Instituto San Antonio Maestro: Dadier Chávez Alumno: Gustavo Sabillon Asignatura: Informática Curso: II B.T.P Informática Sección: Unica Lugar y Fecha: Tela, Atlántida
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Instituto San Antonio
Maestro:Dadier Chvez
Alumno:Gustavo Sabillon
Asignatura:Informtica
Curso:II B.T.P InformticaSeccin:Unica
Lugar y Fecha:Tela, Atlntida
Introduccin
El informe se trata de los virus informticos que hay en todo el mundo
Conclusiones
Estos hechos y otros nos muestran claramente que los componentes del sistemade informacin no presentaban un adecuado nivel de seguridad. Ya que el delitose cometi con y sin intencin, utilizando siempre alguno de los diferentes tipos devirus.
Anexos
Medidas antivirus
Nadie que usa computadoras es inmune a los virus de computacin.Un programa antivirus por muy bueno que sea se vuelve obsoleto muyrpidamente ante los nuevos virus que aparecen da a da.Desactivar arranque desde disquete en el setup para que no se ejecuten virus deboot.
Bibliografa
Es,wikipedia.org_wiki informe
VIRUS
Hacia finales de los aos 60, Douglas McIlory, Vctor Vysottsky y Robert Morsidearon un juego al que llamaron Core War (Guerra en lo Central, aludiendo lamemoria de la computadora), que se convirti en el pasatiempo de algunos losprogramadores de los laboratorios Bell de AT&T.El juego consista en que dos jugadores escribieran cada uno un programallamado organismo, cuyo hbitat fuera la memoria de la computadora. A parteuna seal, cada programa intentaba forzar al otro a efectuar una instruccin de invlida, ganando el primero que lo consiguiera.Al trmino del juego, se borraba de la memoria todo rastro de la batalla, ya queestas actividades eran severamente sancionadas por los jefes por ser un granriesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del da siguiente. De esta manera surgieron los programas destinados a daar en la escena de la computacin.Histricamente los virus informticos fueron descubiertos por la prensa el 12 deoctubre de 1985, con una publicacin del New York Times que hablaba de un virus que fue se distribuyo desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta grfica EGA, pero al ejecutarlo sala la presentacin pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que deca "Caste".Bueno en realidad este fue el nacimiento de su nombre, ya que los programas con cdigo integrado, diseados para hacer cosas inesperadas han existido desde que existen las computadoras. Y ha sido siempre la obra de algn programador delgado de ojos de loco.Pero las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) emple una subrutina para protegersu famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso deser copia ilegal borraba todos los archivos de su unidad de disco.Uno de los primeros registros que se tienen de una infeccin data del ao 1987,cuando en la Universidad estadounidense de Delaware notaron que tenan unvirus porque comenzaron a ver " Brain" como etiqueta de los disquetes.La causa de ello era Brain Computer Services, una casa de computacin paquistan que, desde 1986, venda copias ilegales de software comercialinfectadas para, segn los responsables de la firma, dar una leccin a los piratas.Ellos haban notado que el sector de booteo de un disquete contena cdigoejecutable, y que dicho cdigo se ejecutaba cada vez que la mquina seinicializaba desde un disquete.Lograron reemplazar ese cdigo por su propio programa, residente, y que esteinstalara una rplica de s mismo en cada disquete que fuera utilizado de ah .Tambin en 1986, un programador llamado Ralf Burger se dio cuenta de que unarchivo poda ser creado para copiarse a s mismo, adosando una copia de l aotros archivos. Escribi una demostracin de este efecto a la que llam VIRDEM, que poda infectar cualquier archivo con extensin .COM.Esto atrajo tanto inters que se le pidi que escribiera un libro, pero, puesto que ldesconoca lo que estaba ocurriendo en Paquistn, no mencion a los virus desector de arranque (boot sector). Para ese entonces, ya se haba empezado adiseminar el virus Vienna.Actualmente, los virus son producidos en cantidades extraordinarias pormuchisima gente alrededor del planeta. Algunos de ellos dicen hacerlo pordivercion, otros quizs para probar sus habilidades. De cualquier manera, hasta seha llegado a notar un cierto grado de competitividad entre los autores de estos programas.El hecho de escribir programas vrales da al programador cierta fuerza coercitiva,lo pone fuera de las reglas convencionales de comportamiento. Este factor es uno de los ms importantes, pues el sentimiento de pertenencia es algo necesario paratodo ser humano, y es probado que dicho sentimiento pareciera verse reforzadoen situaciones marginales.Por otro lado, ciertos programadores parecen intentar legalizar sus actos poniendosus creaciones al alcance de mucha gente, (va Internet, BBS especializadas, etc.)haciendo la salvedad de que el material es peligroso, por lo cual el usuario deberatomar las precauciones del caso.
