Documente Academic
Documente Profesional
Documente Cultură
Gtrado: 1 Semestre
Grupo: 1203
Virus Informticos
Que es un virus informtico
Los Virus Informticos son sencillamente programas maliciosos (malwares) que infectan
a otros archivos del sistema con la intencin de modificarlo o daarlo. Dicha infeccin
consiste en incrustar su cdigo malicioso en el interior del archivo vctima (normalmente
un ejecutable) de forma que a partir de ese momento dicho ejecutable pasa a ser portador
del virus y por tanto, una nueva fuente de infeccin.
Su nombre lo adoptan de la similitud que tienen con los virus biolgicos que afectan a los
humanos, donde los antibiticos en este caso seran los programas Antivirus.
Los virus informticos tienen, bsicamente, la funcin de propagarse a travs de un
software, no se replican a s mismos porque no tienen esa facultad como los del tipo Gusano
informtico (Worm), son muy nocivos y algunos contienen adems una carga daina
(payload) con distintos objetivos, desde una simple broma hasta realizar daos importantes
en los sistemas, o bloquear las redes informticas generando trfico intil.
.
Cul es el funcionamiento bsico de un virus?
Se ejecuta un programa que est infectado, en la mayora de las ocasiones, por
desconocimiento del usuario.
El cdigo del virus queda residente (alojado) en la memoria RAM de la computadora,
aun cuando el programa que lo contena haya terminado de ejecutarse.
El virus toma entonces el control de los servicios bsicos del sistema operativo,
infectando, de manera posterior, archivos ejecutables (.exe., .com, .scr, etc) que sean
llamados para su ejecucin.
Finalmente se aade el cdigo del virus al programa infectado y se graba en el disco, con
lo cual el proceso de replicado se completa.
.
Las principales vas de infeccin son:
Redes Sociales.
Sitios webs fraudulentos.
Redes P2P (descargas con regalo)
Dispositivos USB/CDs/DVDs infectados.
Sitios webs legtimos pero infectados.
Clasificacin de Virus.
Tipos de Virus Informticos segn su destino de infeccin
Infectores de archivos ejecutables
o
o
Afectan archivos de extensin EXE, COM, BAT, SYS, PIF, DLL, DRV
Infectores directos
El programa infectado tiene que estar ejecutndose para que el virus pueda funcionar
(seguir infectando y ejecutar sus acciones destructivas)
Infectores del sector de arranque (boot). Tanto los discos rgidos como los disquetes
contienen un Sector de Arranque, el cual contiene informacin especfica relativa al formato
del disco y los datos almacenados en l. Adems, contiene un pequeo programa llamado
Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y
ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el
famoso mensaje de "Non-system Disk or Disk Error" en caso de no encontrar los archivos del
sistema operativo. Este es el programa afectado por los virus de sector de arranque. La
computadora se infecta con un virus de sector de arranque al intentar bootear desde un
disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del
disco rgido, infectando luego cada disquete utilizado en el PC. Es importante destacar que
como cada disco posee un sector de arranque, es posible infectar el PC con un disquete que
contenga solo datos.....
Virus Multi Particin. Bajo este nombre se engloban los virus que utilizan los dos mtodos
anteriores. Es decir, pueden simultneamente infectar archivos, sectores boot de arranque
y tablas FAT.
Infectores residentes en memoria. El programa infectado no necesita estar ejecutndose, el
virus se aloja en la memoria y permanece residente infectando cada nuevo programa
ejecutado y ejecutando su rutina de destruccin
Macrovirus. Son los virus mas populares de la actualidad. No se transmiten a travs de
archivos ejecutables, sino a travs de los documentos de las aplicaciones que poseen algn
tipo de lenguaje de macros. Entre ellas encontramos todas las pertenecientes al paquete
Office (Word, Excel, Power Point, Access) y tambin el Corel Draw, o AutoCAD.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se
copia a la plantilla base de nuevos documentos, de forma que sean infectados todos los
archivos que se abran o creen en el futuro. Los lenguajes de macros como el Visual Basic For
Applications son muy poderosos y poseen capacidades como para cambiar la configuracin
del sistema operativo, borrar archivos, enviar e-mails, etc.
De Actives Agents y Java Applets. En 1997, aparecen los Java applets y Actives controls. Estos
pequeos programas se graban en el disco rgido del usuario cuando est conectado a
Internet y se ejecutan cuando la pgina web sobre la que se navega lo requiere, siendo una
forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados
con Java applets y Actives controls acceden al disco rgido a travs de una conexin www de
manera que el usuario no los detecta. Se pueden programar para que borren o corrompan
archivos, controlen la memoria, enven informacin a un sitio web, etc.
De HTML. Un mecanismo de infeccin ms eficiente que el de los Java applets y Actives
controls apareci a fines de 1998 con los virus que incluyen su cdigo en archivos HTML. Con
solo conectarse a Internet, cualquier archivo HTML de una pgina web puede contener y
ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios
de Win98, 2000 y de las ltimas versiones de Explorer. Esto se debe a que necesitan que el
Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper
archivos.
