En informtica losantivirusson programas cuyo objetivo es detectar y/o eliminarvirus informticos. Nacieron durante la dcada de1980.Con el transcurso del tiempo, la aparicin desistemas operativosms avanzados eInternet, ha hecho que los antivirus hayan evolucionado haciaprogramasms avanzados que no slo buscan detectarvirus informticos, sino bloquearlos, desinfectar archivos y prevenir una infeccin de los mismos, y actualmente ya son capaces de reconocer otros tipos demalware, comospyware,gusanos,troyanos,rootkits, etc.Mtodos de contagio[editareditar cdigo]Existen dos grandes grupos de propagacin: los virus cuya instalacin el usuario en un momento dado ejecuta o acepta de forma inadvertida, o los gusanos, con los que el programa malicioso acta replicndose a travs de las redes.En cualquiera de los dos casos, elsistema operativoinfectado comienza a sufrir una serie de comportamientos anmalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperacin del mismo.Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn las siguientes: Mensajes que ejecutan automticamente programas (como el programa de correo que abre directamente un archivo adjunto). Ingeniera social, mensajes como: Ejecute este programa y gane un premio. Entrada de informacin en discos de otros usuarios infectados. Instalacin desoftwareque pueda contener uno o varios programas maliciosos. Unidades extrables de almacenamiento (USB).Seguridad y mtodos de proteccin[editareditar cdigo]Los mtodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.Tipos de vacunas[editareditar cdigo] Slo deteccin: Son vacunas que slo actualizan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos. Deteccin y desinfeccin: son vacunas que detectan archivos infectados y que pueden desinfectarlos. Deteccin y aborto de la accin: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus. Comparacin por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si estn infectados. Comparacin de firmas de archivo: son vacunas que comparan las firmas de los atributos guardados en tu equipo. Por mtodosheursticos: son vacunas que usan mtodos heursticos para comparar archivos. Invocado por el usuario: son vacunas que se activan instantneamente con el usuario. Invocado por la actividad del sistema: son vacunas que se activan instantneamente por la actividad del sistema operativo.Copias de seguridad (pasivo)[editareditar cdigo]Mantener una poltica de copias de seguridad garantiza la recuperacin de los datos y la respuesta cuando nada de lo anterior ha funcionado.Asimismo las empresas deberan disponer de un plan y detalle de todo el software instalado para tener un plan de contingencia en caso de problemas.Planificacin[editareditar cdigo]La planificacin consiste en tener preparado un plan de contingencia en caso de que una emergencia de virus se produzca, as como disponer al personal de laformacin adecuadapara reducir al mximo las acciones que puedan presentar cualquier tipo de riesgo. Cada antivirus puede planear la defensa de una manera, es decir, un antivirus puede hacer un escaneado completo, rpido o de vulnerabilidad segn elija el usuario.Consideraciones de software[editareditar cdigo]El software es otro de los elementos clave en la parte de planificacin. Se debera tener en cuenta la siguiente lista de comprobaciones para tu seguridad:1. Tener el software imprescindible para el funcionamiento de la actividad, nunca menos pero tampoco ms. Tener controlado al personal en cuanto a la instalacin de software es una medida que va implcita. Asimismo tener controlado el software asegura la calidad de la procedencia del mismo (no debera permitirsesoftware piratao sin garantas). En todo caso un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre.2. Disponer del software de seguridad adecuado. Cada actividad, forma de trabajo y mtodos de conexin a Internet requieren una medida diferente de aproximacin al problema. En general, las soluciones domsticas, donde nicamente hay un equipo expuesto, no son las mismas que las soluciones empresariales.3. Mtodos de instalacin rpidos. Para permitir la reinstalacin rpida en caso de contingencia.4. Asegurar licencias. Determinados softwares imponen mtodos de instalacin de una vez, que dificultan la reinstalacin rpida de la red. Dichos programas no siempre tienen alternativas pero ha de buscarse con el fabricante mtodos rpidos de instalacin.5. Buscar alternativas ms seguras. Existe software que es famoso por la cantidad de agujeros de seguridad que introduce. Es imprescindible conocer si se puede encontrar una alternativa que proporcione iguales funcionalidades pero permitiendo una seguridad extra.Consideraciones de la red[editareditar cdigo]Disponer de una visin clara del funcionamiento de la red permite poner puntos de verificacin filtrado y deteccin ah donde la incidencia es ms claramente identificable. Sin perder de vista otros puntos de accin es conveniente:1. Mantener al mximo el nmero de recursos de red en modo de slo lectura. De esta forma se impide que computadoras infectadas los propaguen.2. Centralizar los datos. De forma que detectores de virus en modo batch puedan trabajar durante la noche.3. Realizar filtrados de firewall de red. Eliminar los programas que comparten datos, como pueden ser los P2P; Mantener esta poltica de forma rigurosa, y con el consentimiento de la gerencia.4. Reducir los permisos de los usuarios al mnimo, de modo que slo permitan el trabajo diario.5. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de recuperacin cmo se ha introducido el virus, y as determinar los pasos a seguir.