QU NO ES UN VIRUS
Existen algunos programas que, sin llegar a ser virus, ocasionan problemas alusuario. Estos no-virus carecen de por lo menos una de las tres caractersticasque identifican a un virus (daino, auto reproductor y subrepticio). Veamos unejemplo de estos no - virus: "Hace algunos aos, la red de I. B. M., encargada deconectar ms de 130 pases, fue virtualmente paralizada por haberse saturado conun correo electrnico que contena un mensaje de felicitacin navidea que, unavez ledo por el destinatario, se enviaba a s mismo a cada integrante de las listasde distribucin de correo del usuario. Al cabo de un tiempo, fueron tantos losmensajes que esperaban ser ledos por sus destinatarios que el trfico se volvidemasiado alto, lo que ocasion la cada de la red".Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamientode una computadora es necesariamente un virus.
Por ello, dar algunas de las pautas principales para diferenciar entre quedebepreocuparnos y qu no:BUGS (Errores en programas)Los bugs no son virus, y los virus no son bugs. Todos usamos programas quetienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muyextenso, eventualmente algo puede comenzar a ir mal dentro del programa, y estea negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desdela ltima grabacin. Esto, en muchos casos, se debe a ERRORES del programa.Todos los programas lo suficientemente complejos tienen bugs.
FALSA ALARMA
Algunas veces tenemos problemas con nuestro hardware o software y, luego deuna serie de verificaciones, llegamos a la conclusin de que se trata de un virus,pero nos encontramos con una FALSA ALARMA luego de correr nuestro programaantivirus.Desafortunadamente no hay una regla estricta por la cual guiarse, perocontestarse las siguientes preguntas puede ser de ayuda:Es slo un archivo el que reporta la falsa alarma (o quizs varios, pero copias delmismo)?.Solamente un producto antivirus reporta la alarma? (Otros productos dice que elsistema est limpio).Se indica una falsa alarma despus de correr mltiples productos, pero nodespus de bootear, sin ejecutar ningn programa?.Si al menos una de nuestras respuestas fue afirmativa, es muy factible queefectivamente se trate de una falsa alarma.
PROGRAMAS CORRUPTOS
A veces algunos archivos son accidentalmente daados, quizs por problemas dehardware. Esto quiere decir que no siempre que encontremos daos en archivosdeberemos estar seguros de estar infectados.
QUE ES UN VIRUS
Un virus es simplemente un programa, elaborado accidental o intencionadamente para instalarse en la computadora de un usuario sin el conocimiento o el permisode este.Podramos decir que es una secuencia de instrucciones y rutinas creadas con elnico objetivo de alterar el correcto funcionamiento del sistema y, en la inmensamayora de los casos, corromper o destruir parte o la totalidad de los datosalmacenados en el disco. De todas formas, dentro del trmino "virus informtico"se suelen englobar varios tipos de programas.Todos estos programas tienen en comn la creacin de efectos perniciosos; sinembargo, no todos pueden ser considerados como virus propiamente dichos.Decimos adems que es un programa parsito porque el programa ataca a losarchivos o sector es de "booteo" o arranque y se reproduce a s mismo paracontinuar su esparcimiento.Algunos se limitan solamente a multiplicarse, mientras que otros pueden producirserios daos que pueden afectar a los sistemas. Nunca se puede asumir que unvirus es inofensivo y dejarlo "flotando" en el sistema.Existen ciertas analogas entre los virus biolgicos y los informticos: mientras losprimeros son agentes externos que invaden clulas para alterar su informacingentica y reproducirse, los segundos son programas-rutinas, en un sentido msestricto, capaces de infectar archivos de computadoras, reproducindose una yotra vez cuando se accede a dichos archivos, daando la informacin existente enla memoria o alguno de los dispositivos de almacenamiento del ordenador.Tienen diferentes finalidades: Algunos slo 'infectan', otros alteran datos, otros loseliminan, algunos slo muestran mensajes. Pero el fin ltimo de todos ellos es elmismo: PROPAGARSE.Es importante destacar que el potencial de dao de un virus informtico nodepende de su complejidad sino del entorno donde acta.
TIPOS DE VIRUSLos virus se clasifican por el modo en que actan infectando lacomputadora:Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys /.binBoot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Particin.Mltiples: Infectan programas y sectores de "booteo".Bios: Atacan al Bios para desde all reescribir los discos duros.
Hoax: Se distribuyen por e-mail y la nica forma de eliminarlos es el uso delsentido comn.Al respecto, se trata de virus que no existe y que se utiliza para aterrar a losnovatos especialmente en la Internet a pesar que los rumores lo muestran comoalgo muy serio y a veces la informacin es tomada por la prensa especializada.Por lo general, como ya se expres, la difusin se hace por cadenas de e-mail conterribles e inopinadas advertencias. En realidad el nico virus es el mensaje.Por ltimo, cabe destacar que los HOAX estn diseados nicamente para asustara los novatos (y a los que no lo son tanto). Otros como el mensaje del carcinomacerebral de Jessica, Jessica Mydek, Anabelle, Ana, Billy y otros personajesimaginarios tampoco son reales como tampoco lo es la direccin [email protected],ya que fueron creados para producir congestionamiento en la Internet.A continuacin se da un pequeo repaso a cada uno de ellos poniendo demanifiesto sus diferencias. La clasificacin es la siguiente:Virus 'Puro'Caballo de TroyaBomba LgicaGusano o WormY OtrosTodos estos programas tienen en comn la creacin de efectos perniciosos; sinembargo, no todos pueden ser considerados como virus propiamente dichos.
