Informática
Virus informáticos
INTRODUCCIÓN:
Virus informática, programa de ordenador que se reproduce a sí mismo e interfiere con el hardware de una computadora o con su sistema operativo (el software básico que controla la computadora).
Los virus están diseñados para reproducirse y evitar su detección. Como cualquier otro programa informático, un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo.
Existen otros programas informáticos nocivos similares a los virus, pero que no cumplen ambos requisitos de reproducirse y eludir su detección. Estos programas se dividen en tres categorías: caballos de Troya, bombas lógicas y gusanos.
-1-
¿COMO SE CLASIFICAN LOS VIRUS?
Aunque en la actualidad casi todos los virus tienen comportamientos complejos e incorporan características de varias clases, se podrían diferenciar los siguientes tipos de virus:
TROYANOS: su nombre viene del mitología griega del Caballo de Troya, ya que el virus viene enmascarado como un archivo aparentemente inofensivo.
VIRUS DE ARRANQUE O BOOTEO: no afectan archivos sino que atacan el sector de arranque de los diskettes y el disco duro. Como el trágicamente famoso virus Michelangelo.
BOMBAS LOGICAS: permanecen inactivas hasta que se cumple un condición especial, que puede ser una combinación de teclas o una fecha específica.
VIRUS DE SISTEMA: afectan en primer lugar el archivo intérprete de comandos COMMAND.COM y posteriormente a otras áreas vitales del sistema como son el Sector de Boot o el Master Boot Record (MBR), otros archivos ejecutables de extensión .
VIRUS DE ARCHIVOS EJECUTABLES: infectan los archivos de programas con extensión COM. y EXE. También llamados virus parásitos, porque se adosan a los archivos ejecutables y son los más habituales. Estos virus al ejecutarse se instalan en memoria y esperan a que el usuario ejecute otro programa utilizando un evento como un activador para infectar dicho programa.
-2-
VIRUS DE ARCHIVOS DE DATOS: éstos virus infectan los archivos de datos de diferentes extensiones. De acción menos notable ya que dañan los archivos que creamos con las aplicaciones, usando como medio el programa creador del mismo.
VIRUS DE MACROS O MACROVIRUS: Creados con el lenguaje de programación que incluyen algunas utilidades como procesadores de texto o planillas de cálculo para ayudar a los usuarios a automatizar ciertas tareas, creando pequeños programas llamados macros. Un virus de macro es simplemente una macro para uno de estos programas con un código dañino. Cuando un documento o plantilla que contiene la macro infectada se abre en la aplicación de destino, el virus se ejecuta y causa el daño correspondiente. Además, está programado para copiarse a otros documentos, de modo que el uso continuo del programa da como resultado la distribución continua del virus.
GUSANOS (WORMS): se duplican a si mismos pero no infectan a otros archivos. Realizan copias hasta saturar la memoria del sistema. Son de los más difundidos en la actualidad.
Además existen los virus polimórficos que se alteran solos cuando se duplican, de modo que el software antivirus que busca comportamientos específicos no encontrará todas las apariciones de los virus.
-3-
Virus que existen hoy en día.
1. Análisis de Virus SIRCAM
DESCRIPCION DEL VIRUS
Alias: SCAM.A, TROJ_SCAM.A , W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam
Descubierto: 17 de julio, 2001
Nivel de riesgo: Alto
Tipo de virus: Gusano (por su accionar) Troyano (por su modo de contagio)
Destructivo: Si
Activación: Al ejecutarse
Acción: Borra archivos y carpetas del disco. Se auto envía en un archivo adjunto vía correo electrónico y mediante unidades de red compartidas.
Afecta el desempeño del sistema: agrega texto al archivo c:\recycled\sircam.sys en cada arranque.
Idioma: Español e Inglés
Plataforma: Windows
Detalles del Virus:
Este gusano llega como un archivo adjunto de un mensaje de correo electrónico. El archivo es elegido al azar del disco duro del usuario infectado. Puede tener una extensión .LNK, .EXE, o .PIF.
-4-
El mensaje de un correo infectado es semi-aleatorio y tiene versiones español o inglés:
Asunto: Es aleatorio y por lo general es el nombre del archivo adjunto
Cuerpo de mensaje: Versión en Español:
Primera línea: Hola como estas?
Ultima línea: Nos vemos pronto, gracias.
Entre estas dos frases, puede aparecer parte del siguiente texto:
Versión en Español: Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste
Descripción de su accionar:
1º Al abrirse el adjunto del correo, copia el gusano los archivos ocultos SCam32.EXE en el directorio System y SIRC32.EXE en la carpeta C:\Recycled y en la carpeta Temp (por defecto es C:\Windows\Temp)
2º Se autocopia a C:\Recycled\Sirc32.exe y %System%\Scam32.exe. ( por defecto %System% es C:\Windows\System).
-5-
3º Modifica el registro del sistema de manera de ejecutarse cada vez que se inicie Windows:
Agrega la clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Y como su valor: Driver32 = %System%\scam32.exe
3º Modifica el registro para ejecutarse cada que se corre un archivo .EXE.
