I. Historia del Virus

Anuncio
I. Historia del Virus
Prácticamente, desde que existen los ordenadores existen los virus informáticos. Se dice que el científico
húngaro Louis Von Neumann con su "Teoría y organización de autómatas complejos", expuesta en 1939, es el
padre de lo que hoy se conoce como virus. En ella demostraba la posibilidad de que un programa tomase el
control de otros de naturaleza semejante. A partir de ese momento cabe destacar cuatro momentos históricos
que marcan el nacimiento y evolución de los virus:
• 1949, Programadores de la empresa americana Bell Computer crean un juego basándose en las teorías
de Neumann, al que llamaron CoreWar, y que consistía en activar programas dentro de un ordenador
de forma que iban agotando poco a poco la memoria del mismo, hasta llegar a su bloqueo total.
• 1972, Aparece el considerado primer virus, Creeper, creado por Robert Thomas Morris, que atacaba
los computadores de la marca IBM, y cuya acción era mostrar en pantalla un mensaje. Como
respuesta se crea el primer software antivirus, llamado Reaper, que desinfectaba los ordenadores
atacados por este virus.
• 1983, Keneth Thompson, creador del sistema operativo UNIX, volvió a retomar las teorías de
Neumann, demostrando la forma de desarrollar virus informáticos. A partir de ese momento se
produce una verdadera revolución en el mundo de la creación de programas de este tipo.
• 1986, aparecen los primeros virus que infectaban ficheros del tipo EXE y COM. Por esa época
empezó a ganar popularidad el sistema precursor de Internet, ARPANET, y comienza la difusión de
virus por este medio. Actualmente se manejan cifras de 500 nuevos virus en Internet cada mes.
II. ¿Qué son los virus informáticos?
Definicion
Un virus de computadora, por definición, es cualquier programa (o código) capaz de auto duplicarse. Por lo
tanto, los virus también incluyen algo que los torna muy peligrosos: función de destrucción. La función de
destrucción es la parte del virus que puede destruir la vida del usuario. Esta puede borrar toda la información
de su disco duro, destruir su "boot sector" o cambiar su formato de trabajo de Word o Excel. También puede
hacer que su sistema quede bloqueado o crear algunos "efectos especiales" interesantes de ver, como letras
que caen por la pantalla del micro. Para poder recuperar el sistema después de un ataque, no es de forma
ninguna interesante. Necesitará de mucho trabajo, será caro y tomará mucho tiempo su recuperación. Son
programas que se introducen en nuestros computadores de formas muy diversas. Este tipo de programas son
especiales ya que pueden producir efectos no deseados y nocivos. Una vez el virus se haya introducido en el
computador, se colocará en lugares donde el usuario pueda ejecutarlos de manera no intencionada. Hasta que
no se ejecuta el programa infectado o se cumple una determinada condición, el virus no actúa. Incluso en
algunas ocasiones, los efectos producidos por éste, se aprecian tiempo después de su ejecución (payload).
Síntomas de Virus
Si presenta algunos de los siguientes síntomas la PC, lo más seguro es que tenga un virus. Por lo tanto,
debemos tomar medidas como revisar la computadora con un buen antivirus.
a) La velocidad de procesamiento y la perfomance del equipo se vuelve lenta.
b) Algunos programas no pueden ser ejecutados, principalmente los archivos COM o los EXE de menor
1
extensión, posiblemente también los macro virus, una vez que hayan cumplido con su efecto reproductor o
dañino. El COMMAND.COM es infectado en primer lugar, pero como la función del virus es la de seguir
infectando, éste continúa operando. Los archivos ejecutables siguen existiendo pero sus cabeceras ya han sido
averiadas y en la mayoría de los casos, su extensión se han incrementado en un determinado número de bytes.
c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus malogró el COMMAND.COM
y se muestra este mensaje: "bad or missing command interpreter".
d) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus malogró la Tabla de Particiones o el
Master Boot Record y se muestra este mensaje: "invalid drive especification".
e) Los archivos ejecutables de los gestores de bases de datos como: dBASE, Clipper, FoxPro, etc. están
operativos, sin embargo las estructuras de sus archivos DBF están averiadas. Lo mismo puede ocurrir con las
hojas de cálculo como: Lotus 1−2−3, Q−Pro, Excel, etc., o con el procesador de textos MS−Word, hojas de
cáculo de MS−Excel o base de datos de MS−Access (macro virus).
f) La configuración (set−up) del sistema ha sido alterado y es imposible reprogramarlo. Virus como : ExeBug,
CMOS−Killer o Anti−CMOS producen un bloqueo en la memoria conexa de 64 bytes del CMOS.
