LOS VIRUS INFORMÁTICOS

Anuncio
Es un pequeño programa escrito intencionalmente para
instalarse en el computador de un usuario sin el
conocimiento o el permiso de este y con el propósito de
causar daño. Decimos que es un programa parásito
porque el programa ataca a los archivos o sector es de
"booteo" y se replica a sí mismo para continuar su
esparcimiento.
Es dañino. Un virus informático siempre causa daños en el sistema que infecta,
pero vale aclarar que el hacer daño no significa que vaya a romper algo. El daño
puede ser implícito cuando lo que se busca es destruir o alterar información o
pueden ser situaciones con efectos negativos para la computadora, como
consumo de memoria principal, tiempo de procesador, disminución de la
performance.
Es auto reproductor. A nuestro parecer la característica más importante de este
tipo de programas es la de crear copias de sí mismo, cosa que ningún otro
programa convencional hace. Imagínense que si todos tuvieran esta capacidad
podríamos instalar un procesador de textos y un par de días más tarde
tendríamos tres de ellos o más. Consideramos ésta como una característica
propia de virus porque los programas convencionales pueden causar daño,
aunque sea accidental, sobrescribiendo algunas librerías y pueden estar ocultos a
la vista del usuario, por ejemplo: un programita que se encargue de legitimar las
copias de software que se instalan.
Es subrepticio. Esto significa que utilizará varias técnicas para evitar que el
usuario se dé cuenta de su presencia. La primera medida es tener un tamaño
reducido para poder disimularse a primera vista. Puede llegar a manipular el
resultado de una petición al sistema operativo de mostrar el tamaño del archivo e
incluso todos sus atributos.
Polimorfos
Del sector de Arranque (Boot)
Virus de Archivo: Acción Directa
Sobreescritura
Compañía
Virus de Macros
Virus .BAT
Virus MIRC
VIRUS POLIMORFOS O MUTANTES:
Los virus polimorfos poseen la capacidad de encriptar el
cuerpo del virus para que no pueda ser detectado
fácilmente por un antivirus. Solo deja disponibles unas
cuantas rutinas que se encargaran de desencriptar el virus
para poder propagarse. Una vez desencriptado el virus
intentará alojarse en algún archivo de la computadora.
En este punto tenemos un virus que presenta otra forma
distinta a la primera, su modo desencriptado, en el que
puede infectar y hacer de las suyas libremente. Pero para
que el virus presente su característica de cambio de formas
debe poseer algunas rutinas especiales. Si mantuviera
siempre su estructura, esté encriptado o no, cualquier
antivirus podría reconocer ese patrón.
VIRUS DE SECTOR DE ARRANQUE (BOOT).
Utilizan el sector de arranque, el cual contiene la informacion sobre el tipo de disco, es
decir, numero de pistas, sectores, caras, tamaño de la FAT, sector de comienzo, etc.
Atodo esto hay que sumarle un pequeño programa de arranque que verifica si el disco
puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque
para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones
el virus marca los sectores donde guarda el Boot original como defectuosos; de esta
forma impiden que sean borrados. En el caso de discos duros pueden utilizar tambien la
tabla de particiones como ubicacion. Suelen quedar residentes en memoria al hacer
cualquier operacion en un disco infectado, a la espera de replicarse. Como ejemplo
representativos esta el Brain.
VIRUS DE ARCHIVOS.
Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas
afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM...) los que
estan en boga gracias a los virus de macro (descritos mas adelante). Normalmente
insertan el codigo del virus al principio o al final del archivo, manteniendo intacto el
programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y
luego devuelve el control al programa original para que se continue de modo normal. El
Viernes
13
es
un
ejemplar
representativo
de
este
grupo.
Dentro de la categoria de virus de archivos podemos encontrar mas subdivisiones,
como los siguientes:
Virus de accion directa. Son auellos que no quedan residentes en memoria y que se
replican
en
el
momento
de
ejecutarse
un
archivo
infectado.
Virus de sobreescritura. Corrompen el achivo donde se ubican al sobreescribirlo.
Virus de compañia. Aprovechan una caracteristica del DOS, gracias a la cual si
llamamos un archivo para ejecutarlo sin indicar la extension el sistema operativo
buscara en primer lugar el tipo COM. Este tipo de virus no modifica el programa original,
sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo
el virus con extension COM. De manera que cuando tecleamos el nombre ejecutaremos
en primer lugar el virus, y posteriormente este pasara el control a la aplicacion original.
VIRUS DE MACRO.