El valor de la clave de registro HKEY_CLASSES_ROOT\exefile\shell\open\command es modificado a C:\recycled\sirc32.exe "%1" %*"
4º Crea una clave en el registro donde almacena datos necesarios para sus actividades:
Crea la clave de registro: HKEY_LOCAL_MACHINE\Software\SirCam
con los siguientes valores:
FB1B - Almacena el nombre de archivo del gusano como almacenado en el directorio Reciclado.
-
FB1BA - almacena la dirección SMTP IP.
-
FB1BB - Almacena la dirección de correo electrónico del emisor.
-
FC0 - Almacena el número de veces que se ha ejecutado el gusano.
-
FC1 - Almacena lo que parece ser el número de versión del gusano.
-
FD1 - Almacena el nombre del archivo del gusano que ha sido ejecutado, sin el sufijo.
5º Busca en la computadora local los archivos que puedan tener direcciones de correo electrónico (como la Libreta de Direcciones). Toma las direcciones encontradas y se envía adjunto con un archivo elegido aleatoria mente.
-6-
6º En una red, verifica las conexiones existentes e infecta las unidades compartidas:
hace una copia de sí mismo en la carpeta Recycled como SIRC32.EXE.
agrega al archivo AUTOEXEC.BAT: "@win \recycled\sirc32.exe"
reemplaza c:\windows\rundll32.exe por c:\recycled\sirc32.exe
7º El virus ocasionalmente deja copias de sí mismo con otros nombres aparte de SIRC32.EXE, SCAM32.EXE, o RUNDL32.EXE. Si alguno de éstos archivos es ejecutado intenta borrar todos los archivos y carpetas en la computadora que no estén siendo utilizados.
-7-
Virus NIMDA
2.NIMDA
Fue descubierto el 18 de Septiembre de 2001. Es un nuevo gusano que utiliza el correo electrónico para auto propagarse. La amenaza llega como un archivo adjunto llamado readme.exe.
Ataca el servidor Internet Information Server de Microsoft de la misma manera que lo hicieron varios virus previos, incluyendo el Código Rojo.
Nimda explota una conocida vulnerabilidad del software IIE, que opera sobre los sistemas operativos Windows NT o Windows 2000 de la misma firma.
Los agujeros de seguridad del IIS, son varios y no son una novedad. Regularmente se lanzan parches para subsanar esos problemas, pero los responsables de éstos no siempre los utilizan. El Nimda y el Código Rojo atacan fallas de seguridad ya conocidas, y a pesar de eso hicieron y hacen estragos.
Su nombre al revés sería "admin" (por administrador) y parecería ser una burla a los responsables de los servidores de Internet.
Ataca los servidores Microsoft IIS para tratar de auto propagarse usando una vulnerabilidad que ya ha sido utilizada por otros virus. Existe un parche de actualización de seguridad para evitar éste accionar, pero sigue siendo una constante entre los administradores de los servidores de no actualizar su software.
-8-
Los servidores infectados pueden desplegar una página web que le sugiere al visitante descargar un archivo de Outlook que contiene el gusano como un archivo adjunto.
DESCRIPCION DEL VIRUS
Alias: W32.Nimda.A@mm, Troj_nimda.a
Descubierto: 18 de setiembre, 2001
Nivel de riesgo: Alto - Medio
Tipo de virus: Gusano (por su accionar) Troyano (por su modo de contagio)
Destructivo: Si
Distribución : Archivo adjunto a un e- mail con nombre README.EXE de tamaño 57344 bytes.
Activación: Al visualizar el e-mail (no es necesario ejecutar el adjunto)
Acción: E-mailing de gran escala: Utiliza MAPI para auto enviarse como README.EXE
En red abre la unidad C como una porción de la red compartida. Objetivo de la infección: Trata de infectar servidores IIS no parchados
Idioma: Español e Inglés
Plataforma: Windows
-9-
Método de infección
Se activa con sólo visualizar un e-mail.
El virus está escrito directamente en código HTML entre cuyas líneas se realiza una llamada a un archivo adjunto o anexo a un mensaje de correo electrónico (por lo general se llama README.EXE).
Normalmente, cuando se trata de un archivo ejecutable(*) es el sistema quien se encarga de preguntar lo que se quiere hacer con el mismo: guardarlo en el disco o abrirlo directamente.
* Nota: siempre que el usuario no haya predefinido que este tipo de archivos se abra por defecto.
Esto se realiza debido al tipo de extensión MIME a la que se identifica cada uno de los archivos. Sin embargo determinados archivos no requieren de la autorización del sistema para ejecutarse, como sucede con los archivos de audio, que se ejecutan directamente.
Este nuevo virus altera el funcionamiento por defecto e identificada el archivo ejecutable adjunto como archivo de audio.
Al realizar la vista previa del mensaje, una línea de comandos llama a este archivo, dejando que se ejecute por sí solo sin que el usuario pueda impedirlo.