g) El sistema empieza a "congelarse". Puede tratarse de un virus con instrucciones de provocar "reseteos"
aleatorios a los archivos del sistema, tales como: el COMMAND.COM, los "hidden files" o el CONFIG.SYS
que han sido infectados.
h) Ciertos periféricos tales como: la impresora, módem, tarjeta de sonido, etc., no funcionan o tienen un raro
comportamiento. Se trata de un virus que reprograma el chip "PPI" (Programmable Peripheral Interfase).
i) La pantalla muestra símbolos ASCII muy raros comunmente conocidos como "basura", seescuchan sonidos
intermitentes, se producen bloqueos de ciertas teclas o se activan los leds de los drives.
j) Las letras de los textos empiezan a caerse. Este es un efecto impresionante del virus alemán "CASCADA".
k) La memoria RAM decrece.
l) Los archivos de documento .DOC o las macros empiezan a corromperse y no funcionan
Caracterisiticas
Un virus informático actúa y posee las mismas características fundamentales que un virus biológico, de ahí su
nombre. Es un programa que tiene la capacidad de copiarse o reproducirse a sí mismo y esta es la cualidad
que lo define. Infecta un sistema, se reproduce en sus archivos y se esconde en ellos en estado latente. Cuando
esos archivos contacten con un nuevo sistema, aprovechará el momento adecuado para infectarlo y continuar
un nuevo ciclo. Están formados por poca cantidad de código, ya que el tener un tamaño mínimo es
fundamental para evitar ser detectados y eliminados.
Estos programas tienen por características:
a) Auto−reproducción: Esta es la capacidad del programa de sacar una copia de sí mismo sin consentimiento
del usuario.
b) Infección: Esta es la capacidad del programa de alojarse por si mismo en otros programas, diferentes al que
lo portaba.
2
Dependiendo del tipo de virus también pueden:
Dañar archivos Estos archivos siguen existiendo, pero la información que contienen no tiene sentido alguno,
o bien no existe.
Dañar discos: Esto va tanto a los disquettes como a los discos duros, existen virus que sobrecalientan los
discos, que los aceleran para disminuir su tiempo de vida, que los rayan (a fuerza de tanto leer sobre ellos),
etc.
Dañar estructura del disco: Esto es, que ni los archivos, ni los disquettes son dañados de uno por uno, sino
que simplemente "formatean" el contenido del disco. Un virus puede destruir la FAT del disco duro, borrarlo
total o parcialmente, modificar o destruir ficheros importantes para el ordenador, cambiar algún aspecto
gráfico (ej: mostrar una imagen o mensaje en pantalla o cambiar la disposición de los iconos del escritorio),
etc... Pero en realidad, no tiene porqué ejecutar una acción directamente dañina para el ordenador infectado,
eso depende de las instrucciones que le haya dado su creador. De todos modos, por el simple hecho de
replicarse ya resulta perjudicial pues esa acción ira ralentizando el equipo, hasta el punto que la capacidad de
proceso se verá seriamente dañada. Cuando el virus se carga en memoria no necesariamente empieza su
misión contaminante, muchos de ellos quedan a la espera de que ocurra un evento determinado para su
activación. Por ejemplo, el famoso virus Viernes 13, espera a que el reloj interno del ordenador infectado
marque un día 13, que sea viernes, para activarse.
Una característica común a todos los virus es que no se activan por sí solos, dependen siempre de un fichero
ejecutable, en el que viajan. Cuando este es ejecutado por el usuario o por el sistema, el virus es cargado en
memoria y entonces realiza las dos tareas indispensables para él: buscar otros programas ejecutables, discos
duros o disquetes a los que infectar y autocopiarse en ellos. Este programa anfitrión del virus puede ser
desde un juego hasta una simple macro, pasando por toda la gama de ficheros que contengan código
ejecutable. Al principio la vía principal de expansión de los virus eran los disquetes flexibles, incrustados en
su sector de arranque, de tal forma que cuando se usaba como disco de inicio, o se arrancaba el ordenador con
este introducido en la disquetera, el virus se hacía con el control de equipo. Con la llegada de nuevas
tecnologías como los CD Rom empezó la contaminación con ficheros ejecutables, generalmente del tipo .exe,
.com o .bat., y últimamente como macros. Finalmente la aparición de internet les ha abierto nuevas vías como
el correo electrónico, programas descargados, agujeros de seguridad (bugs) en los sistemas operativos y
grandes aplicaciones e incluso aprovechando los lenguajes de internet que permiten la ejecución de
secuencias de comandos a nuestras espaldas (VBScript, Activex e incluso JavaScript).
III. Clasificación de los virus
La variedad de virus existentes hoy en día, no sólo prueba que sus autores provienen de una gran lista de
expertos en programación, sino que también son altamente creativos.