Caballos de Troya. Los troyanos son programas que imitan programas tiles o ejecutan algn
tipo de accin aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el
cdigo daino. Los troyanos no cumplen con la funcin de autorreproduccin, sino que
generalmente son diseados de forma que por su contenido sea el mismo usuario el
encargado de realizar la tarea de difusin del virus. (Generalmente son enviados por e-mail)
2 - Mecanismos basados en RPC (Remote Procedure Call) - El gusano ejecuta una copia
de s mismo en todos los sistemas que aparecen en la tabla de rutas(rcopy y rexecute).
3 - Mecanismos basados en RLOGIN - El gusano se conecta como usuario en otros
sistemas y una vez en ellos, se copia y ejecuta de un sistema a otro.
Backdoors
Son tambin conocidos como herramientas de administracin remotas ocultas. Son
programas que permiten controlar remotamente el PC infectado. Generalmente son
distribuidos como troyanos. Cuando un virus de estos es ejecutado, se instala dentro del
sistema operativo, al cual monitorea sin ningn tipo de mensaje o consulta al usuario. Incluso
no se le v en la lista de programas activos. Los Backdoors permiten al autor tomar total
control del PC infectado y de esta forma enviar, recibir archivos, borrar o modificarlos,
mostrarle mensajes al usuario, etc....
Tcnicas de programacin
Apoyados en la capacidad de evolucin dada por sus programadores, los nuevos virus nacen
con el conocimiento de las tcnicas utilizadas por las herramientas antivirus actuales y
sabiendo cuales son sus puntos dbiles. En base a ello utilizan tcnicas cada vez ms
complejas para ocultarse y evitar ser detectados. Algunos de los mtodos de ocultacin ms
utilizados son los siguientes:
Stealth (Ocultamiento)
El ocultamiento o stealth consiste en esconder los signos visibles de la infeccin que puedan
delatar la presencia del virus en el sistema. Se trata de evitar todos los sntomas que indican
la presencia de un virus.
El signo fundamental de infeccin es no obstante la modificacin del fichero infectado. Una
tcnica de camuflaje usada por un virus residente puede ser la siguiente:
- Interceptar el servicio de lectura de ficheros.
- Cuando un programa desea analizar un fichero infectado, se le devuelve el contenido
original del mismo antes de la infeccin.
Tunneling (Sobrepasamiento)
El sobrepasamiento o tunneling consiste en acceder directamente a los servicios del sistema
a travs de sus direcciones originales, sin pasar por el control de otros programas residentes,
incluyendo el propio sistema operativo o cualquier buscador o vacuna residente. Requiere
una programacin compleja, hay que colocar el procesador en modo paso a paso. En este
modo de funcionamiento, tras ejecutarse cada instruccin se produce la interrupcin 1. Se
coloca una ISR (Interrupt Service Routine) para dicha interrupcin y se ejecutan instrucciones
comprobando cada vez si se ha llegado a donde se quera hasta recorrer toda la cadena de
ISRs que halla colocando el parche al final de la cadena.
Armouring o antidebuggers
Un debugger es un programa que permite descompilar programas ejecutables y mostrar
parte de su cdigo en lenguaje original. Algunos virus utilizan diversas tcnicas para evitar
ser desensamblados y as impedir su anlisis para la fabricacin del antivirus
correspondiente.
Polimorfismo o automutacin
Es una tcnica que consiste en cambiar el mtodo de encriptacin de generacin en
generacin, es decir, que entre distintos ejemplares del mismo virus no existen coincidencias
ni siquiera en la parte del virus que se encarga del descifrado del resto del virus. Esto obliga
a los antivirus a usar tcnicas heursticas ya que como el virus cambia en cada infeccin es
imposible localizarlo buscndolo por cadenas de cdigo. Esto se consigue utilizando un
algoritmo de encriptacin que pone las cosas muy difciles a los antivirus. No obstante no se
puede codificar todo el cdigo del virus, siempre debe quedar una parte sin mutar que toma
el control y esa es la parte ms vulnerable al antivirus.
La forma ms utilizada para la codificacin es la operacin lgica XOR. Esto es debido que
esta operacin es reversible
7 XOR 9 = 14
14 XOR 9 = 7
En este caso la clave es el nmero 9, pero utilizando una clave distinta en cada infeccin se
obtiene una codificacin tambin distinta.
Otra forma tambin muy utilizada consiste en sumar un numero fijo a cada byte del cdigo
vrico.
TSR
Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su
ejecucin.
Los virus utilizan esta tcnica para mantener el control sobre todas las actividades del sistema
y contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la
computadora permanezca encendido. Por eso una de las primeras cosas que hace al llegar a
la memoria es contaminar los archivos de arranque del sistema para asegurarse de que
cuando se vuelva a arrancar la computadora volver a ser cargado en memoria.
Sugerencia: nunca abra nada que est adjunto a un mensaje de correo electrnico a menos
que espere el archivo y conozca el contenido exacto de dicho archivo.
