NDICE

INTRODUCCION................................................................................................. I

PARTE I Presentacin del problema

La Inexperiencia que Existe sobre los Virus Informtico

CAPTULO 1. Presentacin del Contexto

El entorno de los Programas Maliciosos 5 1.1 Que es un software?..........................................................5 1.1.1 Clasificacin de software...................................................5

CAPTULO 2. Presentacin del Espacio del Problema

Conceptos y aspectos generales....7 2.1 Qu es un virus informtico?............................................. 7 2.2 Como nacieron los Virus Informticos.........8 2.3 Caractersticas de los Virus Informticos......17 2.4 Clasificacin de los Virus Informticos...18

CAPTULO 3. Los Virus Informticos y las Computadoras....................21

3.2 Mtodos de propagacin de los Virus Informticos.21 3.3 Sntomas de los Virus Informticos....23 3.4 Daos ocasionados por los Virus25 3.5 Virus Informticos Argentinos..27

PARTE II Presentacin de la Solucin

Mtodos y Tcnicas para la Proteccin a los Virus

CAPTULO 4 Protegindose de los Virus Informticos........31

4.1 Mtodos de Proteccin y Tipos...31 4.1.1 Activos................31 4.1.1.1Antivirus............31 4.1.1.2 Filtros de Archivos.....33 4.1.2 Pasivos...................33

CAPITULO 5 Conclusin....................35 BIBLIOGRAFA..36

INTRODUCCION

Los virus informticos son uno de los principales riesgos de seguridad para los sistemas Informticos, ya sea que estemos hablando de un usuario hogareo que utiliza su mquina para trabajar y conectarse a Internet o una empresa con un sistema informtico importante que debe mantener bajo constante vigilancia para evitar prdidas causadas por los virus. Las computadoras presentan varios sntomas despus de que son infectadas como por ejemplo, se ponen lentas o muestran mensajes de burla hacia el usuario e inutiliza el sistema ya sea de una manera parcial o totalmente. Un virus se valdr de cualquier tcnica conocida o poco conocida para lograr su cometido. As, encontraremos virus muy simples que slo se dedican a presentar mensajes en pantalla y algn otro mucho ms complejos que intentan ocultar su presencia y atacar en el momento justo. Los creadores de dicho virus son los hackers ya que ellos manipulan donde deben atacar sus programas. En el desarrollo de este Trabajo, se traz como objetivo fundamental, mediante la bsqueda de informacin en diferentes fuentes, recopilar mltiples criterios dados por expertos en el tema sobre Los Virus Informticos, y con esto dar repuestas a diferentes interrogantes que pueden surgir. As como mostrar el estado actual de los virus y programas malignos en nuestro pas e internacionalmente, con cifras reportadas hasta la actualidad, aprecindose adems una resea sobre su primera aparicin y evolucin. Tambin Hago referencia a qu es exactamente un virus, cmo trabaja, tipos de virus, mtodos de propagacin, daos que provocan, mtodos para prevenirlos y cmo erradicarlos una vez que lograron penetrar. Aspiro que este trabajo quede como material de consulta para todos aquellos interesados en interiorizarse en el mundo de los "virus informticos ", y ayude a fomentar en las personas la necesidad de tomar todas las medidas de proteccin para evitar ser daados por estos molestos pero interesantes "intrusos.

Estructura de la Monografa Capitulo 1: En el capitulo 1 se realiza la presentacin del contexto, en el mismo vamos a tratar temas como, Qu es el Software?, Clasificacin de Software, Software de Base y Software de Aplicacin. Capitulo 2: En el capitulo 2 se especifica que es un Virus Informtico, de la misma manera se realiza una descripcin de cmo fue el surgimiento de los mismos, presentando una breve cronologa de lo que ha sido los orgenes y la evolucin de los virus incluyendo algunos de los virus que ms daos han causado en el transcurrir de la historia. Teniendo en cuenta que cada virus plantea una situacin diferente se detalla las Caractersticas de los Virus Informticos. Capitulo 3: En el Capitulo 3 se explicita la Informticos asumiendo que los Virus se Clasificacin de los Virus pueden clasificar por su

comportamiento, origen o tipo de archivo que atacan, por lugar donde atacan y dao que hacen. Adems se expone los mtodos ms utilizados por los virus informticos para propagarse, se revelan los sntomas ms comunes cuando tenemos virus y los daos que los mismos ocasionan. Capitulo 4: En el siguiente capitulo se indican los mtodos para disminuir o reducir los riesgos relacionados a los virus. Dentro de estos mtodos se exhiben los activos tales como los llamados programas antivirus, los mismos tratan de tener controlado el sistema mientras funciona, deteniendo las vas conocidas de infeccin y notificando al usuario de posibles incidencias de seguridad, tambin se ensean los denominados filtros de archivo, este sistema provee una seguridad donde no se exige la mediacin del usuario, y permite emplear nicamente recursos de forma ms selectiva. Igualmente se expresa los mtodos Pasivos.

PARTE I Presentacin del Problema La Inexperiencia que Existe sobre los Virus Informtico

CAPTULO 1
Presentacin del Contexto El entorno de los Programas Maliciosos 1.1 Qu es el Software? La palabra software se refiere al equipamiento lgico o soporte lgico de un Sistema de Computacin, y comprende el conjunto de los componentes lgicos necesarios para hacer posible la realizacin de una tarea especfica. Es el conjunto de los programas de cmputo, procedimientos, reglas, documentacin y datos asociados que forman parte de las operaciones de un sistema de computacin.