• Genericos
• Furtivos
• Muntantes
• Recombinables
• "Bounty Hunter"
• Específicos para redes
• De sector de arranque
• Multipartitivos
• De Macro
• Virus de Internet
• Virus Falsos (Hoaxes)
3
• GENERICOS (virus de archivo) Los primeros virus en ganar popularidad fueron los
contaminadores "genéricos" (también conocidos como parásitos o virus de archivo). Estos programas
son verdaderamente pequeños con menos de 4k de contaminadores genéricos que viven como un
parásito dentro de un archivo ejecutable. De hecho, éstos aparecen como infiltrados en algún lugar
dentro de un programa. Cuando el programa es copiado, el virus asume el control del sistema y
después de asumirlo, generalmente busca otros archivos ejecutables para enviarles una copia de sí
mismo. Cuando ataca otro archivo puede anteponerse a éste; o sea, se coloca antes del archivo y
agrega una instrucción `jump´; también puede anexarse (colocarse al final del archivo y agregar una
instrucción "jump¨al principio) o simplemente puede re−escribir el código de "insertar" dentro del
"archivo−víctima". Así mismo, un virus genérico puede propagarse con bastante rapidez y los
usuarios ni siquiera percibirán retrasos al momento de cargar sus programas. Como la mayoría de los
virus, los genéricos acechan al sistema esperando que alguna condición sea satisfactoria; esta
condición puede ser la fecha del sistema o el número de archivos en un disco. Cuando esta condición
(conocida como catalisadora) se presenta, el virus inicia su rutina de destrucción. Los virus genéricos
son relativamente fáciles de percibir, ya que éstos no se modifican a sí mismos y pueden ser
fácilmente localizados a través de un programa rastreador. Además de que éstos dejan rastro; cada vez
que un virus genérico infecta otro archivo, el tamaño del archivo puede aumentar.
• Furtivos (stealth) Los virus furtivos son variaciones de los virus genéricos; estos evitan que sean
detectados guardando una copia de la información del archivo en el disco. Cabe mencionar que una
vez que el virus esté en la memoria, éste puede provocar una variedad de operaciones. Por lo tanto,
cada vez que se teclee "DIR", podrá obtenerse una lista de los archivos anteriores antes de haber sido
infectados por el virus. En verdad, las técnicas de los virus furtivos son mucho mas complejas que
esto, sin embargo, todos evitan la detección explorando las interrupciones de DOS.
• Mutantes. La industria anti−virus apenas comienza a verlos en grandes cantidades y apenas pocos
desarrolladores de anti−virus han tenido éxito en derrotar los virus mutantes. Los virus mutantes
funcionan de la siguiente manera: se ocultan en un archivo y son cargados en la memoria cuando el
archivo es ejecutado y en lugar de hacer una copia exacta de éste cuando infecta otro archivo, éste
modificará la copia cada vez que sea ejecutado. A través del uso de "aparatos de mutación" (que en
verdad son "buscadores de códigos al azar"), los virus mutantes pueden generar millares de copias
diferentes de ellos mismos. Ya que la memoria de los programas rastreadores trabajan intentando
distinguir patrones consistentes y reconocibles, los virus mutantes han sido capaces de evitarlos.
Seguramente, cualquier rastreador de virus producido antes de enero de 1993 no será capaz de
detectar los virus mutantes.
• Recombinables Estos virus que en su mayoría son experimentales pueden constituir una gran
amenaza en los próximos años. De la misma manera que un hombre y una mujer combinan su código
genético el tener un hijo, estos virus se unen, intercambian sus códigos y crean nuevos virus. La
mayoría de estos virus no funcionan directamente (el lenguaje Assembly no tiene los atributos del
DNA), mas sin embargo, algunos de éstos contienen rutinas destructivas muy peligrosas o nuevas
técnicas de reproducción. Son virus difíciles de ser previstos debido a que cambian constantemente,
imitando el proceso de selección natural y evolución biológica. Afortunadamente, muy pocos de este
tipo andan sueltos.
• "Bounty Hunter" o cazador de cabezas Un "bounty hunter" es alguien que ha sido pagado para
encontrar y matar a una persona específica. Los virus "bounty hunter" funcionan de la misma manera,
sin embargo, en vez de matar personas, se dirigen a un cierto producto anti−virus. Como no es
imposible que un autor de virus examine un determinado producto para descubrir alguna debilidad en
el producto, éste podrá crear un nuevo virus que aprovechará esta debilidad para dispersarse y hacer
estragos.