Formacin:Del usuario[editareditar cdigo]Esta es la primera barrera de proteccin de la red.Antivirus[editareditar cdigo]Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se emplear para la generacin de discos de recuperacin y emergencia. Sin embargo no se recomienda en una red el uso continuo de antivirus.El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas.Aunque si los recursos son suficientes, este extra de seguridad puede ser muy til.Sin embargo los filtros de correos con detectores de virus son imprescindibles, ya que de esta forma se asegurar una reduccin importante de elecciones de usuarios no entrenados que pueden poner en riesgo la red.Los virus ms comunes son los troyanos y gusanos, los cuales ocultan tu informacin, creando Accesos Directos.Firewalls[editareditar cdigo]Artculo principal:Cortafuegos (informtica).Filtrar contenidos y puntos de acceso. Eliminar programas que no estn relacionados con la actividad. Tener monitorizado los accesos de los usuarios a la red, permite asimismo reducir la instalacin de software que no es necesario o que puede generar riesgo para la continuidad del negocio. Su significado es barrera de fuego y no permite que otra persona no autorizada tenga acceso desde otro equipo al tuyo.Reemplazo de software[editareditar cdigo]Los puntos de entrada en la red la mayora de las veces son el correo, laspginas WEB, y la entrada de ficheros desde discos, o de computadoras que no estn en la empresa (porttiles...)Muchas de estas computadoras emplean programas que pueden ser reemplazados por alternativas ms seguras.Es conveniente llevar un seguimiento de cmo distribuyen bancos, y externos el software, valorar su utilidad.Centralizacin ybackup[editareditar cdigo]La centralizacin de recursos y garantizar el backup de los datos es otra de las pautas fundamentales en la poltica de seguridad recomendada.La generacin de inventarios de software, centralizacin del mismo y la capacidad de generar instalaciones rpidas proporcionan mtodos adicionales de seguridad.Es importante tener localizado donde tenemos localizada la informacin en la empresa. De esta forma podemos realizar lascopias de seguridadde forma adecuada.Control o separacin de la informtica mvil, dado que esta est ms expuesta a las contingencias de virus.Empleo de sistemas operativos ms seguros[editareditar cdigo]Para servir ficheros no es conveniente disponer de los mismos sistemas operativos que se emplean dentro de las estaciones de trabajo, ya que toda la red en este caso est expuesta a los mismos retos. Una forma de prevenir problemas es disponer de sistemas operativos con arquitecturas diferentes, que permitan garantizar la continuidad de negocio.Temas acerca de la seguridad[editareditar cdigo]Existen ideas instaladas por parte de las empresas de antivirus parte en la cultura popular que no ayudan a mantener la seguridad de los sistemas de informacin. Mi sistema no es importante para uncracker. Este tema se basa en la idea de que no introducir passwords seguras en una empresa no entraa riesgos pues Quin va a querer obtener informacin ma? Sin embargo dado que los mtodos de contagio se realizan por medio de programasautomticos, desde unas mquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes... Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen mltiples formas de contagio, adems los programas realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas. Como tengo antivirus estoy protegido. nicamente estoy protegido mientras el antivirus sepa a lo que se enfrenta y como combatirlo. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme las computadoras aumenten las capacidades de comunicacin. Como dispongo de un firewall no me contagio. Esto nicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son mltiples. Unas provienen directamente de accesos a mi sistema (de lo que protege un firewall) y otras de conexiones que realiz (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones tampoco ayuda. Tengo un servidor web cuyosistema operativoes unUNIXactualizado a la fecha. Puede que este protegido contra ataques directamente hacia el ncleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) est desactualizada, un ataque sobre algn script de dicha aplicacin puede permitir que el atacante abra una shell y por ende ejecutar comandos en el UNIX.Sistemas operativos ms atacados[editareditar cdigo]Las plataformas ms atacadas por virus informticos son la lnea de sistemas operativosWindowsde Microsoft. Respecto a los sistemas derivados deUnixcomoGNU/Linux,BSD,Solaris, Mac OS X, estos han corrido con mayor suerte debido en parte al sistema de permisos. No obstante en las plataformas derivadas de Unix han existido algunos intentos que ms que presentarse como amenazas reales no han logrado el grado de dao que causa un virus en plataformas Windows.Plataformas Unix, inmunes a los virus de Windows[editareditar cdigo]Artculo principal:Malware en Linux.Un virus informtico slo atacar la plataforma para la que fue desarrollado.Programa espa(Redirigido desde Spyware)Elspywareoprograma espaes un software que recopila informacin de un ordenador y despus transmite esta informacin a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. El trmino spyware tambin se utiliza ms ampliamente para referirse a otros productos que no son estrictamente spyware. Estos productos, realizan diferentes funciones, como mostrar anuncios no solicitados (pop-up), recopilar informacin privada, redirigir solicitudes de pginas e instalar marcadores de telfono.Un spyware tpico se auto instala en el sistema afectado de forma que se ejecuta cada vez que se pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y mostrando anuncios relacionados.Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que funciona como un parsito.Las consecuencias de una infeccin de spyware moderada o severa (aparte de las cuestiones de privacidad) generalmente incluyen una prdida considerable del rendimiento del sistema (hasta un 50% en casos extremos), y problemas de estabilidad graves (el ordenador se queda "colgado"). Tambin causan dificultad a la hora de conectar a Internet. Algunos ejemplos de programas espa conocidos sonGatoroBonzi Buddy.Este nombre viene dado de las palabras en idioma ingls "SPY" que significa espa, y "WARE" (para este caso) que significa programa.Ungusano informtico(tambin llamadoIWormpor su apcope en ingls,Ide Internet,Wormde gusano) es unmalwareque tiene la propiedad de duplicarse a s mismo. Los gusanos utilizan las partes automticas de unsistema operativoque generalmente son invisibles al usuario.Los gusanos informticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo ms peligroso de los worms o gusanos informticos es su capacidad para replicarse en tu sistema, por lo que tu ordenador podra enviar cientos o miles de copias de s mismo, creando un efecto devastador a gran escala.A diferencia de unvirus, un gusano no precisa alterar los archivos de programas, sino que reside en lamemoriay se duplica a s mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendoancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicacin, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.Los gusanos se basan en unared de computadoraspara enviar copias de s mismos a otros nodos (es decir, a otrasterminalesen la red) y son capaces de llevar esto a cabo sin intervencin del usuario propagndose, utilizando Internet, basndose en diversos mtodos, comoSMTP,IRC,P2Pentre otros.Historia[editareditar cdigo]El primer gusano informtico de la historia data de1988, cuando elgusano Morrisinfect una gran parte de los servidores existentes hasta esa fecha. Su creador,Robert Tappan Morris, fue sentenciado a tres aos en prisin y obtuvo de libertad condicional, 400 horas de servicios a la comunidad y una multa de 10.050dlares, gracias su familia que pago la fianza. Fue este hecho el que alert a las principales empresas involucradas en la seguridad de tecnologas tales como Nirdesteam que fue uno de los primeros en desarrollar el cortafuegoscortafuegos.Troyano (informtica)