1.1.1 Clasificacin de Software: Se dividen en segn la funcin que cumplen:

Software de Sistema: Consiste en un conjunto de programas que sirven para controlar e interactuar con el sistema, proporcionando control sobre el hardware y dando soporte a otros programas. (Por ejemplo: Sistemas Operativos). Este conjunto de programas tiene por funcin, coordinar las diversas partes del sistema computacional para hacerlo funcionar rpidamente y eficazmente, actuando como mediadores entre los programas de aplicaciones y el hardware del sistema, interpretando los requerimientos de cada programa que ingresa al sistema, poniendo a su disposicin cualquiera de los recursos que necesite para producir los resultados deseados. El Software de Sistema se divide en: Sistema operativo

El Sistema Operativo es un conjunto de programas y funciones que permiten controlar el hardware, ofreciendo al usuario una via sencilla y flexible en un acceso a la computadora. Un Sistema Operativo realiza cinco funciones bsicas: Suministro de Interfaz al Usuario, Administracin de Recursos, Administracin de Archivos, Administracin de Tareas y Servicio de Soporte.

-Suministro de interfaz al usuario: Permite al usuario comunicarse con la computadora por medio de interfaces que se basan en comandos, interfaces que utilizan mens, e interfaces grficas de usuario. -Administracin de recursos: Administran los recursos del hardware como la CPU, memoria, dispositivos de almacenamiento secundario y perifricos de entrada y de salida. -Administracin de archivos: Controla la creacin, borrado, copiado y acceso de archivos de datos y de programas. -Administracin de tareas: Administra la informacin sobre los programas y procesos que se estn ejecutando en la computadora. Puede cambiar la prioridad entre procesos, concluirlos y comprobar el uso de estos en la CPU, as como terminar programas. -Servicio de soporte: Los Servicios de Soporte de cada sistema operativo dependen de las implementaciones aadidas a este, y pueden consistir en inclusin de utilidades nuevas, actualizacin de versiones, mejoras de seguridad, controladores de nuevos perifricos, o correccin de errores de software. Controladores de Dispositivos

Los Controladores de Dispositivos son programas que permiten a otros programas de mayor nivel (como un sistema operativo) interactuar con un dispositivo de hardware. Programas Utilitarios

Los Programas Utilitarios realizan diversas funciones para resolver problemas especficos, adems de realizar tareas en general y de mantenimiento. Algunos se incluyen en el sistema operativo.

 Software de Aplicacin: Es un Conjunto de instrucciones de computadora escritas con un lenguaje de programacin, las cuales dirigen al hardware para que efecte actividades especficas de procesamiento de datos y de informacin que proporcionan funcionalidad al usuario, es decir, que es el conjunto de programas que se desarrollan para que una computadora pueda llevar a cabo una tarea o varias tareas controladas por el usuario. Software de Programacin El Software de Programacin es el conjunto de herramientas que permiten al desarrollador informtico escribir programas usando diferentes alternativas y lenguajes de programacin. Este tipo de software incluye principalmente compiladores, intrpretes, ensambladores, enlazadores, depuradores, editores de texto y un entorno de desarrollo integrado que contiene las herramientas anteriores, y normalmente cuenta una avanzada GUI.

CAPITULO 2
Presentacin del Espacio del Problema Conceptos y aspectos generales 2.1 Que es un Virus Informtico? Los Virus informticos son programas de computadora tal y como lo son un procesador de textos, una hoja de clculo o un juego; que se reproducen a s mismos e interfieren con el hardware de una computadora o con su software (sistema operativo, programas, archivos, etc.). Un virus informtico ocupa una cantidad mnima de espacio en disco (el tamao es vital para poder pasar desapercibido), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de s mismo e infecta archivos, tablas de particin o sectores de arranque de los discos duros y disquetes para poder expandirse lo ms rpidamente posible. Como cualquier otro programa informtico, un virus debe ser ejecutado para que funcione: es decir, la computadora debe cargar el virus desde la memoria de la computadora y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo. Los virus informticos guardan cierto parecido con los biolgicos y es que mientras los segundos infectan clulas para poder replicarse los primeros usan archivos para la misma funcin. En ciertos aspectos es una especie de "burla tecnolgica" hacia la Naturaleza. Mientras el virus se replica, intenta pasar lo ms desapercibido que puede, intenta evitar que el "husped" se d cuenta de su presencia... hasta que llega el momento de la "explosin". Es el momento culminante que marca el final de la infeccin y cuando llega suele venir acompaado del formateo del disco duro, borrado de archivos o mensajes de protesta. No obstante el dao se ha estado ejerciendo durante todo el proceso de infeccin, ya que el virus ha estado ocupando memoria en la computadora, ha ralentizado los procesos y ha "engordado" los archivos que ha infectado.

2.2 Como nacieron los Virus Informticos?

A continuacin se presenta una breve cronologa de lo que ha sido los orgenes y la evolucin de los virus incluyendo algunos de los virus que ms daos han causado en el transcurrir de la historia: 1949: Se da el primer indicio de definicin de virus. John Von Neumann describi programas que se reproducen a s mismos en su libro "Teora y Organizacin de Autmatas Complicados". Es hasta mucho despus que se les comienza a llamar como virus. La caracterstica de auto-reproduccin y mutacin de estos programas, que las hace parecidas a las de los virus biolgicos, parece ser el origen del nombre con que hoy los conocemos. 1959: En los laboratorios AT&T Bell, en New Jersey, se inventa el juego "Guerra Nuclear" (Core Wars), tena la capacidad de reproducirse cada vez que se ejecutaba. Este programa tena instrucciones destinadas a destruir la memoria del rival o impedir su correcto funcionamiento. 1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER... ATRPAME SI PUEDES!". Ese mismo ao es creado su antdoto: el antivirus Reaper cuya misin era buscar y destruir al Creeper. 1974: El virus Rabbit haca una copia de s mismo y lo situaba dos veces en la cola de ejecucin del ASP de IBM lo que causaba un bloqueo del sistema. 1975: En enero de 1975, John Walker da origen al primer troyano de la historia. El mismo recibe el nombre Animal/Pervade; 1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infeccin fue originada por Robert Tappan Morris, un joven estudiante de informtica de 23 aos aunque segn l fue un accidente. 1981: Richard Skrenta escribe el primer virus de amplia reproduccin: Elk Cloner el cual se almacenaba en el sector de inicio de los disquetes de 360 kb de capacidad y era capaz de residir en memoria luego que el disco era retirado. Elk Cloner era inofensivo para el sistema, pero contaba la cantidad de arranques y cuando llegaba a cincuenta mostraba poema