• Específicos para redes. Las redes son lugares óptimos para que los virus se dispercen, ya que la
mayoría de los virus, de hecho, no consiguen operar en un ambiente de red. Sin embargo, fueron
descubiertos algunos virus flotantes que actúan como programas NLM y logran el acceso a la red
coleccionando passwords (contraseñas). Después de lograr el acceso se reproducen y dispersan daños
rápidamente. Este tipo de virus es extremadamente peligroso.
4
• DE "BOOT" (virus de sector de arranque) El virus de "boot" solamente podrá propagarse a través de
disquetes. Si hubiera un disquete en el drive A, el sistema intentará cargar a DOS en ese disquete. Los
Virus de "boot" se localizan en la sección del disquete que es cargado en la memoria en el momento
de la inicialización ("boot"). Así mismo, el virus de "boot" alcanza la memoria antes que otros
programas sean cargados. Por lo tanto, nunca deberá "dar el boot" desde un disquete a no ser que se
esté absolutamente seguro de que éste esté limpio. Una vez que un virus de "boot" alcance la
memoria, identificará las interrupciones de DOS y reinfectará los nuevos disquetes que sean
colocados en los drives. Es difícil que el virus de "boot" sea detectado por los usuarios aunque estos
puedan ser distinguidos por programas rastreadores con relativa facilidad. El MS−DOS 5.0 introdujo
algunas herramientas que pudieran auxiliar a los usuarios a remover estos virus aunque no ofrezcan
protección contra infecciones.
• MULTI−PARTITIVOS Estos virus tienen las características tanto de aquellos del sector "boot" (de
arranque) como de aquellos genéricos (de archivos).
• DE MACRO Estos representan alrededor del 80% de la infección de virus registrados de acuerdo con
la "NCSA" (National Computer Security Association) y son los virus de mayor expansión en la
historia de la computación. A diferencia de otros tipos de virus, los macro virus no son específicos de
un sistema operativo y se dispersan fácilmente a través de consumibles de e−mails como disquetes,
redes, copia de archivos, así como de cualquier otra aplicación. Un macro es un conjunto de
instrucciones que ejecutan una tarea, generalmente rutinaria y activada por alguna aplicación
específica. Los macro virus son específicos para cada aplicación. Estos infectan macro−utilidades que
acompañan a dichas aplicaciones como son las de Microsoft Office, por lo que un macro virus de
Word no puede infectar un documento Excel y vice−versa, por lo contrario, estos pueden infectar
cientos de archivos aún cuando la aplicación esté siendo utilizado, ya que los macro virus viajan entre
archivos de datos a través de las aplicaciones. Los macro virus son escritos en cualquier lenguaje de
programación de macro (ejemplo: WordBasic y VisualBasic) y son relativamente fáciles de crear.
Desde puntos diferentes, estos pueden infectar archivos durante su uso cuando este se abre, salva,
cierra o borra. Una grande ventaja de los macro virus sobre los demás, y que explica su expansión, es
la facilidad de programación. Una de las tareas más complicadas de la programación de un virus
convencional (archivo o arranque) es la búsqueda dentro de la estructura de directorios y apertura de
archivos, infectar y controlar el sistema infectado. Con la programación de macros, localizar y abrir
un archivo es una operación echa por una única instrucción macro. Otro aspecto muy fuerte, que
facilita la programación, es mantenerse residente en memoria para poder controlar el sistema en todo
momento. Los virus de macro tienen la facilidad de infectar un solo archivo: NORMAL.DOT, este
archivo es la base de funcionamiento de las aplicaciones Microsoft Office, así el control de la
aplicación ya está hecho. Los Macro virus están utilizando técnicas avanzadas de Polimorfismo,
ocultamiento (stealth) y encriptación. Las macros más utilizadas por los macro virus son: AutoExec,
AutoOpen, AutoClose, FileSave y FileSaveAs.
Este tipo de virus, como ya hemos comentado, actúan sobre los documentos, hojas de cálculo o libros, bases
de datos y/o presentaciones con macros. Por lo tanto, su objetivo serán los ficheros creados con herramientas
que permiten utilizar macros. Esto quiere decir que no existe un sólo tipo de virus de macro, sino uno para
cada tipo de herramienta:
• No obstante, no todos los programas o herramientas que permitan la gestión de macros serán objetivo
de este tipo de virus. Las herramientas que son atacadas por los virus de macro, deben cumplir una
serie de condiciones:
• Las macros pueden transportarse (a través de cualquier medio) de un ordenador a otro, por estar
incluidas en el propio fichero infectado (documento, hoja de cálculo, presentación, base de datos,...).
• Se pueden obtener, incluir y utiliza en un fichero las macros que se han creado e incluido en otros.
• Las macros pueden ejecutarse automáticamente (al abrir o cerrar el fichero, por ejemplo), sin que esto
dependa del usuario.