El gusano descarga en el directorio C:\Windows\Temp un correo en el formato e-mail que contiene el archivo que será enviado adjunto al mensaje de e-mail.
-10-
El archivo adjunto comúnmente se denomina readme.exe, pero existen también variantes con las extensiones .wav y .com.
El gusano se propaga empleando su propio motor SMTP y las APIS de mensajería, pudiéndose ejecutar el troyano al abrirse el mensaje con MS Outlook o Outlook Express con solo realizar la vista previa del mensaje.
El mensaje no se repite, sino que llega con mensajes distintos en cada caso.
Alguien está protegido?
Los usuarios de Internet Explorer V5.01 o V5.5 -(IE 5 con el Service Pack 2 o posterior instalado o IE6 no son afectados). Se recomienda no abrir el cliente de correo electrónico hasta que el antivirus esté actualizado con la base de datos correspondiente y descargar el parche correspondiente del cliente de correo. >> Descarga de PARCHES para evitar el contagio...
-11-
3.Virus W32.Badtrans.B@mm, Badtrans
W32/Badtrans.B es la denominación de un peligroso gusano que ha empezado a difundirse por correo electrónico desde el 26 de noviembre, 2001
Se trata de un peligroso gusano capaz de propagarse con gran rapidez, mediante correo electrónico, en un fichero cuyo nombre es variable (ya que se genera a partir de tres listas diferentes de palabras).
La característica más importante de W32.Badtrans es que utiliza un agujero de seguridad en el navegador Internet Explorer (versiones 5.01 y 5.5). La vulnerabilidad consiste en permiter ejecutar, en el cliente de correo Outlook, un fichero adjunto a un mensaje de correo electrónico mediante la vista previa del mismo. Es decir, no es necesario abrir el archivo adjunto en forma manual (como el caso del virus Sircam); la ejecución es automática al visualizar el mensaje en vista previa.
Al ejecutarse el W32/Badtrans crea una copia de sí mismo en el directorio de sistema de Windows. Además instala, en el mismo directorio, un troyano que está diseñado para robar datos confidenciales (contraseñas, etc...) del ordenador infectado. Por último, y para asegurar su presencia en el sistema cada vez que este se reinicia, añade una nueva entrada al registro de Windows.
Para evitar ésta nueva plaga informática se recomienda realizar la actualización del software Antivirus que se este utilizando desde la web correspondiente a la empresa.
-12-
Para solucionar la vulnerabilidad del navegador Microsoft Internet Explorer que posibilita éste tipo de ataques, se puede descargar el parche correspondiente, que se encuentra disponible en la dirección: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
DESCRIPCION DEL VIRUS
Alias: W32.Badtrans.B@mm
Descubierto: Noviembre 24, 2001
Nivel de riesgo: Alto (nivel de contagio)
Tipo de virus: Gusano
Destructivo: Sí (saturación)
Distribución: Archivo adjunto a un e-mail con nombre elegido al azar de una lista de tamaño 29,020 bytes
Nombre del archivo adjunto: Card, docs, fun, HAMSTER, Humor, images, info, Me_nude, New_Napster_Site, news_doc, Pics, README, SETUP, Sorry_about_yesterday, stuff, YOU_are_FAT!
Extensión del archivo adjunto:.doc, .mp3, .zip, .pif ,.scr
Activación: Al visualizar el e-mail (no es necesario ejecutar el adjunto)
Acción: E-mailing de gran escala: Utiliza MAPI para auto enviarse.
Luego agrega el valor: Kernel32 / kernel32.exe al registro de windows:
-13-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunOnce
Idioma: Inglés
Plataforma: Windows
Remoción del virus: http://securityresponse.symantec.com/avcenter/FixBadtr.exe
(sitio de la empresa Symantec)
-14-
4.Virus W32.Klez.E@mm
Descubierto en Enero del 2002, el virus W32.Klez.E@mm es un gusano que envía e-mail en forma masiva y se copia en los recursos compartidos de la red. Utiliza mensajes aleatorios, tanto en el asunto, en el cuerpo del mismo y en el archivo adjunto con el que se distribuye.
El virus explota una vulnerabilidad del Microsoft Outlook y del Outlook Express, que le posibilita auto ejecutarse con solo realizar la vista previa del mensaje (como lo hace el virus Nimda). Sobre escribe archivos para ocultarse y deshabilita algunos antivirus residentes.
Se puede obtener más información sobre ésta vulnerabilidad en http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Se puede descargar el parche de Microsoft para resolver este problema:
http://www.microsoft.com/technet/security/bulletin/MS01-027.asp.
DESCRIPCION DEL VIRUS
Alias: W32/Klez@mm
Descubierto: Enero del 2002
Nivel de riesgo: medio
Tipo de virus: Gusano.
Distribución:masiva por e-mail - asunto, mensaje y archivo adjunto son aleatorios.