Captura de pantalla del troyanoNuclear RATEninformtica,se denominatroyanoocaballo de Troya(traduccin literal delinglsTrojan horse) a unsoftware maliciosoque se presenta al usuario como unprogramaaparentemente legtimo e inofensivo pero al ejecutarlo le brinda a un atacante acceso remoto al equipo infectado.12El trmino troyano proviene de la historia delcaballo de Troyamencionado en laOdiseadeHomero.Los troyanos pueden realizar diferentes tareas, pero, en la mayora de los casos crean unapuerta trasera(en inglsbackdoor) que permite laadministracin remotaa un usuario no autorizado.3Un troyano no es de por s, unvirus informtico,an cuando tericamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus, consiste en su finalidad. Para que un programa sea un "troyano" slo tiene que acceder y controlar la mquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un husped destructivo, el troyano no necesariamente provoca daos porque no es su objetivo.ndice[ocultar] 1Evolucin histrica 2Propsitos de los troyanos 3Caractersticas de los troyanos 4Formas de infectarse con troyanos 5Eliminacin de troyanos 6Troyanos ms famosos 7Vase tambin 8Referencias 9Enlaces externosEvolucin histrica[editareditar cdigo]Los troyanos se concibieron como una herramienta para causar el mayor dao posible en el equipo infectado. En los ltimos aos y gracias al mayor uso deInternet, esta tendencia ha cambiado hacia el robo de datosbancarioso informacin personal.1Desde sus orgenes, los troyanos han sido utilizados como arma desabotajepor los servicios de inteligencia como laCIA, cuyo caso ms emblemtico fue elSabotaje al Gasoducto Siberiano en 1982. La CIA instal un troyano en el software que se ocupara de manejar el funcionamiento del gasoducto, antes de que la URSS comprara ese software en Canad.4De acuerdo con un estudio de la empresa responsable del software de seguridadBitDefenderdesde enero hasta junio de 2009,"El nmero de troyanos est creciendo, representan el 83% delmalwaredetectado".5La siguiente grfica muestra el porcentaje de malware que representan los troyanos:[citarequerida]Propsitos de los troyanos[editareditar cdigo]Los troyanos estn diseados para permitir a un individuo el acceso remoto a un sistema. Una vez ejecutado el troyano, el individuo puede acceder al sistema de forma remota y realizar diferentes acciones sin necesitar permiso.6Las acciones que el individuo puede realizar en el equipo remoto, dependen de los privilegios que tenga el usuario en el ordenador remoto y de las caractersticas del troyano.[citarequerida]Algunas de las operaciones que se pueden llevar a cabo en el ordenador remoto son: Utilizar la mquina como parte de unabotnet(por ejemplo para realizarataques de denegacin de servicioo envo despam). Instalacin de otrosprogramas(incluyendo otros programas maliciosos). Robo de informacin personal: informacin bancaria, contraseas, cdigos de seguridad. Borrado, modificacin o transferencia de archivos (descarga o subida). Ejecutar o terminarprocesos. Apagar o reiniciar el equipo. Monitorizar las pulsaciones delteclado. Realizar capturas depantalla. Ocupar el espacio libre deldisco durocon archivos intiles. Monitorizacin del sistema y seguimiento de las acciones del usuario. Miscelnea (acciones "graciosas" tales como expulsar la unidad de cd, cambiar apariencia del sistema, etc.)Hoy en da, dada la popularizacin de los sistemas para dispositivos mviles y tablets, especialmente aquellos con menor control en su marketplace de aplicaciones (como Android) son foco de creciente inters para los desarrolladores de este tipo de malware. En el caso de estos dispositivos, las acciones que un atacante puede llegar a realizar son similares a las anteriores pero dada la naturaleza del dispositivo, el abanico de opciones se amplia: Captura de mensajes de texto entrantes y salientes. Captura del registro de llamadas. Habilidad para acceder (consultar, eliminar y modificar) la agenda de contactos. Habilidad para efectuar llamadas y enviar SMS. Conocimiento de la posicin geogrfica del dispositivo mediante GPS. Captura de la cmara. Y un largo etc.Caractersticas de los troyanos[editareditar cdigo]Los troyanos estn compuestos principalmente por dos programas: un programa de administracin, que enva las rdenes que se deben ejecutar en la computadora infectada y el programa residente situado en la computadora infectada, que recibe las rdenes del administrador, las ejecuta y le devuelve un resultado. Generalmente tambin se cuenta con un editor del programa residente, el cual sirve para modificarlo, protegerlo mediante