5
IV. Ficha de 7 tipos de virus
Michelangelo
Natas
Jerusalén
MSWord_Concept
Jetdb_Access−1
Byway.A
Nuevo troyano Back Orifice 2000
♦ Michelangelo Es un virus de sector de arranque con 512 bytes. Infecta tanto al sector de
arranque de disquetes y "master boot record" de discos duros. Las infecciones ocurren cuando
el sistema se incializa desde un disquete infectado previamente; el virus carga su programa
virulento en la memoria y una vez residente en la memoria, Michelangelo puede infectar
todos los disquetes no protegidos al ser accesados en la computadora. Además de infectar,
Michelangelo contiene una rutina destructiva; cada 6 de marzo este virus amenaza con borrar
todos los archivos que se encuentren dentro del sistema infectado. Alias: Michelangelo A,
Stoned.Michelangelo, Stoned.Daniela, Daniela, Michelangelo−1, Michelangelo−2.
♦ Natas. Es un virus polimorfo y multipartitivo con 4744 bytes. Infecta archivos de programas
(*.COM y *.EXE), desde los sectores de arranque (boot) a partir de disquetes y "master boot
record" a partir del disco duro. La infección toma lugar cuando el sistema es inicializado
desde un disquete infectado o al trabajar en un archivo previamente infectado. Una vez que
esto ocurre, el virus cargará su programa virulento en la memoria; desde aquí el virus podrá
infectar archivos programados y disquetes no protegidos. Las técnicas furtivas también están
presentes en Natas, las cuales dificultan a los usuarios detectar sectores de arranque, "master
boot record" y archivos al momento de irse infectando. Alias: Satan, Sat_Bug.Natas,
Sat_Bug, Natas.4740−4988, Natas.mp4744a, Natas.4744, Natas−1.
♦ Jerusalén . Es un virus de archivo, infecta archivos *.COM y *.EXE, tiene entre 1808 y 1923
bytes. La infección ocurre cuando un archivo infectado es ejecutado. El virus está
programado para cargar las rutinas virulentas en memoria. Una vez residente en memoria, el
virus puede infectar los archivos ejecutables cuando estos son accesados. Los archivos
*.COM son incrementados de 1808 bytes. Los *.EXE son incrementados entre 1808 y 1823
bytes siempre que el archivo es utilizado. Esto ocurre hasta que el archivo *.EXE ya no puede
ser cargado en la memoria. Jerusalén adiciona dos rutinas en memoria. La primera es
ejecutada 30 minutos después de la infección. El virus hace que su máquina sea más lenta
progresivamente. La segunda rutina es más maliciosa y borrará cualquier programa iniciado
en Viernes 13, de cualquier año. Hay muchas variaciones del virus Jerusalén. Alias:
Jerusalén.1808.Estándar, 1813, Friday 13th, Jeru.1808, Israeli, PLO, Anticad.3004.
♦ MSWord_Concept Cada vez que un documento infectado es abierto el virus entra para
residir añadiendo algunos macros en el ambiente de Word infectando el NORMAL.DOT. Una
vez activo el virus, todos los documentos guardados a través del comando "Save as.." serán
infectados. Los síntomas incluyen únicamente el poder guardar los archivos en el directorio
de machotes (template: *.DOT). El virus abre una caja de diálogo, solamente en la infección
inicial, con el número 1 y un botón de OK.
♦ Jetdb_Access−1. Este es el primer virus conocido para Microsoft Access Database. Este
virus parece haber sido creado el 7 de marzo de 1998, tiene solamente un macro con nombre
6
AUTOEXEC, no está encriptado y tiene 12.288 bytes. El autor del virus se denomina
"Jerk1N" y declara ser afiliado a una organización denominada "DIFFUSION Virus Team".
Una evaluación del código del virus indica que cuando una base de datos infectada es abierta,
el virus buscará todos los archivos MDB y los infectará, sin embargo, no presenta ninguna
rutina dañina. Este virus también puede infectar los archivos double−byte Microsoft Access
97 utilizando el lenguaje Chino o Japonés.
♦ Byway.A Alias: Amstrad FamilyDir2.Byway, DirII.TheHndv, Byway, Chavez. Es reparable.
Su fecha de aparicion fue el 1 de septiembre del 1991 en Venezuela, tiene un tamaño de 2048
Bytes, no esta incluido en la lista de In The Wild. Byway es un virus de MS−DOS que infecta
ficheros ejecutables con extensiones EXE y COM. Se trata de un virus de enlace, siendo poco
común, aunque su propagación es muy rápida debido a la forma que emplea para infectar. La
característica más destacable en este sentido es la rapidez con la que infecta todos los ficheros
ejecutables que se encuentren en el disco duro. Utiliza técnicas de polimorfismo, stealth y
tunneling. Los efectos o payload que produce dependen de la fecha que en ese momento tenga
el sistema. Todos los requisitos que se deben cumplir al mismo tiempo para que Byway se
active, son los siguientes:
− Fecha posterior al año 1996.