Archivo adjunto con extensión: .bat, .exe, .pif o .scr
Activación: con sólo visualizar el email
Acción: E-mailing de gran escala utilizando una rutina propia para auto enviarse. Puede impedir el correcto arranque de la computadora infectado y sobre escribe archivos ejecutables, quedando éstos inservibles
-15-
Idioma: inglés
Plataforma: Windows
Características del email
Asunto (utiliza alguno de ésta lista)
How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures
Mensaje: es aleatorio pero puede estar vacío
Archivo adjunto tiene extensión .PIF, .SCR, .EXE o .BAT.
-16-
Descripción de su Accionar
W32/Klez-E trata de deshabilitar el software anti-virus que se encuentre residente en memoria, eliminando algunos archivos vitales de los mismos. Además trata de eliminar los archivos utilizados por los anti-virus para almacenar el estado correcto de los archivos del sistema para detectar modificaciones. Como por ejemplo: ANTI-VIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMART CHK.MS, SMARTCHK.CPS, AVGQT.DAT, AGUARD.DAT (dependiendo del software instalado).
Sobrescribe archivos aleatoria mente de varias extensiones: TXT, HTM, HTML, WAB, DOC, XLS, JPG, C, PAS, MPG, MPEG, BAK,MP3.
Si está disponible una red, hace copias de si mismo en los recursos compartidos usando nombre aleatorios.
Se copia en el directorio Windows System con un nombre aleatorio y modifica el registro de Windows agregando la siguiente clave (*):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\XX donde "XX" es el nombre elegido al azar del archivo que lo contiene; de ésta manera se asegura su ejecución automática al iniciar Windows.
También puede optar por crear la entrada: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinkXX
siendo "XX" caracteres aleatorios.
-17-
TIPOS DE VIRUS
-
3b Trojan (alias PKZIP Virus).
-
AOL4Free Virus Hoax.
-
Baby New Year Virus Hoax.
-
BUDDYLST.ZIP
-
BUDSAVER.EXE
-
Budweiser Hoax
-
Death69
-
Deeyenda
-
E-Flu
-
FatCat Virus Hoax
-
Free Money
-
Get More Money Hoax
-
Ghost
-
Good Times
-
Hacky Birthday Virus Hoax
-
Hairy Palms Virus Hoax
-
Irina
-
Join the Crew
-
Londhouse Virus Hoax
-
Microsoft Virus Hoax
-
Millenium Time Bomb
-
Penpal Greetings
-
Red Alert
-
Returned or Unable to Deliver
-
Teletubbies
-
Time Bomb
-
Very Cool
-
Win a Holiday
-
World Domination Hoax
-
Yellow Teletubbies
-18-
-
A.I.D.S. hoax email virus
-
AltaVista virus scare
-
AOL riot hoax email
-
ASP virus hoax
-
Back Orifice Trojan horse
-
Bill Gates hoax
-
Bloat, see MPEG virus hoax
-
Budweiser frogs screen-saver scare
-
Good Times hoax email virus
-
Irina hoax virus
-
Java virus scare
-
Join the Crew hoax email virus
-
'Millennium' virus misunderstanding
-
MPEG virus hoax
-
'My clock says 2097/2098' virus misunderstanding
-
New virus debug device hoax email virus with attached Trojan horse
-
Open: Very Cool, see A.I.D.S. hoax email virus
-
Penpal Greetings, see Good Times hoax email virus
-
PKZ300 Trojan virus scare
-
Returned or Unable to Deliver hoax email virus
-
Walt Disney greeting, see Bill Gates hoax
-
Win a Holiday hoax email virus
-
Windows '98 MS Warning.
-19-
5. PING PONG:
Este virus fue el primero en hacer explosión en Argentina. Fue descubierto en marzo de 1988 y en poco tiempo estuvo en nuestro país, en donde se convirtió rápidamente en epidemia.
La falta de conocimiento sobre los virus ayudó a que se diseminara ampliamente y fuera incontrolable en un principio. En centros universitarios como la Facultad de Ciencias Exactas de la UBA o la Facultad de Informática de la Universidad de Morón era difícil encontrar un disco sin infectar.
Ese mismo desconocimiento llevó a que pasara bastante tiempo hasta que se empezaran a tomar medidas. Sólo después de algunos meses, en revistas especializadas en informática, empezaron a publicarse formas de desinfectar los discos, y como consecuencia de ello se aplicaron políticas de seguridad en las universidades.
Lo positivo de esto fue que la gente comenzara a conocer el D.O.S. más profundamente, por ejemplo el boot sector: qué es y para qué sirve, ya que las máquinas eran utilizadas pero pocos sabían cómo funcionaban realmente.
Como tenía un síntoma muy evidente (una pelotita que rebotaba), se pensó que todos los virus debían ser visibles, pero los siguientes fueron más subrepticios, y se limitaban a reproducirse o destruir sin avisar al usuario.