Es una familia de virus de reciente aparicion y gran expansion. Estos estan programas
usando el lenguaje de macros WordBasic, gracias al cual pueden infectar y replicarse a
traves de archivos MS-Word (DOC). En la actualidad esta tecnica se ha extendido a
otras aplicaciones como Excel y a otros lenguajes de macros, como es el caso de los
archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de
virus, que son multiplataformas en cuanto a sistemas operativos, ya que dependen
unicamente de la aplicacion. Hoy en dia son el tipo de virus que estan teniendo un
mayor auge debido a que son facilies de programar y de distibuir a traves de Internet.
Aun no existe una concienciacion del peligro que puede representar un simple
documento de texto.
Porcion de codigo de un tipico virus Macro:
Sub MAIN
DIM dlg As FileSaveAs
GetCurValues dlg
ToolsOptionsSave.GlobalDotPrompt=0
Ifcheckit(0)=0 Then
MacroCopy FileName$() + ":autoopen",
"global;autoopen"
End If
VIRUS BAT.
Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen
replicarse y efectuar efectos dañinos como cualquier otro tipo virus.
En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para
colocar en memoria virus comunes. Para ello se copian a si mismo como archivos COM y
se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a codigo maquina
son <<comodines>> y no producen ningun efecto que altere el funcionamiento del
virus.
VIRUS DEL MIRC.
Vienen a formar parte de la nueva generacion Internet y demuestra que la Red abre
nuevas forma de infeccion. Consiste en un script para el cliente de IRC Mirc. Cuando
alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe
por DCC un archivo llamado "script.ini".
Existen dos grandes clases de contagio. En la primera, el usuario, en un momento dado,
ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda, el
programa malicioso actúa replicándose a través de las redes. En este caso se habla de
gusanos.
En cualquiera de los dos casos, el sistema
operativo infectado comienza a sufrir una serie de
comportamientos anómalos o imprevistos. Dichos
comportamientos pueden dar una pista del
problema y permitir la recuperación del mismo.
Dentro de las contaminaciones más frecuentes por
interacción del usuario están las siguientes:
1. Mensajes que ejecutan automáticamente
programas (como el programa de correo
que abre directamente un archivo adjunto).
2. Ingeniería social, mensajes como ejecute este programa y gane un premio, o,
más comúnmente: Haz 2 clics y gana 2 tonos para móvil gratis..
3. Entrada de información en discos de otros usuarios infectados.
4. Instalación de software modificado o de dudosa procedencia.
En el sistema Windows puede darse el caso de que la computadora pueda infectarse sin
ningún tipo de intervención del usuario (versiones Windows 2000, XP y Server 2003) por
virus como Blaster, Sasser y sus variantes por el simple hecho de estar la máquina
conectada a una red o a Internet.
Fase 1. Infección: Virus pasa a la memoria
Fase 2. Latencia: Virus se replica
Fase 3. Activación: Ejecuta su poder destructivo
Reducción del espacio libre en la memoria o
disco duro.
Un virus, cuando entra en un ordenador, debe
situarse obligatoriamente en la memoria RAM , y por
ello ocupa una porción de ella. Por tanto, el tamaño
útil operativo de la memoria se reduce en la misma
cuantía que tiene el código del virus.
o Aparición de mensajes de error no
comunes.
o Fallos en la ejecución de programas.
o Frecuentes caídas del sistema
o Tiempos de carga mayores.
o Las operaciones rutinarias se realizan con mas lentitud.
o Aparición de programas residentes en memoria desconocidos.
Actividad y comportamientos inusuales de la pantalla.
Muchos de los virus eligen el sistema de vídeo para notificar al usuario su
presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres
de esta nos puede notificar la presencia de un virus.
El disco duro aparece con sectores en mal estado
Algunos virus usan sectores del disco para camuflarse, lo que hace que
aparezcan como dañados o inoperativos.
Cambios en las características de los ficheros ejecutables
Casi todos los virus de fichero, aumentan el tamaño de un fichero ejecutable
cuando lo infectan. También puede pasar, si el virus no ha sido programado por
un experto, que cambien la fecha del fichero a la fecha de infección.
Aparición de anomalías en el teclado
Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan
acciones perniciosas en el ordenador. También suele ser común el cambio de la
configuración de las teclas, por la del país donde se programó el virus.
Software malicioso o software malintencionado, es un tipo de software que tiene
como objetivo infiltrarse o dañar un computadora o Sistema de información sin el
consentimiento de su propietario. No obstante no se consideran virus pues no cumplen
las dos condiciones fundamentales de éstos:
1. Debe ser capaz de ejecutarse a sí mismo. A menudo coloca su propio código en
la ruta de ejecución de otro programa.
2. Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos
ejecutables con una copia del archivo infectado. Los virus pueden infectar tanto
equipos de escritorio como servidores de red.
Entre el Malware considera erróneamente como virus informático tenemos:
Gusanos:
Los gusanos son programas que se replican a
sí mismos de sistema a sistema sin utilizar un
archivo para hacerlo. En esto se diferencian de
los virus, que necesitan extenderse mediante
un archivo infectado. Aunque los gusanos
generalmente se encuentran dentro de otros
archivos, a menudo documentos de Word o
Excel, existe una diferencia en la forma en que
los gusanos y los virus utilizan el archivo que
los alberga. Normalmente el gusano generará un documento que ya contendrá la macro
del gusano dentro. Todo el documento viajará de un equipo a otro, de forma que el
documento completo debe considerarse como gusano. PrettyPark.Worm es un buen
ejemplo de gusano.
Bombas Lógicas
Una bomba lógica es una parte de código insertada intencionalmente en un programa
informático que permanece oculto hasta cumplirse una o más condiciones
preprogramadas, en ese momento se ejecuta una acción maliciosa. Por ejemplo, un
programador puede ocultar una pieza de código que comience a borrar archivos cuando
sea despedido de la compañía (en un disparador de base de datos (trigger) que se
dispare al cambiar la condición de trabajador activo del programador).
Ejemplos de acciones ejecutadas por una bomba lógica:
Borrar información del disco duro
Mostrar un mensaje
Reproducir una canción
Enviar un correo electrónico
Apagar el monitor
Caballos de Troya:
Un troyano no es de por sí, un virus informático, aun cuando teóricamente pueda ser
distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus,
consiste en su finalidad. Para que un programa sea un "troyano" sólo tiene que acceder
y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia
inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no
necesariamente provoca daños porque no es su objetivo.
Spyware:
El spyware o programa espía es un software que recopila información de un
ordenador y después transmite esta información a una entidad externa sin el
conocimiento o el consentimiento del propietario del ordenador. El término spyware
también se utiliza más ampliamente para referirse a otros productos que no son
estrictamente spyware. Estos productos, realizan diferentes funciones, como mostrar
anuncios no solicitados (pop-up), recopilar información privada, redirigir solicitudes de
páginas e instalar marcadores de teléfono.
Adware
Un programa de clase adware es cualquier programa que automáticamente muestra
publicidad web al usuario durante su instalación o durante su uso para generar lucro a
sus autores. 'Ad' en la palabra 'adware' se refiere a 'advertisement' (anuncios) en idioma
inglés.
Dialers
Se trata de un programa que marca un número de teléfono de tarificación especial
usando el módem, estos NTA son números cuyo coste es superior al de una llamada
nacional.capibara
Estos marcadores se suelen descargar tanto con autorización del usuario (utilizando
pop-ups poco claros) como automáticamente.
ANTIVIRUS
En informática los antivirus son programas cuyo
objetivo es detectar y/o eliminar virus informáticos.
Nacieron durante la década de 1980.
Con el transcurso del tiempo, la aparición de sistemas
operativos más avanzados e Internet, ha hecho que
los antivirus hayan evolucionado hacia programas más
avanzados que no sólo buscan detectar virus
informáticos, sino bloquearlos, desinfectarlos y
prevenir una infección de los mismos, y actualmente
ya son capaces de reconocer otros tipos de malware,
como spyware, rootkits, etc.
TIPOS DE ANTIVIRUS
Los antivirus de las computadoras pueden ser clasificados en:
Antivirus en línea: en este caso no funcionan como medio de protección para la
computadora, si no que son utilizados para averiguar si hay virus en la misma. Estos
sistemas no deben ser instalados ya que se chequea desde Internet. Estos no actúan de
manera constante ya que solo se activan cuando se ingresa a las páginas webs
especializadas en ello.
Antivirus de Software: estos antivirus deben ser instalados en la computadora para
que funcionen constantemente. Estos son clasificados en:
Antivirus detectores: también conocidos bajo el nombre de antivirus rastreadores,
tienen como finalidad encontrar virus a través de la exploración en el sistema.
Normalmente se utilizan para hallar a los virus que se encuentre en el disco duro, en la
memoria
o
en
ciertos
programas.
Según el método que usan estos antivirus para examinar los archivos pueden ser
clasificados en:
Antivirus heurístico: en este caso los antivirus exploran cuando los programas actúan
de una manera distinta a la habitual.
Antivirus de patrón: los virus son detectados por su forma particular de actuar. Es
decir que estos son antivirus especializados para cada uno de los virus de manera
individual.