− Día del mes igual al doble del numero del mes más dos. Es decir: Día del mes = (Numero de mes *
2 )+2
− Si ambas condiciones se cumplen, el virus muestra un mensaje por pantalla con un texto, mientras
hace sonar un himno cada tres horas en punto. Es decir, en las siguientes horas: 3:00, 6:00, 9:00,
12:00, 15:00, 18:00 y 21:00.
♦ Nuevo troyano Back Orifice 2000 En sistemas Windows, BO2K permite la administración
remota del PC de otro usuario .Back Orifice 2000, la nueva versión del conocido troyano que,
a través de Internet, permite a cualquier atacante robar archivos, passwords y el control total
del ordenador, ya se está distribuyendo por el ciberespacio. En principio, todo parece indicar
que se trata de una versión preliminar que infecta Windows 95 y 98 y, a diferencia del primer
Back Orifice, también se integra en Windows NT.
Back Orifice es obra de un grupo de hackers que se hace llamar Cult of the Dead Cow (el Culto de la
Vaca Muerta). La nueva versión del troyano ha sido presentada en Def Con 7, congreso de hackers y
gentes del mundo underground que se ha celebrado en Las Vegas el pasado fin de semana.
Justamente, en la edición anterior de Def Con fue cuando Cult of the Dead Cow presentó el primer
Back Orifice.
Back Orifice 2000 puede ser más peligroso que su predecesor. Dado que junto con los binarios está
disponible, públicamente, el código fuente del programa, cualquier persona con conocimientos de
programación puede modificar este troyano y crear una versión diferente o, incluso, nuevos
programas dañinos. Además, y según han anunciado sus creadores, es más difícil de detectar porque
hace uso de criptografía fuerte para las comunicaciones. Por este motivo, existen dos versiones de
Back Orifice 2000: una para Estados Unidos −en la que se utilizan algoritmos de encriptación
TripleDES o uno simple basado en XOR− y otra internacional, en la que sólo está disponible la
correspondiente a un algoritmo basado en XOR, debido a las restricciones americanas sobre
exportación en materia de criptografía.
Back Orifice 2000 puede llegar en un mensaje de correo electrónico que lleva anexado un fichero o
ser descargado a través del chat, las news, la web o cualquier otro servicio de Internet. Cuando el
usuario lo abre, el troyano se instala en el ordenador de la víctima como "servidor". Esta parte del
programa maligno, que se instala en el equipo infectado, es totalmente configurable y en él se pueden
definir varios parámetros, como los puertos que se utilizarán para acceder a la máquina que actuará
7
como servidor; las passwords que el usuario externo utilizará para acceder al mismo o el tipo de
encriptación utilizada (XOR o TripleDES).
Gracias a Back Orifice 2000, el atacante puede controlar, de forma remota, el equipo infectado
cuando ambos se encuentran conectados a Internet. Entre los 70 comandos que el atacante puede
realizar de forma remota figuran los siguientes:
♦ Ocultar la actividad del servidor, para que el usuario de la máquina atacada no tenga
constancia de la actividad del hacker.
♦ Borrar el fichero de instalación original, con el objetivo de dificultar la detección del troyano.
♦ Reiniciar la máquina remota.
♦ Bloquear el ordenador atacado.
♦ Listar passwords de usuarios.
♦ Recopilar información sobre la máquina atacada: nombre de la misma, usuario en activo,
procesador, versión del sistema operativo, memoria y todos los drivers remotos.
♦ Listar los recursos compartidos de una red local.
♦ Comenzar o parar la ejecución de un proceso.
♦ Modificar el registro de Windows.
♦ Buscar, copiar, modificar, grabar, borrar, mandar, recibir y ver ficheros y directorios.
♦ Abrir/Cerrar el servidor instalado en la máquina remota.
♦ Listar, cargar y borrar plugins de Back Orifice.
A pesar de tratarse de un troyano, la nueva versión de Back Orifice dispone de una opción que
permite ejecutar el servidor a la vista, de manera que el programa maligno pueda usarse abiertamente,
con conocimiento del usuario.
V. Como evitar los Virus?
1. Sospecha de los programas activos todo el tiempo (residentes en memoria). Los virus tienen la mala
costumbre de quedarse en memoria para realizar sus fechorías.