Virus PuroUn verdadero virus tiene como caractersticas ms importantes la capacidad decopiarse a s mismo en soportes diferentes al que se encontraba originalmente, ypor supuesto hacerlo con el mayor sigilo posible y de forma transparente alusuario; a este proceso de auto rplica se le conoce como "infeccin", de ah queen todo este tema se utilice la terminologa propia de la medicina: "vacuna","tiempo de incubacin", etc. Como soporte entendemos el lugar donde el virus seoculta, ya sea fichero, sector de arranque, particin, etc.Un virus puro tambin debe modificar el cdigo original del programa o soporteobjeto de la infeccin, para poder activarse durante la ejecucin de dicho cdigo;al mismo tiempo, una vez activado, el virus suele quedar residente en memoriapara poder infectar as de forma trasparente al usuario.
Caballo de TroyaAl contrario que el virus puro, un Caballo de Troya es un programa maligno que seoculta en otro programa legtimo, y que produce sus efectos perniciosos alejecutarse este ultimo. En este caso, no es capaz de infectar otros archivos osoportes, y slo se ejecuta una vez, aunque es suficiente, en la mayora de lasocasiones, para causar su efecto destructivo.
Bomba LgicaSe trata simplemente de un programa maligno que permanece oculto en memoriay que solo se activa cuando se produce una accin concreta, predeterminada porsu creador: cuando se llega a una fecha en concreto ( Viernes 13 ), cuando seejecuta cierto programa o cierta combinacin de teclas, etc.
Gusano o WormPor ltimo, un gusano en un programa cuya nica finalidad es la de irconsumiendo la memoria del sistema, mediante la realizacin de copias sucesivasde s mismo, hasta desbordar la RAM, siendo sta su nica accin maligna.La barrera entre virus puros y el resto de programas malignos es muy difusa,prcticamente invisible, puesto que ya casi todos los virus incorporancaractersticas propias de uno o de varios de estos programas: por ejemplo, losvirus como el Viernes 13 son capaces de infectar otros archivos, siendo as viruspuro, pero tambin realizan su efecto destructivo cuando se da una condicinconcreta, la fecha Viernes 13, caracterstica propia de una bomba lgica; porltimo, se oculta en programas ejecutables teniendo as una cualidad de Caballode Troya. De ah la gran confusin existente a este respecto.
Virus De MacrosEsta entre las novedades surgidas ltimamente en el mundo de los virus, aunqueno son totalmente nuevos, parece que han esperado hasta 1995 para convertirseen una peligrosa realidad. Por desgracia, ya existe un nmero importante de virusde este tipo catalogados, que han sido escritos en WordBasic, el potente lenguajeincluido en Microsoft Word.Estos virus slo afectan a los usuarios de Word para Windows y consisten en unconjunto de macros de este procesador de textos. Aunque el peligro del virus serestringe a los usuarios de Word, tiene una importante propagacin ya que puedeinfectar cualquier texto, independientemente de la plataforma bajo la que ste seejecute: Mac, Windows 3.x, Windows NT, W95 y OS/2. Este es el motivo de supeligrosidad, ya que el intercambio de documentos en disquete o por red esmucho ms comn que el de ejecutables.
Virus MutantesSon los que al infectar realizan modificaciones a su cdigo, para evitar serdetectados o eliminados (NATAS o SATN, Miguel Angel, por mencionaralgunos).
virus Bombas de TiempoSon los programas ocultos en la memoria del sistema o en los discos, o en losarchivos de programas ejecutables con tipo COM o EXE. En espera de una fechao una hora determinadas para "explotar". Algunos de estos virus no sondestructivos y solo exhiben mensajes en las pantallas al llegar el momento de la"explosin". Llegado el momento, se activan cuando se ejecuta el programa quelas contiene.
virus Auto reproduccinSon los virus que realizan las funciones mas parecidas a los virus biolgicos, yaque se auto reproducen e infectan los programas ejecutables que se encuentranen el disco. Se activan en una fecha u hora programadas o cada determinadotiempo, contado a partir de su ltima ejecucin, o simplemente al "sentir" que seles trata de detectar. Un ejemplo de estos es el virus del Viernes 13, que seejecuta en esa fecha y se borra (junto con los programas infectados), evitando asser detectado.