contraseas, unirlo a otros programas para disfrazarlo, configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la forma en la que se realiza la conexin entre el programa de administracin y el residente se pueden clasificar en: Conexin directa: El atacante se conecta directamente al PC infectado mediante su direccin IP. En este caso, el equipo atacante es el cliente y la vctima es el servidor. Conexin indirecta: El equipo host o vctima se conecta al atacante mediante un proceso automtico en el software malicioso instalado en su equipo, por lo que no es necesario para el atacante tener la direccin IP de la vctima. Para que la conexin este asegurada, el atacante puede utilizar una IP fija o un nombre de dominio. La mayora de los troyanos modernos utiliza este sistema de conexin, donde el atacante es el servidor a la espera de la conexin y el equipo host es el cliente que enva peticiones de conexin constantemente hasta lograrla.A pesar de que los troyanos de conexin directa han cado en desuso casi totalmente frente a los de conexin inversa, dentro de los crculos de hackers se sigue utilizando la denominacin declientepara el equipo atacante yservidorpara el equipo vctima, lo cual es incorrecto desde un punto de vista estricto.La conexin inversa tiene claras ventajas sobre la conexin directa, esta traspasa algunosfirewalls(la mayora de los firewall no analizan lospaquetesque salen de la computadora, pero que s analizan los que entran), pueden ser usados en redes situadas detrs de unroutersin problemas (no es necesario redirigir los puertos) y no es necesario conocer ladireccin IPdel servidor.[citarequerida]Cabe destacar que existen otro tipo de conexiones, que no son de equipo vctima a equipo atacante, sino que utilizan un servidor intermedio, normalmente ajeno a ambos, para realizar el proceso de control. Se suele utilizar para este propsito el protocoloIRCo inclusoFTP,HTTPu otros.[citarequerida]Formas de infectarse con troyanos[editareditar cdigo]La mayora de infecciones con troyanos ocurren cuando se ejecuta un programa infectado con un troyano. Estos programas pueden ser de cualquier tipo, desdeinstaladoreshasta presentaciones de fotos. Al ejecutar el programa, este se muestra y realiza las tareas de forma normal, pero en un segundo plano y al mismo tiempo se instala el troyano. El proceso de infeccin no es visible para el usuario ya que no se muestran ventanas ni alertas de ningn tipo. Evitar la infeccin de un troyano es difcil, algunas de las formas ms comunes de infectarse son: Descarga de programas deredes P2P. Pginas web que contienen contenido ejecutable (por ejemplo controlesActiveXo aplicacionesJava). Exploitspara aplicaciones no actualizadas (navegadores,reproductores multimedia, clientes demensajera instantnea). Ingeniera social(por ejemplo uncrackermanda directamente el troyano a la vctima a travs de la mensajera instantnea). Archivos adjuntosencorreos electrnicosy archivos enviados por mensajera instantnea.Debido a que cualquier programa puede realizar acciones maliciosas en un ordenador, hay que ser cuidadoso a la hora de ejecutarlos. Estos pueden ser algunos buenos consejos para evitar infecciones: Disponer de unprograma antivirusactualizado regularmente para estar protegido contra las ltimas amenazas. Disponer de unfirewallcorrectamente configurado. Algunos antivirus lo traen integrado. Tener instalados los ltimos parches y actualizaciones de seguridad delsistema operativo. Descargar los programas siempre de las pginas web oficiales o de pginas web de confianza. No abrir los datos adjuntos de un correo electrnico si no conoces al remitente. Evitar la descarga de software de redes p2p.Eliminacin de troyanos[editareditar cdigo]Una de las principales caractersticas de los troyanos, es que no son visibles para el usuario. Un troyano puede estar ejecutndose en un ordenador durante meses sin que el usuario perciba nada. Esto hace muy difcil su deteccin y eliminacin de forma manual. Algunos patrones para identificarlos son: un programa desconocido se ejecuta al iniciar el ordenador, se crean o borran archivos de forma automtica, el ordenador funciona ms lento de lo normal, errores en el sistema operativo.Por otro lado los programas antivirus estn diseados para eliminar todo tipo de software malicioso, adems de eliminarlos tambin previenen de nuevas infecciones actuando antes de que el sistema resulte infectado. Es muy recomendable tener siempre un antivirus instalado en el equipo y a ser posible tambin un firewall.Troyanos ms famosos[editareditar cdigo]NombreAutorAoConexinLenguaje