2. Sospecha de cualquier programa gratuito (shareware, freeware; fotos, videos, rutinas, patchs) que
bajes de Internet. Los fabricantes de virus colocan frecuentemente en estos sus nocivos productos.
3. Obtén una lista de los virus mas comunes y verifica contra esta lista cualquier programa nuevo que
tengas.
4. Fíjate en el tamaño de los archivos del sistema [COMMAND.COM principalmente]. Sospecha si es
diferente del original.
5. Haz una copia de la tabla FAT y CMOS si te es posible. Te ahorrará mucho tiempo, dinero y
esfuerzo el copiarla de nuevo si algún virus la dañó.
6. Al estar buscando un virus, y si tienes disco duro, bloquea el acceso a este temporalmente.
7. Actualiza mensualmente tu AntiVirus. Si no lo tienes puedes conseguir una copia gratuita en:
Symantec, McAfee, IBM, por mencionar algunos.
VI. Los Antivirus
Una consecuencia del nacimiento y proliferación de los virus ha sido el desarrollo de una gran
industria paralela, la de los antivirus. Son programas creados para la búsqueda, localización y
eliminación de virus, troyanos y demás software dañino. Es necesario contar con un buen
8
programa antivirus que esté activo y vigilante siempre. Hay que mantenerlo constantemente
actualizado pues día a día se descubren nuevos virus. Si un software antivirus nos alerta de que ha
encontrado un posible virus, lo mejor que podemos hacer es dejarle que lo elimine, pues es preferible
perder algún dato que dejar que nuestro ordenador se infecte totalmente. Hay que tener en cuenta que
un programa antivirus no es un arma infalible contra todos los virus. Conviene, si es posible pués
tener instalados varios antivirus y complementar su acción por medio de firewalls (programa
cortafuegos que limita los accesos de información a nuestro ordenador) y otras aplicaciones de
seguridad.
Pero, a pesar de disponer de todos los sistemas, ninguno de ellos puede garantizarte una fiabilidad
completa por lo que el mejor método sigue siendo la prevención, sigue siempre a rajatabla estas
reglas:
♦ Nunca abras ningún ejecutable que no conozcas, y así y todo, mejor pasarlo antes por un
antivirus actualizado.
♦ Nunca arranques el ordenador con disquetes introducidos. Cualquier disquete que no sea
tuyo y vayas a utilizar, debes analizarlo antes con un antivirus.
♦ Nunca abras un correo electrónico de alguien que no conoces, elimínalo, y aún
conociéndolo pasa primero tu antivirus antes de abrir cualquier mensaje.
♦ Nunca abras ningún archivo descargado de internet sin haberle pasado el antivirus,
aunque te hayan garantizado que esta libre de virus.
♦ Actualiza tu sistema operativo constantemente. Las empresas y grupos de usuarios van
lanzando periódicamente parches que corrigen sus defectos de seguridad. Este proceso de
actualización debe incluir también a las aplicaciones más comunes, como Office o los
programas de correo electrónico.
♦ Si deshabilitas Java cerrarás una de las posibles vías de infección, así como cualquier otro
lenguaje que permita la ejecución de secuencias de comandos (VBScript, Activex e incluso
JavaScript).A cambio perderás funcionalidad en el sistema, ya que estos comandos son
imprescindibles hoy en día para poder ejecutar y/o visualizar multitud de aplicaciones y
páginas web.
VII Concepto y función de Antivirus
Los programas antivirus son una herramienta específica para combatir el problema virus, pero es muy
importante saber como funcionan y conocer bien sus limitaciones para obtener eficiencia no combate
a los virus. Cuando se piensa en comprar un antivirus, no se debe perderse de vista que, como todo
programa, para funcionar correctamente, debe esta bien configurado. Además, un antivirus es una
solución para minimizar los riesgos y nunca será una solución definitiva, el principal es mantenerlo
actualizado. La única forma de mantener su sistema seguro es mantener su antivirus actualizado y
estar constantemente leyendo sobre los virus y las nuevas tecnologías. La función de un programa
antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una
computadora. Éste es el aspecto más importante de un antivirus, pero, las empresas deben buscar
identificar también las características administrativas que el antivirus ofrece. La instalación y
administración de un antivirus en una red es una función muy compleja si el producto no lo hace
automáticamente, pero eso no es el tema de ese artículo. Es importante tener en claro la diferencia
entre "detectar" e "identificar" un virus en una computadora. La detección es la determinación de la
presencia de un virus, la identificación es la determinación de qué virus es. Aunque parezca
contradictorio, lo mejor que debe tener un antivirus es su capacidad de detección, pues las
capacidades de identificación están expuestas a muchos errores y sólo funcionan con virus conocidos.