-20-
El Ping Pong original no podía infectar discos rígidos, pero la versión que se popularizó en el país fue la B, que sí podía hacerlo. Se creó una variante en Argentina, que probablemente fue la primera variante de virus originada en el país, el Ping Pong C, que no mostraba la pelotita en la pantalla. Este virus está extinto en este momento ya que sólo podía funcionar en máquinas con procesador 8088 ó 8086, porque ejecutaba una instrucción no documentada en estos e incorrecta en los modelos siguientes.
-21-
6.AVISPA:
Escrito en Noviembre de 1993 que en muy poco tiempo se convirtió en epidemia. Infecta archivos .EXE
Al ejecutarse, si no se encontraba ya residente en memoria, intenta infectar los archivos XCOPY, MEM, SETVER y EMM386 para maximizar sus posibilidades de reproducción, ya que estos archivos son de los más frecuentemente utilizados.
Este virus está encriptado siempre con una clave distinta (polimórfico), para dificultar su detección por medio de antivirus heurísticos.
7.MENEM TOCOTO:
Esta adaptación del virus Michelangelo apareció en 1994. En los disquetes se aloja en el boot sector, y en los discos rígidos en la tabla de particiones. Es extremadamente sencillo y, por ende, fácil de detectar.
-22-
8.CAMOUFLAGE II:
Aparecido por primera vez en 1993. Infecta el boot sector de los disquetes ubicados en la unidad A y la tabla de partición de los discos rígidos. Es bastante simple y fácil de ser detectado.
9.LEPROSO:
Creado en 1993, en Rosario, provincia de Santa Fé. Se activa el día 12 de Enero (cumpleaños del autor), y hace aparecer un mensaje que dice: "Felicitaciones, su máquina está infectada por el virus leproso creado por J. P.. Hoy es mi cumpleaños y lo voy a festejar formateando su rígido. Bye... (Vamos Newell's que con Diego somos campeones)."
10.PINDONGA:
Virus polimórfico residente en memoria que se activa los días 25 de febrero, 21 de marzo, 27 de agosto y 16 de septiembre, cuando ataca, borra toda la información contenida en el disco rígido.
-23-
10.TEDY:
Es el primer virus argentino interactivo. Apareció hace poco tiempo. Infecta archivos con extensión .EXE, y se caracteriza por hacer una serie de preguntas al usuario.
Una vez activado, una pantalla muestra:
¡TEDY, el primer virus interactivo de la computación!
Responda el siguiente cuestionario:
¿Los programas que Ud. utiliza son originales? (s/n)
¿Los de Microsoft son unos ladrones? (s/n)
Si se responde afirmativamente a la primer pregunta, el virus contestará: 5 archivos menos por mentiroso
En caso contrario:
2 archivos menos por ladrón
En cuanto a la segunda pregunta, el único mensaje que se ha visto es:
Te doy otra oportunidad para responder bien.
Con este virus, los archivos infectados aumentan su tamaño en 4310 bytes.
-24-
11. El Virus Melissa
Recientemente circuló en Internet la noticia de este virus que se propaga mediante un archivo de Word anexo a un mensaje de correo electrónico. Se trata de un típico virus que infecta documentos con "Macros", pero que tiene la característica de que al abrirse el archivo infectado, el virus se copia en hasta 50 documentos que son enviados como anexos en otros tantos correos que se transmiten utilizando el paquete de correo Outlook de Microsoft (en caso de que la máquina infectada cuente con él). Así mismo, el virus deshabilita los mecanismos de protección de Word.
El virus también infectará otros documentos, aún y cuando el usuario no cuente con el programa Outlook, los cuales podrían ser enviados por correo en forma inadvertida por el usuario.
Las direcciones para enviar los correos las obtiene el virus de la libreta de direcciones del Usuario, y los mensajes se envían de parte de éste (información que obtiene de la configuración de Word), por lo que los receptores pueden ser engañados acerca de su procedencia. El mensaje de correo que envía lleva el siguiente encabezado: "Important message from" Nombre del Usuario (Mensaje importante de Nombre del Usuario) y el texto del mensaje dice lo siguiente: "Here is the document you asked for....don't show anyone else ;-)" (Este es el documento que pediste....no se lo enseñes a nadie más ;-)).
Recuerde que el virus no entrará en acción mientras no abra el documento anexo; el mensaje de correo en sí mismo es inofensivo. Si llega a recibir este correo simplemente borre totalmente el archivo anexo (incluso de la bandeja de documentos borrados), avísele al remitente y por precaución revise su maquina con un antivirus actualizado.
-25-
VI. Historia
En 1949, el matemático estadounidense de origen húngaro John von Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), planteó la posibilidad teórica de que un programa informático se reprodujera. Esta teoría se comprobó experimentalmente en la década de 1950 en los Laboratorios Bell, donde se desarrolló un juego llamado Core Wars en el que los jugadores creaban minúsculos programas informáticos que atacaban y borraban el sistema del oponente e intentaban propagarse a través de él. En 1983, el ingeniero eléctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acuñó el término de "virus" para describir un programa informático que se reproduce a sí mismo. En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA. Pronto les siguió un sinnúmero de virus cada vez más complejos. El virus llamado Brain apareció en 1986, y en 1987 se había extendido por todo el mundo. En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruzó Estados Unidos de un día para otro a través de una red informática. El virus Dark Avenger, el primer infector rápido, apareció en 1989, seguido por el primer virus polimórfico en 1990. En 1995 se creó el primer virus de lenguaje de macros, WinWord Concept.