1986: Se crea el primer virus destructor y daino plenamente identificado que infecta muchas PCs. Sus autores vendan copias pirateadas de programas comerciales como Lotus, Supercalc o Wordstar, por suma bajsimas. Los turistas que visitaban Paquistn, compraban esas copias y las llevaban de vuelta a los EE.UU. Las copias pirateadas llevaban un virus. Fue as, como infectaron mas de 20,000 computadoras. 1987: Se da el primer caso de contagio masivo de computadoras a travs del MacMag Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunin de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llev el disco a Chicago y contamin la computadora en el que realizaba pruebas. El virus contamin el disco maestro que fue enviado a la empresa fabricante que comercializ su producto infectado por el virus. 1988: El 16 de mayo de 1988 se detect por primera vez EL VIRUS brain. Un periodista fue quien detect la presencia de Brain en un disquete al no poder recuperar un fichero donde haba almacenado un trabajo durante meses; pens que el disquete estaba deteriorado y lo present al fabricante, detectando tras diversos anlisis la presencia de un virus en el Boot de la unidad de almacenamiento. 1989: Nace el virus 512 que infectaba archivos .COM *Tambin aparece el peligroso Datacrime que formateaba a bajo nivel el cilindro cero (donde se aloja la FAT) del disco y que slo actuaba desde el 13 de octubre hasta el 31 de diciembre. 1990: Apareci el primer virus polimrfico (Tipo de virus que cambia su firma cada vez que se replica e infecta un nuevo archivo). *La revista inglesa PC Today distribuye, por error, el virus DiskKiller en una de sus publicaciones y el mismo se trasforma en epidemia. 1992: Aparece Peach, primer virus capaz de atacar la base de datos de un antivirus y EXEBug capaz de controlar la CMOS para prevenir el booteo desde disquetes limpios. 1995: Con el nacimiento de Microsoft Windows 95 aparecen nuevos conceptos de infeccin, Sarah Gordon descubre Concept infectando miles de documentos de Microsoft Word, un mbito hasta el momento inexplorado. Concept fue el 10

primer virus de macro escrito en lenguaje WordBasic de Microsoft y capaz de infectar cualquier plataforma sobre la que se ejecutara MSWord (PC y Mac). 1996: En febrero de este ao es detectado en Australia Boza, el primer virus capaz de infectar archivos de 32-bits de Microsoft Windows NT, y del recin estrenado Microsoft Windows 95. *Durante este mismo ao, es hallado un complejo virus creado para sistemas Microsoft Windows 95 llamado Zhengxi, era un virus polimrfico, residente en memoria, infector de archivos EXE, LIB y OBJ, stealth y capaz de insertar droppers en formato COM en los ficheros ZIP, ARJ, RAR, HA y en EXE selfextracting. *En julio, se descubre en Alaska y frica, Laroux, el primer virus capaz de infectar macros en archivos de Microsoft Excel. 1997: En febrero aparecen Staog y Bliss, los primeros virus para archivos ELF del emergente sistema operativo Linux. 1998: Aparece tambin Marburg, un virus polimrfico, capaz de infectar archivos ejecutables de Win32 y distribuido en los CD de algunas revistas europeas. *El mismo ao aparecen BackOrifice, cuatro troyanos que dieron que hablar, diseados como herramientas de administracin remota, permitan ser instalados sin conocimiento ni consentimiento del usuario, lo que desat una verdadera avalancha de instalaciones indiscriminadas en miles de equipos . 1999: A principios de este ao surge el troyano Happy, es un gusano para MS Outlook. Debido a su capacidad de modificar ciertos archivos del sistema operativo es capaz de enviarse a s mismo a cada persona a quien el usuario enva un correo. *El 26 de marzo Melissa comenz a llegar a miles de correos en un archivo adjunto enviado por alguien conocido. Cuando se abre el archivo adjunto con Word 97 o 2000 el virus de macro se activa, abre el Outlook, y se auto enva a los primeros cincuenta contactos de la libreta de direcciones. 2000: En este ao comienza a hacerse popular un generador de gusanos, el VBSWG (Visual Basic Script Word Generator). Su autor es otro argentino apodado Kalamar. El mejor ejemplo de virus creado por este software es el virus Anna Kournikova (detectado como SteeLee y que lleg a infectar a la NASA), generado por el joven holands OnTheFly, en agosto. 11