Nunca seremos contaminados por virus cuando abrimos un archivo gráfico, un archivo de texto plano
o porque en nuestro ordenador se instalen cookies, pero ante cualquier duda o en atención a los sitios
que visitemos debemos actuar con la máxima prudencia.
9
Identificación.−
El modelo más primario de las funciones de un programa antivirus es la detección de la presencia de
un virus y, en lo posible, su identificación. La primera técnica que se popularizó en los productos
antivirus fuera la técnica de rastreo (scanning). Los rastreadores antivirus representan la mayoría de
los productos de actualidad. La desventaja de los rastreadores es que éstos no consiguen reconocer los
virus "desconocidos"; o sea, todo nuevo virus necesita ser descubierto y analizado antes de que un
rastreador pueda reconocerlo. La velocidad de actualización de un rastreador depende en mucho de
los laboratorios de cada fabricante; cuantos mas laboratorios haya en el mundo, mas ingenieros
investigadores locales estarán trabajando en la localización de un virus, haciendo así un trabajo mas
rápido y eficiente para la solución del antivirus. Rastrear es el método conocido para localizar un
virus después de que éste haya infectado un sistema. Cabe mencionar que los rastreadores también
pueden identificar los virus por nombre, mientras otros métodos no pueden.
Detección.−
Debido a las limitaciones de la técnica de rastreo, los productores de programas antivirus han
desarrollado otros métodos para detección de virus informáticos. Estas técnicas buscan identificar los
virus por funciones básicas comunes en los virus, reconociendo el virus por su comportamiento y no
por una pequeña porción de código como hace los rastreadores. De hecho, esta naturaleza de
procedimientos busca, de manera bastante eficiente, instrucciones potencialmente dañinas
pertenecientes a un virus informático. El método de monitoreo del sistema (también conocido como
rule−based) es la mejor alternativa de protección en tiempo real para PC´s individuales o para
estaciones de trabajo. Estos sistemas antivirus permanecen residentes en la memoria y quedan a la
expectativa en caso de actividades virulentas. Por ejemplo, si un programa en memoria intentara
infectar un archivo en el disco, un producto antivirus de monitoreo de sistema percibirá dicho intento
y alertará al usuario.
Cuidados.−
La configuración mas adecuada para proteger su computadora, es la combinación de un sistema de
monitoreo del sistema mismo, acompañado de un rastreador de alta tecnología apoyado por un
soporte técnico de ingenieros especializados en combatir virus con un reconocimiento y concepción
de actualizaciones lo mas rápidas y eficientes posibles. Algunas características operacionales son muy
importantes:
Monitor en "Real Time"
El monitor "real time" examina automáticamente todos los archivos que entren y salgan antes que
sean abierto o ejecutados. Si encuentra un archivo infectado, podrá limpiarlo automáticamente. El
monitor "real time" esta constantemente examinando su sistema mientras usted trabaja normalmente,
para detener cualquier virus que se ejecute antes de que pueda producir algún daño.
Limpieza
El antivirus debe ofrecer la opción de mantener una copia del archivo infectado durante la limpieza.
La limpieza de un virus de un archivo puede causar algún daño y la recuperación puede no ser bien
sucedida, con una copia se puede entintar una nueva limpieza o enviar el archivo para un "virus
hospital" para ser limpiado por "virus doctors" (www.antivirus.com)
Rastreo de archivos compactados
10
Cuando busca un antivirus identifique cuantos procesos de compactación conoce, es muy importante
que el producto conozca el mayor número de métodos posibles.
Protección para virus de Internet
Los virus de Internet deben ser una de las principales preocupaciones del usuario. El antivirus debe
tener una protección activa cuando esta navegando por la Internet. Esta protección debe impedir el
usuario de ejecutar un Java applet o controles ActiveX que pueden causar daños en su sistema.
A continuación se pondran algunos ejemplos de los mejores Antivirus que existen hoy en día; y
su dirección en la web, para que puedas bajar una versión de prueba.
♦ El legendario Norton Antivirus, uno de los mejores softwares, para la eliminación de virus
informaticos.
Puedes conseguir una versión de prueba en: www.symantec.com
♦ Panda Antivirus, de la compañia Panda Software, catalogado por muchos como "el mejor",
posee una excelente interfaz grafica, facil de usar, y se puede actualiazr gratis por internet.
Puedes bajar una antivirus de prueba en: www.pandasoftware.com
♦ Y por último hemos dejado, a uno de los más conocidos softwares antivirus, el Dr Solomon
Antivirus Toolkit; ahora en su presentación para windows95 y windows98, también posee
protección para internet y correo electronico, sin olvidar la protección bajo modo MS−Dos.
Puedes bajar una versión de prueba en: www.DrSolomon.com
4
11
Descargar