Un virus informático es un pequeño programa cuyo objetivo es provocar daños o alteraciones en los archivos o en áreas fundamentales de un sistema. Al igual que sus parientes biológicos, se autoreproducen e infectan a un receptor desde un transmisor. Este contagio puede ser provocado intencionalmente o sin el consentimiento del transmisor.
-26-
UN POCO DE HISTORIA...
El primer virus fue creado como parte de una tesis doctoral de un ingeniero electrónico. Luego una competencia de estudiantes cuyo objetivo fue crear un programa que consumiera la memoria del computador para convertirse en el ganador, también crearon nuevos programas del tipo virus.
En la década de los 80' y hasta mediados de los 90' los virus se propagaban por medio de los disquete, ya que era la forma de intercambiar información. Los virus de arranque como el Michelangelo, que apareció en en Asia en 1991, infectaban las computadoras mediante la lectura de un disquete infectado. El Michelangelo tardó 2 años en llegar a América.
En la actualidad Internet se ha convertido en la autopista de la información y en el principal medio de propagación de la nueva generación de virus.
En 1999 en virus Melissa provocó pérdidas por más de 80 millones de dólares y en el 2000 el famoso virus I Love You, afectó a miles de computadoras en todo el mundo, provocando pérdidas por más de 15 mil millones de dólares. su difusión fue masiva gracias a Internet y el correo electrónico.
En el 2001, el virus Kournikova tardó sólo dos horas para dar la vuelta al mundo por medio del correo electrónico.
Con el auge de Internet los virus a progagarse a velocidades increibles, siendo el correo electrónico la forma más utilizada para propagar virus.
Miles de archivos infectados con virus viajan a través de Internet en todo momento, principalmente por emails dentro de los archivos adjuntos o anexados (attached).
-27-
Mientras que para un usuario de Pc doméstico, una infección infección puede causarle desde un dolor de cabeza hasta perder la información de su Pc; para las grandes empresas y organismos estatales, el ataque de un virus puede causar pérdidas millonarias.
Tácticas antivíricas
A. Preparación y prevención
Los usuarios pueden prepararse frente a una infección viral creando regularmente copias de seguridad del software original legítimo y de los ficheros de datos, para poder recuperar el sistema informático en caso necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra escritura, para que ningún virus pueda sobreescribir el disco. Las infecciones virales pueden prevenirse obteniendo los programas de fuentes legítimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible.
B. Detección de virus
Para detectar la presencia de un virus pueden emplearse varios tipos de programas antivíricos. Los programas de rastreo pueden reconocer las características del código informático de un virus y buscar estas características en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados periódicamente para resultar eficaces.
-28-
Algunos programas de rastreo buscan características habituales de los programas virales; suelen ser menos fiables.
Los únicos programas que detectan todos los virus son los de comprobación de suma, que emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y después de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado. Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca.
Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobreescritura de ficheros informáticos o el formateo del disco duro de la computadora. Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad se efectúa automáticamente una comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten.
C. Contención y recuperación
Una vez detectada una infección viral, ésta puede contenerse aislando inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y empleando sólo discos protegidos contra escritura. Para que un sistema informático se recupere de una infección viral, primero hay que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a veces los resultados no son satisfactorios.
-29-
Se obtienen resultados más fiables desconectando la computadora infectada, arrancándola de nuevo desde un disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyéndolos por copias de seguridad de ficheros legítimos y borrando los virus que pueda haber en el sector de arranque inicial.
V. Estrategias virales
Los autores de un virus cuentan con varias estrategias para escapar de los programas antivirus y propagar sus creaciones con más eficacia. Los llamados virus polimórficos efectúan variaciones en las copias de sí mismos para evitar su detección por los programas de rastreo. Los virus sigilosos se ocultan del sistema operativo cuando éste comprueba el lugar en que reside el virus, simulando los resultados que proporcionaría un sistema no infectado. Los virus llamados infectores rápidos no sólo infectan los programas que se ejecutan sino también los que simplemente se abren. Esto hace que la ejecución de programas de rastreo antivírico en un ordenador infectado por este tipo de virus pueda llevar a la infección de todos los programas del ordenador. Los virus llamados infectores lentos infectan los archivos sólo cuando se modifican, por lo que los programas de comprobación de suma interpretan que el cambio de suma es legítimo. Los llamados infectores escasos sólo infectan en algunas ocasiones: por ejemplo, pueden infectar un programa de cada 10 que se ejecutan. Esta estrategia hace más difícil detectar el virus.