*Otra noticia destacada del ao fue la aparicin del gusano del amor: LoveLetter en Manila, Filipinas. Llegaba por correo electrnico con un archivo adjunto. Su nombre se debe a que uno de los asuntos del mensaje era ILOVEYOU. 2001: En los primeros das del ao aparece Pirus, el primer virus desarrollado en lenguaje PHP y que slo se ejecuta en servidores Web (*Nix y Windows). *En septiembre aparece el troyano Nimda que se propaga por correo al visualizar pginas Web, a travs de recursos compartidos y atacando servidores Web (ISS de Microsoft). *Aparece el virus polimrfico Elkern que es propagado por el gusano Klez (explotando las mismas vulnerabilidades que Nimda). Esta forma conjunta de actuar entre un gusano y un virus marcara un nuevo hbito que persiste hoy en da. *Aparecen Hello y Choke, gusanos que se aprovechan del programa MSN Messenger de Microsoft para lograr su objetivo. 2002: En enero el primer virus capaz de infectar Macromedia Shockwave Flash (archivos .SWF) y programado en ActionScript. 2003: Se produce una epidemia que fue causada por el gusano Blaster, que apareci en agosto aprovechando vulnerabilidades en Remote Procedure Call (RPC) de Microsoft Windows, corregidas un mes antes, para reproducirse. 2004: En enero aparece el destructivo Mydoom, un gusano que se propaga por correo electrnico y la red de intercambio de archivos Kazaa, permitiendo el control remoto del equipo infectado. 2006: A comienzo de este ao ve la luz Leap un virus que afecta al sistema operativo Mac OS X y se propaga a travs del programa de mensajera instantnea iChat. 2007: Aparece Sality, un virus polimrfico con capacidad de gusano capaz de infectar los archivos ejecutables que se encuentran en la computadora vctima 2008: el Rogue. Este malware, que se caracteriza por simular ser herramientas de seguridad, comienza a masificarse y a tomar notoriedad utilizando, en la mayora de los casos, coberturas como programas antivirus.

12

2.3 Caractersticas de los Virus Informticos Hay que tener en cuenta que cada virus plantea una situacin diferente. 1.- Los virus pueden infectar mltiples archivos de la computadora infectada (y la red a la que pertenece): Debido a que algunos virus residen en la memoria, tan pronto como un disquete o programa es cargado en la misma, el virus se suma o adhiere a la memoria misma y luego es capaz de infectar cualquier archivo de la computadora a la que tuvo acceso. 2.- Pueden ser Polimrficos: Algunos virus tienen la capacidad de modificar su cdigo, lo que significa que un virus puede tener mltiples variantes similares, hacindolos difciles de detectar. 3.- Pueden ser residentes en la memoria o no: Como lo mencionamos antes, un virus es capaz de ser residente, es decir que primero se carga en la memoria y luego infecta la computadora. Tambin puede ser "no residente", cuando el cdigo del virus es ejecutado solamente cada vez que un archivo es abierto. 4.- Pueden ser furtivos: Los virus furtivos (stealth) primero se adjuntarn ellos mismos a archivos de la computadora y luego atacarn La computadora, esto causa que el virus se esparza ms rpidamente. 5.- Los virus pueden traer otros virus: Un virus puede acarrear otro virus hacindolo mucho mas letal y ayudarse mutuamente a ocultarse o incluso asistirlo para que infecte una seccin particular de la computadora. 6.- Pueden hacer que el sistema nunca muestre signos de infeccin: Algunos virus pueden ocultar los cambios que hacen, haciendo mucho ms difcil que el virus sea detectado. 7.- Pueden permanecer en la computadora an si el disco duro es formateado: Si bien son muy pocos los casos, algunos virus tienen la capacidad de infectar diferentes porciones de la computadora como el CMOS o alojarse en el MBR (sector de buteo).

13

2.4 Clasificacin de los Virus Informticos Los Virus se pueden clasificar por su comportamiento, origen o tipo de archivo que atacan, y por lugar donde atacan y dao que hacen. Virus de Macros/Cdigo Fuente: Se adjuntan a los programas Fuente de los usuarios y, a las macros utilizadas por: Procesadores de Palabras (Word, Works, WordPerfect), Hojas de Clculo (Excel, Quattro, Lotus). Virus Mutantes: Son los que al infectar realizan modificaciones a su cdigo, para evitar ser detectados o eliminados ( NATAS o SATN, Miguel ngel, por mencionar algunos). Gusanos: Son programas que se reproducen a s mismos y no requieren de un anfitrin, pues se "arrastran" por todo el sistema sin necesidad de un programa que los transporte. Los gusanos se cargan en la memoria y se posicionan en una determinada direccin, luego se copian en otro lugar y se borran del que ocupaban, y as sucesivamente. Esto hace que queden borrados los programas o la informacin que encuentran a su paso por la memoria, lo que causa problemas de operacin o prdida de datos. Malware: (del ingls malicious software, tambin llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y daar la computadora sin el conocimiento de su dueo, con finalidades muy diversas, ya que en esta categora encontramos desde un troyano a un spyware. Spyware: Un programa espa, traduccin del ingls spyware, es un software, dentro de la categora malware, que se instala furtivamente en una computadora para recopilar informacin sobre las actividades realizadas en ella. La funcin ms comn que tienen estos programas es la de recopilar informacin sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero tambin se han empleado en organismos oficiales para recopilar informacin contra

14

sospechosos de delitos, como en el caso de la piratera de software. Adems pueden servir para enviar a los usuarios a sitios de Internet que tienen la imagen corporativa de otros, con el objetivo de obtener informacin importante. Dado que el spyware usa normalmente la conexin de una computadora a Internet para transmitir informacin, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a Internet. Caballos de Troya: Son aquellos que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presentan como informacin perdida o "basura", sin ningn sentido. Pero al cabo de algn tiempo, y esperando la indicacin programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones. Bombas de Tiempo: Son los programas ocultos en la memoria del sistema o en los discos, o en los archivos de programas ejecutables con tipo COM o EXE. En espera de una fecha o una hora determinadas para "explotar". Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la "explosin". Llegado el momento, se activan cuando se ejecuta el programa que las contiene. Autorreplicables: Son los virus que realizan las funciones ms parecidas a los virus biolgicos, ya que se auto reproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programada o cada determinado tiempo, contado a partir de su ltima ejecucin, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el virus del Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas infectados), evitando as ser detectado. Infectores del rea de carga inicial : Infectan los diskettes o el disco duro, alojndose inmediatamente en el rea de carga. Toman el control cuando se enciende la computadora y lo conservan todo el tiempo.