NetBusCarl-Fredrik Neikte1997DirectaDelphi

Back OrificeSir Dystic1998InversaC++

Sub7MobMan1999DirectaDelphi

BifrostKSV2004Directa / InversaDelphi/C++

BandookPrinceali2005Directa / InversaC++

Poison IvyShapeless2007InversaDelphi/ASM

Vase tambin[editareditar cdigo] Administracin remota Bomba lgica Gusano informtico Malware Puerta trasera(en inglsbackdoor) Spyware Rootkit Virus informtico KeyloggerUnrootkites un programa que permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal delsistema operativoo de otras aplicaciones. El trmino proviene de unaconcatenacinde la palabra inglesa root que significa raz (nombre tradicional de la cuenta privilegiada en los sistemas operativosUnix) y de la palabra inglesa kit que significa conjunto de herramientas (en referencia a los componentes de software que implementan este programa). El trmino rootkit tiene connotaciones negativas ya que se lo asocia almalware.En otras palabras, usualmente se lo asocia con malware, que se esconde a s mismo y a otrosprogramas,procesos,archivos,directorios, claves deregistro, y puertos que permiten al intruso mantener el acceso a una amplia variedad de sistemas operativos como pueden serGNU/Linux,SolarisoMicrosoft Windowspara remotamente comandar acciones o extraerinformacinsensible.Tpicamente, unatacanteinstala un rootkit en una computadora despus de primero haber obtenido un acceso al nivel raz, ya sea por haberse aprovechado de una vulnerabilidad conocida o por haber obtenido una contrasea (ya sea porcrackeode la encriptacin o poringeniera social). Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusin y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales deautenticacinyautorizacin. Pese a que los rootktis pueden servir con muchos fines, han ganado notoriedad fundamentalmente como malware, escondiendo programas que se apropian de los recursos de las computadoras o que roban contraseas sin el conocimiento de los administradores y de los usuarios de los sistemas afectados. Los rootkits pueden estar dirigidos alfirmware, alhipervisor, alncleo, , ms comnmente, a los programas del usuario.La deteccin del rootkit es dificultosa pues es capaz de corromper al programa que debera detectarlo. Los mtodos de deteccin incluyen utilizar un sistema operativo alternativo confiable; mtodos de baseconductual; controles de firma, controles de diferencias y anlisis devolcado de memoria. La eliminacin del rootkit puede ser complicada o prcticamente imposible, especialmente en los casos en que el rootkit reside en el ncleo; siendo a veces la reinstalacin del sistema operativo el nico mtodo posible que hay para solucionar el problema.Algunas versiones espaolas de programas lo han traducido como Encubridor.ndice[ocultar] 1Uso de los rootkits 2Tipos de rootkits 2.1Tipos bsicos 2.2Ejemplos 3Deteccin de rootkits 4Vase tambin 5Referencias 6Enlaces externosUso de los rootkits[editareditar cdigo]Un rootkit se usa habitualmente para esconder algunas aplicaciones que podran actuar en el sistema atacado. Suelen incluirbackdoors(puertas traseras) para ayudar al intruso a acceder fcilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicacin que lance unaconsolacada vez que el atacante se conecte al sistema a travs de un determinadopuerto. Los rootkits delkernelo ncleo pueden contener funcionalidades similares. Unbackdoorpuede permitir tambin que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas nicamente alsuperusuario. Todo tipo de herramientas tiles para obtener informacin de forma ilcita pueden ser ocultadas mediante rootkits.Los rootkits se utilizan tambin para usar el sistema atacado como base de operaciones, es decir, usarlo a su vez para lanzar ataques contra otros equipos.navy4life De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podran ser de denegacin de servicio (DoS), ataques medianteIRCo mediantecorreo electrnico(spam).Tipos de rootkits[editareditar cdigo]Tipos bsicos[editareditar