Infecciones del sistemaSe introducen en los programas del sistema, por ejemplo COMMAND.COM y otrosque se alojan como residentes en memoria. Los comandos del Sistema Operativo,como COPY, DIR o DEL, son programas que se introducen en la memoria alcargar el Sistema Operativo y es as como el virus adquiere el control para infectartodo disco que sea introducido a la unidad con la finalidad de copiarlo osimplemente para ver sus carpetas (tambin llamadas: folders, subdirectorios,directorios).
Infecciones de programas ejecutablesEstos son los virus mas peligrosos, porque se diseminan fcilmente haciacualquier programa (como hojas de clculo, juegos, procesadores de palabras).La infeccin se realiza al ejecutar el programa que contiene al virus, que en esemomento se posiciona en la memoria de la computadora y a partir de entoncesinfectar todos los programas cuyo tipo sea EXE o COM, en el instante deejecutarlos, para invadirlos autocopindose en ellos.Aunque la mayora de estos virus ejecutables "marca" con un byte especial losprogramas infectados --para no volver a realizar el proceso en el mismo discoalgunos de ellos (como el de Jerusaln) se duplican tantas veces en el mismoprograma y en el mismo disco, que llegan a saturar su capacidad de almacenamiento.
CARACTERSTICAS DE LOS VIRUSEl virus es un pequeo software (cuanto ms pequeo ms fcil de esparcir y msdifcil de detectar), que permanece inactivo hasta que un hecho externo hace queel programa sea ejecutado o el sector de "booteo" sea ledo. De esa forma elprograma del virus es activado y se carga en la memoria de la computadora,desde donde puede esperar un evento que dispare su sistema de destruccin o seduplique a s mismo.Los virus pueden llegar a "camuflarse" y esconderse para evitar la deteccin yreparacin. Como lo hacen:El virus re-orienta la lectura del disco para evitar ser detectado;Los datos sobre el tamao del directorio infectado son modificados en la FAT, paraevitar que se descubran bytes extra que aporta el virus;Los virus se transportan a travs de programas tomados de BBS (Bulletin Boards)o copias de software no original, infectadas a propsito o accidentalmente.Tambin cualquier archivo que contenga "ejecutables" o "macros" puede serportador de un virus: downloads de programas de lugares inseguros; e-mail con"attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existenvirus que se distribuyen con MS-Power Point. Los archivos de datos, texto o Html
NO PUEDEN contener virus, aunque pueden ser daados por estos.Los virus de sectores de "booteo" se instalan en esos sectores y desde all vansaltando a los sectores equivalentes de cada uno de los drivers de la PC. Puedendaar el sector o sobreescribirlo. Lamentablemente obligan al formateo del discodel drive infectado. En cambio los virus de programa, se manifiestan cuando la aplicacin infectada esejecutada, el virus se activa y se carga en la memoria, infectando a cualquierprograma que se ejecute a continuacin.Asimismo, se pueden distinguir tres mdulos principales de un virus informtico:
Mdulo de ReproduccinMdulo de AtaqueMdulo de Defensa
El mdulo de reproduccinse encarga de manejar las rutinas de "parasitacin" de entidades ejecutables (oarchivos de datos, en el caso de los virus macro) a fin de que el virus puedaejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistemae infectar otras entidades permitiendo se traslade de una computadora a otra atravs de algunos de estos archivos.El mdulo de ataquees optativo En caso de estar presente es el encargado de manejar las rutinas dedao adicional del virus. Por ejemplo, el conocido virus Michelangelo, adems deproducir los daos que se detallarn ms adelante, tiene un mdulo de ataque quese activa cuando el reloj de la computadora indica 6 de Marzo. En estascondiciones la rutina acta sobre la informacin del disco rgido volvindolainutilizable.
El mdulo de defensaTiene, obviamente, la misin de proteger al virus y, como el de ataque, puedeestar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello queprovoque la remocin del virus y retardar, en todo lo posible, su deteccin.
EFECTOS Y DAOS
DAOS DE LOS VIRUSDefiniremos dao como accin una indeseada, y los clasificaremos segn lacantidad de tiempo necesaria para reparar dichos daos. Existen seis categorasde daos hechos por los virus, de acuerdo a la gravedad.
DAOS TRIVIALESSirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacersedel virus implica, generalmente, segundos o minutos.
DAOS MENORESUn buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, losviernes 13, todos los programas que uno trate de usar despus de que el virushaya infectado la memoria residente. En el peor de los casos, tendremos quereinstalar los programas perdidos. Esto nos llevar alrededor de 30 minutos.
DAOS MODERADOSCuando un virus formatea el disco rgido, mezcla los componentes de la FAT (FileAllocation Table, Tabla de Ubicacin de Archivos), o sobreescribe el disco rgido.En este caso, sabremos inmediatamente qu es lo que est sucediendo, ypodremos reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizsnos lleve una hora.