15

Infectores del sistema: Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del Sistema Operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el Sistema Operativo y es as como el virus adquiere el control para infectar todo disco que sea introducido a la unidad con la finalidad de copiarlo o simplemente para ver sus carpetas (tambin llamadas: folders, subdirectorios, directorios).

Infectores de programas ejecutables : Estos son los virus ms peligrosos, porque se diseminan fcilmente hacia cualquier programa (como hojas de clculo, juegos, procesadores de palabras). La infeccin se realiza al ejecutar el programa que contiene al virus, que en ese momento se posiciona en la memoria de la computadora y a partir de entonces infectar todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos autocopindose en ellos. Aunque la mayora de estos virus ejecutables "marca" con un byte especial los programas infectados --para no volver a realizar el proceso en el mismo disco--, algunos de ellos (como el de Jerusaln) se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a saturar su capacidad de almacenamiento.

Virus Bat: Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dainos como cualquier otro tipo virus. En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a s mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a cdigo mquina son <<comodines>> y no producen ningn efecto que altere el funcionamiento del virus.

Virus del MIRC: Vienen a formar parte de la nueva generacin Internet y demuestra que la Red abre nuevas formas de infeccin. Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini".

16

CAPITULO 3
Los Virus Informticos y las Computadoras 3.1 Mtodos de propagacin de los virus informticos

Existen varios mtodos utilizados por los virus informticos para propagarse, los cuales se explican a continuacin:

1.- Aadidura o empalme: Un virus usa el sistema de infeccin por aadidura cuando agrega el cdigo vrico al final de los archivos ejecutables. Los archivos ejecutables anfitriones son modificados para que, cuando se ejecuten, el control del programa se pase primero al cdigo vrico aadido. Esto permite que el virus ejecute sus tareas especficas y luego entregue el control al programa. Esto genera un incremento en el tamao del archivo lo que permite su fcil deteccin. 2.- Insercin: Un virus usa el sistema de infeccin por insercin cuando copia su cdigo directamente dentro de archivos ejecutables, en vez de aadirse al final de los archivos anfitriones. Copian su cdigo de programa dentro de un cdigo no utilizado o en sectores marcados como daados dentro del archivo por el sistema operativo con esto evita que el tamao del archivo vare. Para esto se requieren tcnicas muy avanzadas de programacin, por lo que no es muy utilizado este mtodo. 3.- Reorientacin: Es una variante del anterior. Se introduce el cdigo principal del virus en zonas fsicas del disco rgido que se marcan como defectuosas y en los archivos se implantan pequeos trozos de cdigo que llaman al cdigo principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamao del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminacin es bastante sencilla, ya que basta con reescribir los sectores marcados como defectuosos. 17

4.- Polimorfismo: Este es el mtodo mas avanzado de contagio. La tcnica consiste en insertar el cdigo del virus en un archivo ejecutable, pero para evitar el aumento de tamao del archivo infectado, el virus compacta parte de su cdigo y del cdigo del archivo anfitrin, de manera que la suma de ambos sea igual al tamao original del archivo. Al ejecutarse el programa infectado, acta primero el cdigo del virus descompactando en memoria las porciones necesarias. Una variante de esta tcnica permite usar mtodos de encriptacin dinmicos para evitar ser detectados por los antivirus. 5.- Sustitucin: Es el mtodo ms tosco. Consiste en sustituir el cdigo original del archivo por el del virus. Al ejecutar el archivo deseado, lo nico que se ejecuta es el virus, para disimular este proceder reporta algn tipo de error con el archivo de forma que creamos que el problema es del archivo.

18

3.3 Sntomas de los Virus Informticos: A continuacin se muestran los sntomas ms comunes cuando tenemos virus: Los programas tardan ms de lo normal en iniciarse. Las operaciones rutinarias se realizan con ms lentitud. Los programas acceden a mltiples unidades de discos cuando antes no lo hacan. Los programas dirigen los accesos a los discos en tiempos inusuales o con una frecuencia mayor. El nmero de sectores daados de disco aumenta constantemente. Programas que normalmente se comportan bien, funcionan de modo anormal o dejan de funcionar. Desaparecen archivos o aparecen nuevos archivos de datos o directorios de origen desconocido. Los archivos son sustituidos por objetos de origen desconocido o por datos falseados. Nombres, extensiones, fechas, atributos o datos cambian en archivos o directorios que no han sido modificados por los usuarios. Aparicin de mensajes de error no comunes. En mayor o menor medida, todos los virus, al igual que programas residentes comunes, tienen una tendencia a colisionar con otras aplicaciones. Aplique aqu tambin el anlisis pre / post-infeccin.

