los ejecuta. Esto significa que un script puede
ser incluido en cualquier página web como si fuese texto. En principio un script
no es necesariamente un programa maligno, sino que se utiliza su funcionalidad
con fines malignos.
¿Cómo me llegan?
Al visitar una página web que
contenga en su código algún script.
¿Qué pueden hacer?
Monitorear la
sesión del usuario, copiar datos personales a un tercer sitio, ejecutar
programas de forma local, leer las cookies del usuario y reenviarlas a un
tercero, etc. y todo esto sin que el usuario se entere en absoluto.
¿Cómo se
soluciona este problema?
Deshabilitando todos los lenguajes de script en las
opciones de seguridad del explorador.
¿Cómo afecta mi navegación esta
solución?
Indudablemente va a limitar su interacción con algunos web sites.
Cada día se utilizan más los scripts para dotar a las páginas de un site de un
comportamiento personalizado y más dinámico. Tal vez lo recomendable es
deshabilitar estas opciones al visitar páginas de sitios no confiables.
Práctica en Explorer para deshabilitar estas opciones...
Seguridad en
Internet.....
Cookies
7. Medidas antivirus
Nadie que usa
computadoras es inmune a los virus de computación.
Un programa antivirus por
muy bueno que sea se vuelve obsoleto muy rápidamente ante los nuevos virus que
aparecen día a día.
· Desactivar arranque desde disquete en el setup para
que no se ejecuten virus de boot.
· Desactivar compartir archivos e
impresoras.
· Analizar con el antivirus todo archivo recibido por e-mail
antes de abrirlo.
· Actualizar antivirus.
· Activar la protección contra
macrovirus del Word y el Excel.
· Sea cuidadoso al bajar archivos de
Internet (Analice si vale el riesgo y si el sitio es seguro)
· No envíe su
información personal ni financiera a menos que sepa quien se la solicita y que
sea necesaria para la transacción.
· No comparta discos con otros usuarios.
· No entregue a nadie sus claves, incluso si lo llaman del servicio de
Internet u otro.
· Enseñe a sus niños las practicas de seguridad, sobre todo
la entrega de información.
· Cuando realice una transacción asegúrese de
utilizar una conexión bajo SSL
· Proteja contra escritura el archivo
Normal.dot
· Distribuya archivos RTF en vez de DOCs
· Realice backups