-30-
DAÑOS QUE OCACIONAN
Salvo los códigos que expertos denominan JOKER a los virus que sólo son burlas o chistes, los virus por lo general sólo tienen una finalidad: provocar daños o alteraciones en los sistemas.
Los otros objetivos comunes de los virus:
- áreas vitales del sistema: la memoria, el sector de arranque (boot sector), la Tabla de Particiones o el sector absoluto del disco llamado Master Boot Record (MBR).
- archivos ejecutables de aplicaciones: con extensión .EXE o .COM, y se podrían incluir las librerías de windows .DLL
- archivos de datos: son los que crea el usuario usando las aplicaciones.
Dependiendo del tipo de virus, un software antivirus puede reparar y reconstruir los archivos y áreas afectadas del sistema. Algunos virus por su accionar no pueden ser removidos de los archivos infectados o sus daños no pueden recuperarse.
-31-
Ciclo de Vida de un Virus
Los virus informáticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son erradicados completamente. El siguiente resumen describe cada etapa:
Creación: hasta unos años atrás, crear un virus requería del conocimiento del lenguaje de programación assembler. Hoy en día, cualquiera con un poco de conocimiento en programación puede crear un virus. Generalmente, los creadores de los virus, son personas maliciosas que desean causar daño a las computadoras.
Gestación: Luego de que el virus es creado, el programador hace copias asegurándose de que se diseminen. Generalmente esto se logra infectando un programa popular y luego enviándolo a algún BBS o distribuyendo copias en oficinas, colegios u otras organizaciones.
Reproducción: Los virus se reproducen naturalmente. Un virus bien diseñado se reproducirá por un largo tiempo antes de activarse, lo cual permite que se disemine por todos lados.
Activación: Los virus que contienen rutinas dañinas, se activarán bajo ciertas condiciones, por ejemplo, en determinada fecha o cuando el usuario haga algo determinado. Los virus sin rutina dañina no se activan, pero causan daño al robar espacio en el disco.
Descubrimiento: Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla un virus, se envía al International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de desarrollar los productos antivirus. El descubrimiento, normalmente ocurre por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática.
Asimilación: En este punto, quienes desarrollan los productos antivirus, modifican su programa para que éste pueda detectar los nuevos virus. Esto puede tomar de un día a seis meses, dependiendo de quien lo desarrolle y el tipo de virus.
-32-
Erradicación: Si suficiente cantidad de usuarios instalan una protección antivirus actualizada, puede erradicarse cualquier virus. Hasta ahora, ningún virus ha desaparecido completamente, pero algunos han dejado de ser una amenaza.
DAÑOS DE LOS VIRUS.
Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.
DAÑOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.
DAÑOS MENORES.
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.
-33-
c.DAÑOS MODERADOS.
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobreescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.
DAÑOS MAYORES.
Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último backup notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.
-34-
d.DAÑOS SEVEROS.
Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ...).
DAÑOS ILIMITADOS.
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.
-35-
II. Cómo se producen las infecciones
Los virus informáticos se difunden cuando las instrucciones —o código ejecutable— que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, lo mismo ocurre con el virus. Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema.
-36-
SÍNTOMAS TÍPICOS DE UNA INFECCIÓN.
-
El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.
-
El tamaño del programa cambia sin razón aparente.
-
El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente así.
-
Si se corre el CHKDSK no muestra "655360 bytes available".
-
En Windows aparece "32 bit error".
-
La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado, porque no siempre es así).
-
No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
-
Aparecen archivos de la nada o con nombres y extensiones extrañas.
-
Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido).
-
Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS).
-
En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A".
-
En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows '98 (No puedo evitarlo, es mas fuerte que yo...!!).
Una infección se soluciona con las llamadas "vacunas" (que impiden la infección) o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados. Hay cierto tipo de virus que no son desactivables ni removibles, por lo que se debe destruir el archivo infectado.
-37-
SOFTWARE DE PROTECCION
Para aquellos usuarios que están conectados siempre a Internet como en cable módem, que tienen un IP fijo (que es la dirección única de una computadora en Internet), son los que tienen mayor posibilidad de acceso remoto por intrusos.
Las conexiones mediante modem (Dial Up telefónico), no son tan propensas a intrusos ya que éstas direcciones se van renovando con cada conección. Aún así cada vez que estamos conectados a Internet, estamos vulnerables a ataques de terceros.
Para proteger los sistemas de computación de accesos de extraños existen programas denominados Firewalls (murallas de fuego). Su función es crear una barrera para evitar la intromisión en la Pc o la red sin consentimiento.
Los firewalls brindan seguridad haciendo que los puertos (los canales por el que los datos van y vienen por la red) sean invisibles. Algunos firewalls poseen más cualidades que otros, definen reglas específicas para cada puerto y también actúan sobre ciertas aplicaciones. Ellos monitorean todos los datos que circulan por la conexión de la máquina a Internet, asegurando que la máquina acepta tráfico que el mismo firewall aprueba.