19

 Cambios en las caractersticas de los archivos ejecutables. Casi todos los virus de archivo, aumentan el tamao de un archivo ejecutable cuando lo infectan. Tambin puede pasar, si el virus no ha sido programado por un experto (tpico principiante con aires de hacker), que cambien la fecha del archivo a la fecha de infeccin. Aparicin de anomalas en el teclado. Existen algunos virus que definen ciertas teclas, las cuales al ser pulsadas, realizan acciones perniciosas en la computadora. Tambin suele ser comn el cambio de la configuracin de las teclas, por la del pas donde se program el virus. Aparicin de anomalas en el video. Muchos de los virus eligen el sistema de video para notificar al usuario su presencia en la computadora. Cualquier desajuste de la pantalla o de los caracteres de sta, nos puede notificar la presencia de un virus. Reduccin del tamao de la memoria RAM. Un virus, al entrar al sistema, se sita en la memoria RAM, ocupando una porcin de ella. El tamao til y operativo de la memoria se reduce en la misma cuanta que tiene el cdigo del virus. Siempre en el anlisis de una posible infeccin es muy valioso contar con parmetros de comparacin antes y despus de la posible infeccin. Aparicin de programas residentes en memoria desconocidos. El cdigo viral puede ocupar parte de la RAM y debe quedar colgado de la memoria para activarse cuando sea necesario. Esa porcin de cdigo que queda en RAM, se llama residente y con algn utilitario que analice la RAM puede ser descubierta. Reduccin del espacio disponible del disco. Ya que los virus se van duplicando de manera continua, es normal pensar que esta accin se lleve a cabo sobre archivos del disco, lo que lleva a una disminucin del espacio disponible por el usuario.

20

3.4 Daos ocasionados por los Virus Daos de los Virus. Para realizar la siguiente clasificacin se ha tenido en cuenta que el dao es una accin de la computadora, no deseada por el usuario:

Dao Implcito: es el conjunto de todas las acciones dainas para el sistema que el virus realiza para asegurar su accionar y propagacin. Aqu se debe considerar el entorno en el que se desenvuelve el virus ya que el consumo de ciclos de reloj en un medio delicado (como un aparato biomdico) puede causar un gran dao.

Dao Explcito: es el que produce la rutina de dao del virus.

Con respecto al modo y cantidad de dao, los clasificaremos segn la cantidad de tiempo necesaria para reparar dichos daos. Existen seis categoras de daos hechos por los virus, de acuerdo a la gravedad. Daos Triviales. Daos que no ocasionan ninguna prdida grave de funcionalidad del sistema y que originan una pequea molestia al usuario. Deshacerse del virus implica, generalmente, muy poco tiempo. Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos. Daos Menores. Daos que ocasionan una prdida de la funcionalidad de las aplicaciones que poseemos. En el peor de los casos se tendr que reinstalar las aplicaciones afectadas. Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar despus de que el virus haya infectado la memoria residente. Daos Moderados.

21

Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT (Tabla de Ubicacin de Archivos), o sobrescribe el disco rgido. En este caso, sabremos inmediatamente qu es lo que est sucediendo, y podremos reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizs nos lleve una hora. Daos Mayores. Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasar desapercibidos, pueden lograr que ni an restaurando un backup volvamos al ltimo estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realiz. Cuando este contador llega a 16, elige un sector del disco al azar y en l escribe la frase: "Eddie lives somewhere in time" (Eddie vive en algn lugar del tiempo). Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el da en que detectemos la presencia del virus y queramos restaurar el ltimo backup notaremos que tambin l contiene sectores con la frase, y tambin los backups anteriores a ese. Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup. Daos Severos. Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales y progresivos. No sabemos cundo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives...). Daos ilimitados. Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios mximos, fijando el nombre del usuario y la clave. El dao es entonces realizado por la tercera persona, quien ingresar al sistema y hara lo que quisiera.

22

3.5 Virus informticos Argentinos. Al igual que todos los pases informatizados, la Argentina cuenta con una produccin local de virus informticos. Si bien estos no son de los ms complejos (en su mayora, buenas copias y variaciones de virus conocidos) representan un problema, ya que muchos de ellos no estn incluidos en las bases de datos de los programas antivirus. Veamos algunos ejemplos: Ping Pong: Este virus fue el primero en hacer explosin en Argentina. Fue descubierto en marzo de 1988 y en poco tiempo estuvo en nuestro pas, en donde se convirti rpidamente en epidemia. La falta de conocimiento sobre los virus ayud a que se diseminara ampliamente y fuera incontrolable en un principio. En centros universitarios como la Facultad de Ciencias Exactas de la UBA o la Facultad de Informtica de la Universidad de Morn era difcil encontrar un disco sin infectar. Ese mismo desconocimiento llev a que pasara bastante tiempo hasta que se empezaran a tomar medidas. Slo despus de algunos meses, en revistas especializadas en informtica, empezaron a publicarse formas de desinfectar los discos, y como consecuencia de ello se aplicaron polticas de seguridad en las universidades. Lo positivo de esto fue que la gente comenzara a conocer el D.O.S. ms profundamente, por ejemplo el boot sector: qu es y para qu sirve, ya que las mquinas eran utilizadas pero pocos saban cmo funcionaban realmente. Como tena un sntoma muy evidente (una pelotita que rebotaba), se pens que todos los virus deban ser visibles, pero los siguientes fueron ms subrepticios, y se limitaban a reproducirse o destruir sin avisar al usuario. El Ping Pong original no poda infectar discos rgidos, pero la versin que se populariz en el pas fue la B, que s poda hacerlo. Se cre una variante en Argentina, que probablemente fue la primera variante de virus originada en el