cdigo]Los rootkits se pueden clasificar en dos grupos: los que van integrados en elncleoy los que funcionan a nivel deaplicacin. Los que actan desde el kernel aaden o modifican una parte del cdigo de dicho ncleo para ocultar elbackdoor. Normalmente este procedimiento se complementa aadiendo nuevo cdigo al kernel, ya sea mediante un controlador (driver) o un mdulo, como losmdulos del kernelde Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear lasllamadas al sistemacon versiones que esconden informacin sobre el intruso. Son los ms peligrosos, ya que su deteccin puede ser muy complicada.Los rootkits que actan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algn troyano, o tambin pueden modificar el comportamiento de las aplicaciones existentes usandohacks, parches, cdigo inyectado, etc.Ejemplos[editareditar cdigo] Algunos troyanos han utilizado estos rootkits no-persistentes (FU Rootkits) que cargan en la memoria una vez que ellos se encuentran instalados. SuckIT Adore T0rn Ambient's Rootkit (ARK) Hacker Defender First 4 InternetXCP (Extended Copy Protection)DRM RkU Test Rootkit & Unreal1 Rootkit de ncleo: UACd (Agrega un driver de muy bajo nivel llamado UACd.sys) Rootkits de MacintoshDeteccin de rootkits[editareditar cdigo]Hay limitaciones inherentes a cualquier programa que intente detectar rootkits mientras se estn ejecutando en el sistema sospechoso. Los rootkits son aplicaciones que modifican muchas de las herramientas y libreras de las cuales depende el sistema. Algunos rootkits modifican el propio kernel (a travs de mdulos y otros mtodos como se indica ms arriba). El principal problema de la deteccin de rootkits consiste en que elsistema operativoen ejecucin no es fiable globalmente. En otras palabras, algunas acciones como pedir la lista de los procesos en ejecucin o listar los ficheros de undirectoriono son fiables al no comportarse como deberan.El mejor mtodo para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como unCD-ROMde rescate o unPenDrive. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a s mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.Los fabricantes de aplicaciones de seguridad han ido integrando los detectores de rootkits en los productos tradicionales de deteccin deantivirus. Si un rootkit consigue esconderse durante el proceso de deteccin, ser identificado por el detector de rootkits, que busca movimientos sospechosos. Si el rootkit decide detenerse momentneamente, ser identificado como unvirus. Esta tcnica combinada de deteccin puede obligar a los atacantes a implementar mecanismos de contraataque (tambin llamados retro-rutinas) en el cdigo del rootkit, con el objetivo de eliminar los procesos creados por el software de seguridad, eliminando as al programa antivirus de la memoria. Al igual que con los virus convencionales, la deteccin y eliminacin de los rootkits ser una batalla permanente entre los creadores del rootkit y de los programas de seguridad.Hay varios programas disponibles para detectar rootkits. En los sistemas basados en Unix, dos de las aplicaciones ms populares sonchkrootkityrkhunter. Para Windows est disponible un detector llamadoBlacklight(gratuito para uso personal) en la web de F-Secure. Blacklight presenta problemas de incompatibilidad en Windows 7. Otra aplicacin de deteccin para Windows esRootkit Revealerde Sysinternals. Detecta todos los rootkits actuales comparando las funcionalidades del sistema operativo original con las que se han detectado. Sin embargo, algunos rootkits han empezado a aadir este programa a la lista de los cuales no deben esconderse. En esencia, eliminan las diferencias entre los dos listados, de modo que el detector no los encuentra. Pero algo tan simple como renombrar el fichero rootkitrevealer.exe hace que el rootkit ya no sepa que se est enfrentando a un detector. Como se deca antes, ser una continua batalla entre los rootkits y los antivirus.