Si recibe un correo electrnico con un archivo adjunto de un desconocido, elimnelo
inmediatamente. Por desgracia, en ocasiones tampoco resulta seguro abrir archivos
adjuntos de personas que conoce. Los virus y los gusanos tienen la capacidad de robar la
informacin de los programas de correo electrnico y enviarse a todos los incluidos en la
libreta de direcciones. Por lo tanto, si recibe un correo electrnico de alguien con un
mensaje que no entiende o un archivo que no esperaba, pngase siempre en contacto con
la persona y confirme el contenido del archivo adjunto antes de abrirlo.
Otros virus se pueden propagar mediante programas que se descargan de Internet o de
discos repletos de virus que dejan los amigos o incluso que se compran en una tienda.
Existen formas menos habituales de contraer un virus. La mayora de las personas se
contagian de virus si abren y ejecutan archivos adjuntos de correo electrnico
desconocidos.
Cmo puedo saber si tengo un gusano u otro virus?
Al abrir y ejecutar un programa infectado, es posible que no sepa que ha contrado un virus.
Su equipo puede hacerse ms lento o bloquearse y reiniciarse cada pocos minutos. En
ocasiones, un virus ataca los archivos que necesita para iniciar un equipo. En este caso,
puede presionar el botn de encendido y estar mirando una pantalla vaca.
Todos estos sntomas son signos habituales de que el equipo tiene un virus, aunque se
pueden deber a problemas de hardware o software que nada tengan que ver con un virus.
Preste atencin a los mensajes que indiquen que ha enviado correo electrnico con virus.
Puede significar que el virus ha incluido su direccin de correo como el remitente de un
correo electrnico infectado. Esto no significa necesariamente que tenga un virus. Algunos
virus tienen la capacidad de falsificar las direcciones de correo electrnico.
A menos que tenga instalado software antivirus actualizado en el equipo, no existe un modo
seguro de saber si tiene un virus. Si no dispone de software antivirus actual o si desea
instalar otra marca de software antivirus, visite nuestra pgina de descargas de software de
seguridad.
Que es un spyware
El spyware es un software que recopila informacin de un ordenador y despus transmite
esta informacin a una entidad externa sin el conocimiento o el consentimiento del
propietario del ordenador.
El trmino spyware tambin se utiliza ms ampliamente para referirse a otros productos
que no son estrictamente spyware. Estos productos, realizan diferentes funciones, como
mostrar anuncios no solicitados (pop-up), recopilar informacin privada, redirigir
solicitudes de pginas e instalar marcadores de telfono.
Un spyware tpico se auto instala en el sistema afectado de forma que se ejecuta cada vez
que se pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la
estabilidad del ordenador), y funciona todo el tiempo, controlando el uso que se hace
deInternet y mostrando anuncios relacionados.
Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo
que funciona como un parsito.
Las consecuencias de una infeccin de spyware moderada o severa (a parte de las
cuestiones de privacidad) generalmente incluyen una prdida considerable del rendimiento
del sistema (hasta un 50% en casos extremos), y problemas de estabilidad graves (el
ordenador se queda "colgado"). Tambin causan dificultad a la hora de conectar aInternet.
Virus JVS
Janus Virus Syndicate
Para recuperar la informacin borrada de una memoria usb formateada debemos utilizar
una herramienta de recuperacion de datos. Personalmente he usado y siempre me ha
funcionado el software Recuva, el cual es totalmente gratuito y cumple su funcin
rpidamente. Para quienes no saben como usarlo les dejo el siguiente vdeo que explica
como hacerlo.
b. Archivos ocultos: Si miramos las propiedades de nuestra usb y vemos que nos muestra
como si tuviramos informacin pero cuando la abrimos no aparece nada, lo mas seguro es
que los datos estn ocultos, as que lo que vamos a hacer es mostrarlos y luego desocultarlos.
Para ver los archivos ocultos de una memoria usb yo recomiendo ejecutar USB Show, una
pequea (109 KB) aplicacion que configura tu sistema para mostrar los archivos ocultos.
Luego de usarlo exploramos nuevamente el dispositivos y seguro ya veremos la informacin
que permanece escondida.
Para desocultar los archivos y carpetas de una memoria usb no basta solo con darles clic
derecho y desactivar el item de ocultar ya que el virus bloquea esta opcin. Debemos realizar
el siguiente procedimiento:
1. Abrimos la consola de comandos: Inicio -> Ejecutar -> Escribimos CMD y damos Enter.
2. En la consola escribimos la letra correspondiente a la memoria usb, por ejemplo: E: y
damos Enter.
3. Ahora vamos a escribir: attrib a s h r /S /D y damos Enter.
De esta manera cambiaremos los atributos de la informacin guardada en la memoria usb y
la dejaremos como visible nuevamente. Espero que con esta rpida gua puedan darle
solucin a los problemas de virus en las usb y si conocen a alguien que lo necesite, no duden
en compartir esta informacin