23

pas, el Ping Pong C, que no mostraba la pelotita en la pantalla. Este virus est extinto en este momento ya que slo poda funcionar en mquinas con procesador 8088 8086, porque ejecutaba una instruccin no documentada en estos e incorrecta en los modelos siguientes. Avispa: Escrito en Noviembre de 1993 que en muy poco tiempo se convirti en epidemia. Infecta archivos .EXE Al ejecutarse, si no se encontraba ya residente en memoria, intenta infectar los archivos XCOPY, MEM, SETVER y EMM386 para maximizar sus posibilidades de reproduccin, ya que estos archivos son de los ms frecuentemente utilizados. Este virus est encriptado siempre con una clave distinta (polimrfico), para dificultar su deteccin por medio de antivirus heursticos. Menem Tocoto: Esta adaptacin del virus Michelangelo apareci en 1994. En los disquetes se aloja en el boot sector, y en los discos rgidos en la tabla de particiones. Es extremadamente sencillo y, por ende, fcil de detectar. Camouflage II: Aparecido por primera vez en 1993. Infecta el boot sector de los disquetes ubicados en la unidad A y la tabla de particin de los discos rgidos. Es bastante simple y fcil de ser detectado. Leproso: Creado en 1993, en Rosario, provincia de Santa F. Se activa el da 12 de Enero (cumpleaos del autor), y hace aparecer un mensaje que dice: "Felicitaciones, su mquina est infectada por el virus leproso creado por J. P. Hoy es mi cumpleaos y lo voy a festejar formateando su rgido. Bye... (Vamos Newell's que con Diego somos campeones)." Pindonga:

24

Virus polimrfico residente en memoria que se activa los das 25 de febrero, 21 de marzo, 27 de agosto y 16 de septiembre, cuando ataca, borra toda la informacin contenida en el disco rgido. Tedy: Es el primer virus argentino interactivo. Apareci hace poco tiempo. Infecta archivos con extensin .EXE, y se caracteriza por hacer una serie de preguntas al usuario. Una vez activado, una pantalla muestra: TEDY, el primer virus interactivo de la computacin! Responda el siguiente cuestionario: Los programas que Ud. utiliza son originales? (s/n) Los de Microsoft son unos ladrones? (s/n) Si se responde afirmativamente a la primera pregunta, el virus contestar: 5 archivos menos por mentiroso En caso contrario: 2 archivos menos por ladrn En cuanto a la segunda pregunta, el nico mensaje que se ha visto es: Te doy otra oportunidad para responder bien. Con este virus, los archivos infectados aumentan su tamao en 4310 bytes.

25

PARTE II Presentacin de la Solucin Mtodos y Tcnicas para Protegerse de los Virus

26

CAPITULO 4
Protegindose de los Virus Informticos

4.1 Mtodos de Proteccin y Tipos Los mtodos para disminuir o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos. 4.1.1 Activos 4.1.1.1 Antivirus: los llamados programas antivirus tratan de descubrir las trazas que ha dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminacin. Tratan de tener controlado el sistema mientras funciona parando las vas conocidas de infeccin y notificando al usuario de posibles incidencias de seguridad. El antivirus puede estar: Antivirus activo Programa antivirus que se encuentra en ejecucin en una computadora. Un antivirus activo no necesariamente tiene que estar en el proceso de escaneo del sistema ni tampoco en el estado de proteccin permanente (aunque esto ltimo es recomendable para el antivirus activo). Se recomienda que en una computadora no se debera tener dos antivirus activos al mismo tiempo, porque pueden traer conflictos o, peor an, anular la proteccin. S es posible tener un antivirus activo y varios inactivos. Los antivirus inactivos podran ejecutarse manualmente solo en determinadas situaciones, como por ejemplo, el antivirus activo no logra eliminar un determinado programa maligno y tal vez otro antivirus s lo haga. Antivirus Pasivo

27

Programa antivirus que se encuentra instalado en una computadora pero que no est en ejecucin ni en proteccin permanente. Los antivirus online son ejemplos de antivirus pasivos. Las funciones de los antivirus. Un antivirus tiene tres principales funciones y componentes: Vacuna es un programa que instalado residente en la memoria, acta como "filtro" de los programas que son ejecutados, abiertos para ser ledos o copiados, en tiempo real. Detector, que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los cdigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rpida desarman su estructura. Eliminador es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente despus a reparar o reconstruir los archivos y reas afectadas.

Tipos de vacunas CA: Slo deteccin: Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos. CA: Deteccin y desinfeccin: son vacunas que detectan archivos infectados y que pueden desinfectarlos. CA: Deteccin y aborto de la accin: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus. CA: Deteccin y eliminacin de archivo/objeto: son vacunas que detectan archivos infectados y eliminan el archivo u objeto que tenga infeccin. CB: Comparacin directa: son vacunas que comparan directamente los archivos para revisar si alguno esta infectado CB: Comparacin por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si estn infectados. CB: Comparacin de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo. CB: Por mtodos heursticos: son vacunas que usan mtodos heursticos para comparar archivos.

28

CC: Invocado por el usuario: son vacunas que se activan instantneamente con el usuario. CC: Invocado por la actividad del sistema: son vacunas que se activan instantneamente por la actividad del sistema windows xp/vista Los Antivirus ms Populares 1 - KAV (Kaspersky Anti-virus) 2 - F-Secure 3 - G DATA 4 - eScan 5 - AntiVir 6 - NOD32 Anti-Virus 7 - BitDefender Prof 8 - McAfee VirusScan 9 - Avast! Home 10 - AVG Professional 11 - Norton Anti-Virus 12 - Panda antivirus 13 - F-Prot Anti-Virus 14 - RAV Desktop 15 - Dr. Web 4.1.1.2 Filtros de ficheros: consiste en generar filtros de ficheros dainos si la computadora est conectada a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o usando tcnicas de firewall. En general, este sistema proporciona una seguridad donde no se requiere la intervencin del usuario, puede ser muy eficaz, y permitir emplear nicamente recursos de forma ms selectiva. 4.1.2 Pasivos 1. Formacin del usuario: esta es la primera barrera de proteccin de la red. 2. Copias de seguridad: mantener una poltica de copias de seguridad garantiza la recuperacin de los datos y la respuesta cuando nada de lo anterior ha funcionado. 3. Planificacin: la planificacin consiste en tener preparado un plan de contingencia en caso de que una emergencia de virus se produzca, as como disponer al personal de la formacin adecuada para reducir al mximo las acciones que puedan entraar riesgo.