VIRUSANTIVIRUS

Es una pieza de cdigo ejecutable, regularmente escondido en documentos, con habilidad para reproducirse. Muchos virus causan problemas al ocupar espacio de almacenamiento, destruir datos y reducir considerablemente el desempeo del equipo de cmputoEl antivirus es un software que permite identificar archivos infectados, que pueden daar los componentes internos de una PC o bien los archivos existentes de la misma.

Para ser considerados virus, stos programas deben curbrir dos criterios: el primero, deben ejecutarse a s mismos, con frecuencia insertando alguna versin de su propio cdigo en el flujo de ejecucin de un programa; y la segunda, deben replicarse, es decir, pueden copiarse a otros achivos ejecutables o a los discos que utilice el usuario.Programas de cmputo diseados para combatir los virus informticos.Programas de fcil acceso y con ambiente amigable para su uso.Incorpora mecanismos para prevenir, detectar y eliminar los posibles virus que se encuentren residentes en la PC.

Unvirus informticoes unmalwareque tiene por objeto alterar el normal funcionamiento de lacomputadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazanarchivos ejecutablespor otros infectados con elcdigode este. Los virus pueden destruir, de manera intencionada, losdatosalmacenados en unacomputadora, aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser molestos.Los virus informticos tienen, bsicamente, la funcin de propagarse a travs de unsoftware, no se replican a s mismos porque no tienen esa facultad[citarequerida]como elgusano informtico, son muy nocivos y algunos contienen adems una carga daina (payload) con distintos objetivos, desde una simple broma hasta realizar daos importantes en los sistemas, o bloquear lasredes informticasgenerando trfico intil.El funcionamiento de un virus informtico es conceptualmente simple. Se ejecuta un programa que est infectado, en la mayora de las ocasiones, por desconocimiento del usuario. El cdigo del virus queda residente (alojado) en lamemoria RAMde la computadora, incluso cuando el programa que lo contena haya terminado de ejecutarse. El virus toma entonces el control de los servicios bsicos delsistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecucin. Finalmente se aade el cdigo del virus al programa infectado y se graba en eldisco, con lo cual el proceso de replicado se completa.