Antivirus Residentes: este tipo de sistemas se mantienen continuamente en la
memoria de la computadora para poder reconocer el virus inmediatamente. El antivirus
explora cada uno de los programas cargados para corroborar que no posean virus.
Además este sistema descubren los virus que pueden ser hallados en el disco duro, la
memoria o en ciertos programas. Estos también pueden ser clasificados en antivirus
heurísticos y de patrón.
Antivirus Inmunizadores: más conocidos como protectores, estos antivirus permiten
evitar el ingreso de virus a los programas. Sin embargo no son los antivirus más
recurridos ya que ocupan demasiado espacio de la memoria. Esto genera que los
programas y la computadora funcionen de una manera mucho más lenta.
Antivirus Eliminadores: estos virus también llamados limpiadores, entran en acción
cuando ya fue desactivado el virus. Es en ese momento que suprime desde un archivo,
programas
o
del
disco
a
los
virus.
Este tipo de antivirus para poder eliminar a la infección debe posee la información de
cómo debe ser eliminado cada virus de manera particular.
Los celulares, al igual que las computadoras y
muchos otros aparatos electrónicos, utilizan un
sistema operativo para interactuar con el usuario.
Con la mejora de los teléfonos móviles, como la
implantación de tecnología Bluetooth, cámaras,
reproductores de audio, Internet, etc. se vio la
necesidad de mejorar estos sistemas con el fin de
explotar las posibilidades del mismo al máximo y
simplificar su modo de uso.
Como todos los tipos de sistemas operativos, además de realizar lo mencionado
anteriormente lamentablemente también tienen ciertas vulnerabilidades que permiten
su infección.
En el año 2004 cuando aparecen códigos maliciosos, como el troyano Skulls el cual
reduce la funcionalidad del aparato, haciendo posible usarlo únicamente para hacer
llamadas telefónicas, y el gusano Cabir, el cual infecta a los teléfonos que operan bajo el
sistema Symbian creado por un grupo de hackers de República Checa y Eslovaquia, se
marca
el
nacimiento
de
los
virus
de
celulares.
Lamentablemente los programadores usan sus habilidades con malas intenciones otra
vez…
Los programadores han comenzado a escribir virus que afectan a los celulares con el
sistema operativo Symbian Series 60, que está en muchos celulares modernos (Nokia,
Samsung y Siemens).
Debido a que la mayoría de estos códigos maliciosos utilizan una tecnología conocida
como Bluetooth para viajar, la cual geográficamente está limitada a un radio de 30
metros a la redonda, su propagación todavía es muy limitada.
Tal como hoy ocurre con las computadoras, el correo electrónico es una gran fuente de
propagación de archivos maliciosos, que ya está disponible en el mundo de la telefonía
móvil por lo que no es raro que en poco tiempo la cantidad de virus que afecten a los
celulares sea mayor.
Algunos de estos virus son:.
El troyano Skulls: el cual reduce la funcionalidad del aparato haciendo posible usarlo
únicamente para hacer llamadas telefónicas, este se ejecutan bajo el sistema operativo
Symbian OS Series 60.
El gusano Cabir: el cual infecta a los teléfonos que operan bajo el sistema Symbian,
virus que afectan a los celulares con el sistema operativo, que está en muchos celulares
modernos (Nokia, Samsung y Siemens).
El Commwarrior: pueden propagarse vía el sistema de comunicaciones radiales de corta
distancia Bluetooth que se encuentra en muchos de los teléfonos modernos también
puede propagarse por medio de los sistemas de mensajería multimedia.
Juego peligroso: Metalgear constituye otra de las variables identificadas. Este virus se
presenta como el juego que le da nombre. Aunque su alcance es limitado, tiene
aptitudes para desactivar la protección antivirus y colar en los terminales un segundo
troyano denominado Sexxxy que se contagia a través de la tecnología bluetooth . Para
la propagación, la distancia entre los celulares debe ser inferior a los diez metros.
El virus derrochón: Su nombre es Mosqit y fue detectado en agosto del año 2004. Su
llegada puede repercutir en el bolsillo ya que, al entrar en el sistema, se dedica a enviar
mensajes cortos a números de alto coste, de manera totalmente descontrolada
Infografía:
http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico
http://html.rincondelvago.com/virus-informaticos.html
http://www.monografias.com/trabajos5/virusinf/virusinf.shtml
http://www.tiposde.org/informatica/626-tipos-de-antivirus-de-computadora
http://www.forospyware.com/t68351.html
Descargar