DAOS MAYORES.Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasardesapercibidos, pueden lograr que ni an restaurando un backup volvamos alltimo estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, queinfecta archivos y acumula la cantidad de infecciones que realiz. Cuando estecontador llega a 16, elige un sector del disco al azar y en l escribe la frase:"Eddie lives somewhere in time" (Eddie vive en algn lugar del tiempo).Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero elda en que detectemos la presencia del virus y queramos restaurar el ltimobackup notaremos que tambin l contiene sectores con la frase, y tambin losbackups anteriores a ese.Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muyprobablemente hayamos perdido una gran cantidad de archivos que fueroncreados con posterioridad a ese backup.DAOS SEVEROSLos daos severos son hechos cuando un virus realiza cambios mnimos,graduales y progresivos. No sabemos cundo los datos son correctos o hancambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (esdecir, no podemos buscar la frase Eddie lives ...).
DAOS ILIMITADOSAlgunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros,obtienen la clave del administrador del sistema y la pasan a un tercero. Cabeaclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea unnuevo usuario con los privilegios mximos, fijando el nombre del usuario y laclave. El dao es entonces realizado por la tercera persona, quien ingresar alsistema y hara lo q Modificacin de programas para que dejen de funcionar.
Modificacin de programas para que funcionen errneamente.Modificacin sobre los datos.Eliminacin de programas y/o datos.Acabar con el espacio libre en el disco rgido.Hacer que el sistema funcione mas lentamente.Robo de informacin confidencial.
HARDWAREBorrado del BIOSQuemado del procesador por falsa informacin del sensor de temperaturaRotura del disco rgido al hacerlo leer repetidamente sectores especficos quefuercen su funcionamiento mecnico.
SNTOMAS TPICOS DE UNA INFECCIN.El sistema operativo o un programa toma mucho tiempo en cargar sin raznaparente.El tamao del programa cambia sin razn aparente.El disco duro se queda sin espacio o reporta falta de espacio sin que esto seanecesariamente as.Si se corre el CHKDSK no muestra "655360 bytes available".En Windows aparece "32 bit error".La luz del disco duro en la CPU continua parpadeando aunque no se estetrabajando ni haya protectores de pantalla activados. (Se debe tomar estesntoma con mucho cuidado, porque no siempre es as).No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.Aparecen archivos de la nada o con nombres y extensiones extraas.Sntomas que indican la presencia de VirusCambios en la longitud de los programasCambios en la fecha y / u hora de los archivosRetardos al cargar un programaOperacin ms lenta del sistemaReduccin de la capacidad en memoria y / o disco rgidoSectores defectuosos en los disquetes Mensajes de error inusualesActividad extraa en la pantallaFallas en la ejecucin de los programasFallas al bootear el equipo. Cmo se propagan los virus1.Disquetes u otro medio de almacenamiento removible2.Software pirata en disquetes o CDs3.Redes de computadoras4.Mensajes de correo electrnico4.Software bajado de Internet5.Discos de demostracin y pruebas gratuitos6.Aadidura o empalme:
El cdigo del virus se agrega al final del archivo a infectar, modificando lasestructuras de arranque del archivo de manera que el control del programa pasepor el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sustareas especficas y luego entregue el control al programa. Esto genera unincremento en el tamao del archivo lo que permite su fcil deteccin.Insercin:El cdigo del virus se aloja en zonas de cdigo no utilizadas o en segmentos dedatos para que el tamao del archivo no vare. Para esto se requieren tcnicasmuy avanzadas de programacin, por lo que no es muy utilizado este mtodo.Reorientacin:Es una variante del anterior. Se introduce el cdigo principal del virus en zonasfsicas del disco rgido que se marcan como defectuosas y en los archivos seimplantan pequeos trozos de cdigoque llaman al cdigo principal al ejecutarseel archivo. La principal ventaja es que al no importar el tamao del archivo elcuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Sueliminacin es bastante sencilla, ya que basta con rescribir los sectores marcadoscomo defectuosos.
Polimorfismo:Este es el mtodo mas avanzado de contagio. La tcnica consiste en insertar elcdigo del virus en un archivo ejecutable, pero para evitar el aumento de tamaodel archivo infectado, el virus compacta parte de su cdigo y del cdigo del archivoanfitrin, de manera que la suma de ambos sea igual al tamao original delarchivo. Al ejecutarse el programa infectado, acta primero el cdigo del virusdescompactando en memoria las porciones necesarias. Una variante de estatcnica permite usar mtodos de encriptacin dinmicos para evitar ser detectadospor los antivirus.
Sustitucin:Es el mtodo mas tosco. Consiste en sustituir el cdigo original del archivo por eldel virus. Al ejecutar el archivo deseado, lo nico que se ejecuta es el virus, paradisimular este proceder reporta algn tipo de error con el archivo de forma quecreamos que el problema es del archivo.
FormatC: Troyano que infecta el Word, al abrir un archivo infectado formatea eldisco rgido.Back Orifice2000 (BO2K): Funcionalmente es un virus y sirve para el robo deinformacin. Permite tomar control remoto de la PC o del servidor infectados, conla posibilidad de robar informacin y alterar datos.VBS/Bubbleboy: Troyano que se ejecuta sin necesidad de abrir un attachment, yse activa inmediatamente despus de que el usuario abra el mail. No generaproblemas serios.