29

4. Consideraciones de software: el software es otro de los elementos clave en la parte de planificacin. 5. Consideraciones de la red: disponer de una visin clara del funcionamiento de la red permite poner puntos de verificacin filtrado y deteccin ah donde la incidencia es ms claramente identificable. Sin perder de vista otros puntos de accin es conveniente: Mantener al mximo el nmero de recursos de red en modo de slo lectura. De esta forma se impide que computadoras infectadas los propaguen. Centralizar los datos. De forma que detectores de virus en modo batch puedan trabajar durante la noche Realizar filtrados de firewall de red. Eliminar los programas de comparticin de datos, como pueden ser los P2P; Mantener esta poltica de forma rigurosa, y con el consentimiento de la gerencia. Reducir los permisos de los usuarios al mnimo, de modo que slo permitan el trabajo diario. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de recuperacin cmo se ha introducido el virus, y as determinar los pasos a seguir. Evitar introducir a tu equipo medios de almacenamiento removibles que Usar versiones originales. Si vamos a instalar un programa en la PC,

consideres que pudieran estar infectados con algn virus. debemos asegurar que sea un programa Original; o sea, utilice un disco de instalacin de fabricante conocido. No instalar software "pirata". Evitar descargar software de Internet.

No abrir mensajes provenientes de una direccin electrnica desconocida. No aceptar e-mails de desconocidos. Generalmente, suelen enviar "fotos" por la Web, que dicen llamarse "mifoto.jpg", tienen un cono cuadrado blanco, con una lnea azul en la parte superior. En realidad, no estamos en presencia de una foto, sino de una aplicacin Windows (*.exe). Su verdadero nombre es "mifoto.jpg.exe",

30

pero la parte final "*.exe" no la vemos porque Windows tiene deshabilitada (por defecto) la visualizacin de las extensiones registradas, es por eso que solo vemos "mifoto.jpg" y no "mifoto.jpg.exe". Cuando la intentamos abrir (con doble click) en realidad estamos ejecutando el cdigo de la misma, que corre bajo MS-DOS.

CAPITULO 5
CONCLUSIN

Considero que la informacin contenida en esta prctica es de suma importancia y de gran utilidad, puesto que nuestro mundo cada da se est desarrollando ms tecnolgicamente y son muchos los hogares, oficinas del estado, empresas privadas, compaas y bancos que diariamente hacen uso de una computadora y que necesitan conocer acerca de los virus Informticos para as saber cmo prevenirlos y cmo enfrentarlos en el caso de que infecten nuestra computadora. No existen virus benficos. Algunas veces son escritos como una broma, quiz para irritar a la gente desplegando un mensaje humorstico. En estos casos, el virus no es ms que una molestia. Pero en otros casos, un virus puede ser malicioso y causar dao real y tener efectos devastadores. Considero que la educacin de todos los usuarios de computadora y su activa participacin en el seguimiento de ciertas normas, es de vital importancia para as tratar de detener la propagacin de los virus. Existen Millones de virus identificados, y cada da aparecen nuevos virus. Esta cifra debe abrirnos los ojos para as llegar a comprender la magnitud y complejidad de los problemas que podremos tener en el futuro con los virus. Son muchos los "hackers", o apasionados de la computacin que sentados horas y horas frente a sus equipos que estn en busca de producir el sper virus, capaz de no ser detectado, reproducirse sin ser notado, y causar toda clase de dolores de cabeza a los usuarios de computadora. Afortunadamente cada vez ms se estn desarrollando mejores tcnicas de proteccin y esperamos que los virus informticos puedan ser detenidos para que no se sigan propagando y no nos sigan causando tantos daos en nuestras computadoras.

31

Bibliografa

Wikipedia, La Enciclopedia Libre; http://es.wikipedia.org/ [consultada el 3/10/2009]

Geocities, http://www.geocities.com/ [consultada el 7/10/2009] Lic. Marcelo Manson (2005), Estudio sobre los Virus Informticos, Actualmente disponible en Internet, Http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml? monosearch [ consultada el 5/10/2009]

Microsoft; http://www.microsoft.com/ [consultada el 3/10/2009] Enciclopedia Virus, Virus Informticos A Z; http://www.enciclopediavirus.com/ [consultada el 5/10/2009]

Virus Prot, http://www.virusprot.com/; [consultada el 5/10/2009] Taringa, http://www.taringa.net/ [ consultada el 3/10/2009] Zona Virus, http://www.zonavirus.com/; [consultada el 7/10/2009] Info Spyware, http://www.infospyware.com/ [consultada el 7/10/2009] Segu-Info, La Seguridad de la Informacin; http://www.segu-info.com.ar/ [consultada el 3/10/2009]

Exeption, La Excepcin de la Red; http://www.alegsa.com.ar/ [consultada el 5/10/2009]

Lic. Cristian Borghello (2008) Cronologa de los Virus Informticos, actualmente dispononible en Internet; http://www.eset-

32

la.com/press/informe/cronologia_virus_informaticos.pdf [consultada el 7/10/2009]

33