-38-
ALGUNOS ANTIVIRUS.
-
DR. SOLOMON'S ANTIVIRUS TOOLKIT.
Certificado por la NCSA. Detecta más de 6.500 virus gracias a su propio lenguaje de detección llamado VirTran, con una velocidad de detección entre 3 y 5 veces mayor que los antivirus tradicionales.
Uno de los últimos desarrollos de S&S es la tecnología G. D. E. (Generic Decription Engine, Motor de Desencriptación Genérica) que permite detectar virus polimórficos sin importar el algoritmo de encriptación utilizado.
Permite detectar modificaciones producidas tanto en archivos como en la tabla de partición del disco rígido. Para ello utiliza Checksumms Criptográficos lo cual, sumado a una clave personal de cada usuario, hace casi imposible que el virus pueda descubrir la clave de encriptación.
Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en sectores de buteo y tablas de partición la protección es genérica, es decir, independiente del virus encontrado.
Otras características que presenta este antivirus, son:
-
Ocupa 9K de memoria extendida o expandida.
-
Documentación amplia y detallada en español y una enciclopedia sobre los virus más importantes.
-
Actualizaciones mensuales o trimestrales de software y manuales.
-
Trabaja como residente bajo Windows.
-
A. H. A. (Advanced Heuristic Analysis, Análisis Heurístico Avanzado).
-39-
NORTON ANTIVIRUS.
Certificado por la NCSA. Posee una protección automática en segundo plano. Detiene prácticamente todos los virus conocidos y desconocidos (a través de una tecnología propia denominada NOVI, que implica control de las actividades típicas de un virus, protegiendo la integridad del sistema), antes de que causen algún daño o pérdida de información, con una amplia línea de defensa, que combina búsqueda, detección de virus e inoculación (se denomina 'inoculación' al método por el cual este antivirus toma las características principales de los sectores de booteo y archivos para luego chequear su integridad. Cada vez que se detecta un cambio en dichas áreas, NAV avisa al usuario y provee las opciones de Reparar - Volver a usar la imagen guardada - Continuar - No realiza cambios - Inocular - Actualizar la imagen.
Utiliza diagnósticos propios para prevenir infecciones de sus propios archivos y de archivos comprimidos.
El escaneo puede ser lanzado manualmente o automáticamente a través de la planificación de fecha y hora. También permite reparar los archivos infectados por virus desconocidos. Incluye información sobre muchos de los virus que detecta y permite establecer una contraseña para aumentar así la seguridad.
La lista de virus conocidos puede ser actualizada periódicamente (sin cargo) a través de servicios en línea como Internet, América On Line, Compuserve, The Microsoft Network o el BBS propio de Symantec, entre otros.
-40-
VIRUSSCAN.
Este antivirus de McAfee Associates es uno de los más famosos. Trabaja por el sistema de scanning descripto anteriormente, y es el mejor en su estilo.
Para escanear, hace uso de dos técnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de Código) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Código).
Una de las principales ventajas de este antivirus es que la actualización de los archivos de bases de datos de strings es muy fácil de realizar, lo cual, sumado a su condición de programa shareware, lo pone al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuración de cómo detectar, reportar y eliminar virus.
-41-
CONCLUSION.
En razón de lo expresado pueden extraerse algunos conceptos que pueden considerarse necesarios para tener en cuenta en materia de virus informáticos:
-
No todo lo que afecte el normal funcionamiento de una computadora es un virus.
-
TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
-
Es imprescindible contar con herramientas de detección y desinfección.
-
NINGÚN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras debería tratar de implementar estrategias de seguridad antivirus, no sólo para proteger su propia información sino para no convertirse en un agente de dispersión de algo que puede producir daños graves e indiscriminados.
-42-
BIBLIOGRAFIA:
*Enciclopedia multimedia encarta
* Buscadores:
Google.com
Yahoo.com
Openchile.cl
Icarito.cl
-43-
INDICE:
Introducción 1
Como se clasifican los virus 2,3
Analisis del virus SIRCAM 4,5,6,7
Analisis del virus NIMDA 8 y 9
Metodo de infeccion del virus NIMDA 10 y 11
Virus W32. BADTRASNS.B@MM 12,13,14
Tipos de virus 18,19
Virus Ping Pong 20,21
Virus Avispa y Menem Tocoto 22
Virus Camouflage II , leproso, pindonga 23
Virus Tedy 24
Virus Melissa 25
Historia del Virus 26,27
Tacticas Antivíricas 28,29
Estrategias Virales 30
Daños que ocacionan 31
Ciclo de vida de un virus 32
Tipos de daños 33,34,35
Como se producen las infecciones 36
Síntomas tipicois de una infeccion 37
Software de proteccion 38
DR. Solomon`s y antivirus Toolkit 39
Norton Antivirus 40
Virusscan 41
Conclusión 42
Bibliografía 43
Descargar
Enviado por: | El remitente no desea revelar su nombre |
Idioma: | castellano |
País: | Chile |