FORMAS DE OCULTAMIENTOUn virus puede considerarse efectivo si, adems de extenderse lo msampliamente posible, es capaz de permanecer oculto al usuario el mayor tiempoposible; para ello se han desarrollado varias tcnicas de ocultamiento o sigilo.Para que estas tcnicas sean efectivas, el virus debe estar residente en memoria,puesto que debe monitorizar el funcionamiento del sistema operativo. La baseprincipal del funcionamiento de los virus y de las tcnicas de ocultamiento,adems de la condicin de programas residentes, la intercepcin deinterrupciones. El DOS y los programas de aplicacin se comunican entre smediante el servicio de interrupciones, que son como subrutinas del sistemaoperativo que proporcionan una gran variedad de funciones a los programas. Lasinterrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco,abrir ficheros, fijar la hora del sistema, etc. Y es aqu donde el virus entra enaccin, ya que puede sustituir alguna interrupcin del DOS por una suya propia yas, cuando un programa solicite un servicio de esa interrupcin, recibir elresultado que el virus determine.Entre las tcnicas ms usuales cabe destacar el ocultamiento o stealth, queesconde los posibles signos de infeccin del sistema. Los sntomas ms claros delataque de un virus los encontramos en el cambio de tamao de los ficheros, de lafecha en que se crearon y de sus atributos, y en la disminucin de la memoriadisponible.Estos problemas son indicadores de la posible presencia de un virus, peromediante la tcnica stealth es muy fcil (siempre que se encuentre residente elvirus) devolver al sistema la informacin solicitada como si realmente los ficherosno estuvieran infectados. Por este motivo es fundamental que cuando vayamos arealizar un chequeo del disco duro arranquemos el ordenador con un disco desistema totalmente limpio.El mdulo de reproduccin
Se encarga de manejar las rutinas de "parasitacin" de entidades ejecutables (oarchivos de datos, en el caso de los virus macro) a fin de que el virus puedaejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistemae infectar otras entidades permitiendo se traslade de una computadora a otra atravs de algunos de estos archivos.El mdulo de ataquees optativo. En caso de estar presente es el encargado de manejar las rutinas dedao adicional del virus. Por ejemplo, el conocido virus Michelangelo, adems deproducir los daos que se detallarn ms adelante, tiene un mdulo de ataque quese activa cuando el reloj de la computadora indica 6 de Marzo. En estascondiciones la rutina acta sobre la informacin del disco rgido volvindolainutilizable.El mdulo de defensatiene, obviamente, la misin de proteger al virus y, como el de ataque, puede estaro no presente en la estructura. Sus rutinas apuntan a evitar todo aquello queprovoque la remocin del virus y retardar, en todo lo posible, su deteccin.Formas De InfeccinAntes de nada, hay que recordar que un virus no puede ejecutarse por si solo,necesita un programa portador para poder cargarse en memoria e infectar;asimismo, para poder unirse a un programa portador necesita modificar laestructura de este, para que durante su ejecucin pueda realizar una llamada alcdigo del virus.Las partes del sistema ms susceptibles de ser infectadas son el sector dearranque de los disquetes, la tabla de particin y el sector de arranque del discoduro, y los ficheros ejecutables (*.EXE y *.COM). Para cada una de estas partestenemos un tipo de virus, aunque muchos son capaces de infectar por s solosestos tres componentes del sistema.En los disquetes, el sector de arranque es una zona situada al principio del disco,que contiene datos relativos a la estructura del mismo y un pequeo programa,que se ejecuta cada vez que arrancamos desde disquete.En este caso, al arrancar con un disco contaminado, el virus se queda residenteen memoria RAM, y a partir de ah, infectara el sector de arranque de todos losdisquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco,dependiendo de cmo est programado el virus).El proceso de infeccin consiste en sustituir el cdigo de arranque original deldisco por una versin propia del virus, guardando el original en otra parte deldisco; a menudo el virus marca los sectores donde guarda el boot original como enmal estado, protegindolos as de posibles accesos, esto suele hacerse por dosmotivos: primero, muchos virus no crean una rutina propia de arranque, por lo queuna vez residentes en memoria, efectan una llamada al cdigo de arranqueoriginal, para iniciar el sistema y as aparentar que se ha iniciado el sistema comosiempre, con normalidad. Segundo, este procedimiento puede ser usado comotcnica de ocultamiento.
Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector dearranque, por lo que en ste suele copiar una pequea parte de si mismo, y elresto lo guarda en otros sectores del disco, normalmente los ltimos marcndoloscomo defectuosos. Sin embargo, puede ocurrir que alguno de los virus nomarquen estas zonas, por lo que al llenar el disco estos sectores pueden sersobrescritos y as dejar de funcionar el virus.La tabla de particin esta situada en el primer sector del disco duro, y contiene unaserie de bytes de informacin de cmo se divide el disco y un pequeo programade arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virusde particin suplanta el cdigo de arranque original por el suyo propio; as, alarrancar desde disco duro, el virus se instala en memoria para efectuar susacciones. Tambin en este caso el virus guarda la tabla de particin original enotra parte del disco, aunque algunos la marcan como defectuosa y otros no.Muchos virus guardan la tabla de particin y a ellos mismos en los ltimossectores de disco, y para proteger esta zona, modifican el contenido de la tablapara reducir el tamao lgico del disco. De esta forma el DOS no tiene acceso aestos datos, puesto que ni siquiera sabe que esta zona existe.Casi todos los virus que afectan la particin tambin son capaces de hacerlo en elboot de los disquetes y en los ficheros ejecutables; un virus que actuara sobreparticiones de disco duro tendra un campo de trabajo limitado, por lo que suelencombinar sus habilidades.Con todo, el tipo de virus que ms abunda es el de fichero; en este caso usancomo vehculo de expansin los archivos de programa o ejecutables, sobre todo.EXE y . COM, aunque tambin a veces .OVL, .BIN y .OVR. AL ejecutarse unprograma infectado, el virus se instala residente en memoria, y a partir de ahpermanece al acecho; al ejecutar otros programas, comprueba si ya se encuentraninfectados. Si no es as, se adhiere al archivo ejecutable, aadiendo su cdigo alprincipio y al final de ste, y modificando su estructura de forma que al ejecutarsedicho programa primero llame al cdigo del virus devolviendo despus el control alprograma portador y permitiendo su ejecucin normal.Este efecto de adherirse al fichero original se conoce vulgarmente como"engordar" el archivo, ya que ste aumenta de tamao al tener que albergar en suinterior al virus, siendo esta circunstancia muy til para su deteccin. De ah que lainmensa mayora de los virus sean programados en lenguaje ensamblador, por serel que genera el cdigo ms compacto, veloz y de menor consumo de memoria;un virus no seria efectivo si fuera fcilmente detectable por su excesiva ocupacinen memoria, su lentitud de trabajo o por un aumento exagerado en el tamao delos archivos infectados. No todos los virus de fichero quedan residentes enmemoria, si no que al ejecutarse se portador, stos infectan a otro archivo, elegidode forma aleatoria de ese directorio o de otros.
La autoencriptacin o self-encryption es una de las tcnicas vricas msextendidas. En la actualidad casi todos los nuevos ingenios destructivos soncapaces de encriptarse cada vez que infectan un fichero, ocultando de esta formacualquier posible indicio que pueda facilitar su bsqueda. No obstante, todo virusencriptado posee una rutina de desencriptacin, rutina que es aprovechada por losantivirus para remotoizar el origen de la infeccin.El mayor avance en tcnicas de encriptacin viene dado por el polimorfismo.Gracias a l un virus no slo es capaz de encriptarse sino que adems vara larutina empleada cada vez que infecta un fichero. De esta forma resulta imposibleencontrar coincidencias entre distintos ejemplares del mismo virus, y ante estatcnica el tradicional mtodo de bsqueda de cadenas caractersticas se muestraintil.Otra tcnica bsica de ocultamiento es la intercepcin de mensajes de error delsistema. Supongamos que un virus va a infectar un archivo de un disco protegidocontra escritura; al intentar escribir en el obtendramos el mensaje: "Error deproteccin contra escritura leyendo unidad A Anular, Reintentar, Fallo?", por lo quedescubriramos el anormal funcionamiento de nuestro equipo. Por eso, al virus lebasta con redireccionar la interrupcin a una rutina propia que evita la salida deestos mensajes, consiguiendo as pasar desapercibido.
VIRUS EN INTERNETEn ocasiones se propagan rumores que dan por cierto noticias de dudosaprocedencia. Ms o menos esto es lo que ha sucedido de un tiempo a esta partecon el virus por correo electrnico de Internet conocido por Good Times.Lgicamente las primeras noticias de esta maligna creacin aparecieron en la redde redes, en un mensaje alarmante que deca que si algn usuario reciba unmensaje con el tema Good Times no deba abrirlo o grabarlo si no quera perdertodos los datos de su disco duro. Posteriormente el mensaje recomendaba que seinformara a todo el mundo y se copiara el aviso en otros lugares. En esta ocasinel rumor es totalmente falso, aunque todava sigue existiendo gente que se lo creey no es raro encontrar en algn medio de comunicacin electrnica nuevoreenvos del mensaje original. De hecho, es totalmente inviable la posibilidad deuna infeccin va correo electrnico.El riesgo de contraer un virus en la Internet es menor que de cualquier otramanera, tanto los mensajes de correo, como las pgina WEB transfieren datos.Slo si se trae un software por la red y lo instala en su mquina puede contraer unvirus
Una infeccin se soluciona con las llamadas "vacunas" (que impiden la infeccin)o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus delos archivos infectados. Hay cierto tipo de virus que no son desactivables niremovibles, por lo que se debe destruir el archivo infectado.Mi computadora puede contraer una infeccin cuando navego porinternet?Por el simple hecho de estar conectado a internet no se transfiere ningun tipo devirus informtico. Existe quiz algn peligro, examinando pginas web o "bajando"archivos de la red.Las pginas web que utilizan objetos ActiveX pueden contener virus, puesto queellos son realmente ficheros ejecutables, recogidos por nuestro navegador yejecutados en nuestras PC. Podran eventualmente ser utilizadosinescrupulosamente para propagar un virus.La "seguridad" de los objetos ActiveX consiste simplemente en un certificadodigital de autenticidad, "firmado" por quien ha creado el objeto. Pero un simplecertificado de autenticidad no puede garantizar que no est un virus presente.Tambin podemos recibir pginas que utilizan Applets de Java. Estos programasno llegan a ser descargados por nuestro navegador, se ejecutan en un entornomuy restringido, y no hay acceso a la PC, o al disco duro, con lo que resultaprcticamente imposible infectarnos con applets (al menos hoy por hoy).Durante el proceso de descarga de ficheros, tambin es muy difcil recoger unvirus, tenemos las mismas condiciones que con los applets de java, pero una vezque el fichero ha llegado completamente a nuestro PC, debe ser chequeadoantes de ejecutarse, ya que podria contener un virus.
Qu hacer con los virus del correo electrnico?Con estos podemos estar tranquilos, ya que un virus no puede copiarse ni rompernuestro disco duro tan solo por leer un correo electrnico, porque se tratasimplemente de un archivo de texto (no ejecutable).Una cosa muy diferente, son los ficheros adjuntos (attachments), ya que podemosrecibir un fichero ejecutable que podria contener un virus. Lo mejor es no ejecutardirectamente los archivos desde nuestro navegador, sino almacenarlos ennuestro disco duro y antes de ejecutarlos, chequearlos con un anti-virus confiable.Es recomendable por lo mismo, abstenerse en lo posible de enviar archivosadjuntos, por idntico riesgo que representa para nuestros corresponsales.Si su programa de correo electrnico esta configurado para leer los mensajesautomticamente con Microsoft Word, es posible recibir un virus-macro e infectar anuestro Ms-Word. Si tiene esta opcin activada; desactvala, y chequea losficheros recibidos antes de ejecutarlos.Finalmente, y por si quedara alguna duda, lo mejor es tomar por norma eliminarlos ficheros recibidos por corresponsales desconocidos, aquellos que no hemossolicitado. No exponga sus datos a un riesgo innecesario por abrir (o ejecutar) unarchivo desconocido.
QU ES UN ANTIVIRUS?No para toda enfermedad existe cura, como tampoco existe una forma deerradicar todos y cada uno de los virus existentes.Es importante aclarar que todo antivirus es un programa y que, como todoprograma, slo funcionar correctamente si es adecuado y est bien configurado.Adems, un antivirus es una herramienta para el usuario y no slo no ser eficazpara el 100% de los casos, sino que nunca ser una proteccin total nidefinitiva.
Medidas antivirusNadie que usa computadoras es inmune a los virus de computacin.Un programa antivirus por muy bueno que sea se vuelve obsoleto muyrpidamente ante los nuevos virus que aparecen da a da.Desactivar arranque desde disquete en el setup para que no se ejecuten virus deboot.Desactivar compartir archivos e impresoras.Analizar con el antivirus todo archivo recibido por e-mail antes de abrirlo.Actualizar antivirus.Activar la proteccin contra macrovirus del Word y el Excel.Sea cuidadoso al bajar archivos de Internet (Analice si vale el riesgo y si el sitio esseguro)No enve su informacin personal ni financiera a menos que sepa quien se lasolicita y que sea necesaria para la transaccin.No comparta discos con otros usuarios.No entregue a nadie sus claves, incluso si lo llaman del servicio de Internet u otro.Ensee a sus nios las practicas de seguridad, sobre todo la entrega deinformacin.Cuando realice una transaccin asegrese de utilizar una conexin bajo SSLProteja contra escritura el archivo Normal.dotDistribuya archivos RTF en vez de DOCs,Realice backupsHechos CriminalesEntre los hechos criminales ms famosos en los E.E.U.U. estn:El caso del Banco Wells Fargo donde se evidencio que la proteccin de archivosera inadecuada, cuyo error costo USD 21.3 millones.El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.El caso de un muchacho de 15 aos que entrando a la computadora de laUniversidad de Berkeley en California destruyo gran cantidad de archivos.Tambin se menciona el caso de un estudiante de una escuela que ingreso a unared canadiense con un procedimiento de admirable sencillez, otorgndose unaidentificacin como un usuario de alta prioridad, y tomo el control de unaembotelladora de Canad.Tambin el caso del empleado que vendi la lista de clientes de una compaa deventa de libros, lo que causo una perdida de USD 3 millones.
Related Documents
