Virus Informáticos - Comsys99

HacksoftHacksoftInvestigación y Desarrollo de SoftwareInvestigación y Desarrollo de Software

Nuestra MisiónNuestra Misión

• ““Investigar y desarrollar software de Investigar y desarrollar software de protección de la información, a fin de protección de la información, a fin de apoyar la labor productiva de la apoyar la labor productiva de la comunidad informática”comunidad informática”

• Nos hemos constituido en la única Nos hemos constituido en la única empresa nacional especializada en el empresa nacional especializada en el tratamiento de virus informáticos.tratamiento de virus informáticos.

Virus y Antivirus Virus y Antivirus Informáticos en Informáticos en

InternetInternetEl riesgo es permanenteEl riesgo es permanente

Yabed Contreras ZambranoMartín Córdova

COMSYS´99 - HUANCAYO - PERU 30-6-1999

SOCIEDAD DEL SOCIEDAD DEL CONOCIMIENTOCONOCIMIENTO

SEGURIDAD DE LA SEGURIDAD DE LA INFORMACIÓNINFORMACIÓN

FACTORES QUE ATENTAN CONTRA FACTORES QUE ATENTAN CONTRA LA INFORMACIÓNLA INFORMACIÓN

• Variaciones de voltajeVariaciones de voltaje• CrackersCrackers• Malos hábitos de uso de la PCMalos hábitos de uso de la PC• DesinformaciónDesinformación• Virus informáticosVirus informáticos

VIRUS INFORMATICOSVIRUS INFORMATICOS- generalidades -- generalidades -

• Pequeños programas que atentan Pequeños programas que atentan contra su desempeño productivo, contra su desempeño productivo, generan millonarias pérdidas a nivel generan millonarias pérdidas a nivel mundial y son considerados como mundial y son considerados como un grave problema de seguridad un grave problema de seguridad nacional.nacional.

• Los virus evolucionan y se adaptan a Los virus evolucionan y se adaptan a las nuevas tecnologías demostrando las nuevas tecnologías demostrando haberse constituido en un Riesgo haberse constituido en un Riesgo Permanente.Permanente.

El riesgo es permanente

LA AMENAZA LA AMENAZA (DAÑOS MAS FRECUENTES EN PC’S)(DAÑOS MAS FRECUENTES EN PC’S)

70% de las compañías americanas han sido atacadas

por virus en el pasado Ernst & young Survey of 1,293 IS and Security Executives - December, 1997

Sabotage5%

Break-in4%

Otro26%PC Failure

12%

Virus13%

Fallas26%Error

15%

COSTOS DE UN VIRUS EN ESTACIONES COSTOS DE UN VIRUS EN ESTACIONES DE TRABAJODE TRABAJO

• 60% perdida de productividad60% perdida de productividad• 30% pérdida de data 30% pérdida de data • 23% sistemas colapsados23% sistemas colapsados• La recuperación de una estación de trabajo La recuperación de una estación de trabajo

atacada por virus toma más de 5 días en el atacada por virus toma más de 5 días en el 24% de los casos reportados24% de los casos reportados

• 87% de las infecciones reportadas tuvieron 87% de las infecciones reportadas tuvieron como origen diskettes infectados, E-mail.como origen diskettes infectados, E-mail.

DataQuest/NCSA - December, 1997

COSTO DE UN VIRUS EN REDESCOSTO DE UN VIRUS EN REDES

• 71% de las redes corporativas han sido 71% de las redes corporativas han sido infectadas alguna vezinfectadas alguna vez

• Costo de recuperación del daño causado por Costo de recuperación del daño causado por virus en una red anualmente : $450,000virus en una red anualmente : $450,000

• Tiempo de recuperación del daño causado Tiempo de recuperación del daño causado por virus en una red : 30 días o más.por virus en una red : 30 días o más.

• 25% de las redes LANs volvieron a infectarse 25% de las redes LANs volvieron a infectarse en 30 díasen 30 días

• La infección de una red es más rápida que la La infección de una red es más rápida que la infección via diskettesinfección via diskettes

DataQuest/NCSA - December, 1997

DAÑOS MAS FRECUENTES DAÑOS MAS FRECUENTES CAUSADOS POR LOS VIRUSCAUSADOS POR LOS VIRUS

Borran información (pérdida de la Inf.).Borran información (pérdida de la Inf.).Alterar el contenido de los documentos Alterar el contenido de los documentos (información).(información).Dañar las partes vitales del Disco Duro.Dañar las partes vitales del Disco Duro.Hacen más lento al computador.Hacen más lento al computador.Ocasionan pérdida de tiempo.Ocasionan pérdida de tiempo.

ACTIVIDAD VIRALACTIVIDAD VIRAL

26 de Abril, Un día negro ...26 de Abril, Un día negro ...

…la comunidad informática PERUANA sufrio millonarias pérdidas al perder valiosa información almacenada en sus equipos de cómputo por consecuencia de la activación del Virus Informático WIN95/CIH. alias “Chernobyl”

10 de Junio, la historia se repite...10 de Junio, la historia se repite...

…Nuevamente la comunidad informática PERUANA sufre millonarias pérdidas, esta vez a causa de un nuevo virus informático, ExploreZIP.EXE (worm)

Conozcamos más acerca de Conozcamos más acerca de los virus informáticoslos virus informáticos

QUE NO ES UN VIRUSQUE NO ES UN VIRUS

• Falsas AlarmasFalsas Alarmas• Errores, Programas Errores, Programas

corruptoscorruptos• Programas Bromistas o Programas Bromistas o

JokersJokers• Programas TroyanosProgramas Troyanos• Intento de virusIntento de virus

DEFINICION DE VIRUS DEFINICION DE VIRUS INFORMATICOSINFORMATICOS

Código ejecutable que tienen la Código ejecutable que tienen la capacidad de reproducir su código capacidad de reproducir su código dentro de otros objetos ejecutables, dentro de otros objetos ejecutables, convirtiendo al objeto hospedante en convirtiendo al objeto hospedante en

portador del virus.portador del virus.

TIPOS DE VIRUSTIPOS DE VIRUS

• Virus de Partición y Boot Sector (Stoned)Virus de Partición y Boot Sector (Stoned)• Virus de archivos ejecutables (Viernes 13)Virus de archivos ejecutables (Viernes 13)• Virus de Partición y archivos ejecutables Virus de Partición y archivos ejecutables

(Natas)(Natas)• Virus de documentos (Macrovirus) (Wazzu, Virus de documentos (Macrovirus) (Wazzu,

Darkside 1)Darkside 1)

METODOS DE INFECCIONMETODOS DE INFECCION

• AÑADIDURA (Jerusalem)AÑADIDURA (Jerusalem)• INSERCION (Rogue IV)INSERCION (Rogue IV)• REORIENTACION (By-Wai, Dir-2)REORIENTACION (By-Wai, Dir-2)• SOBRESCRITURA (Phalcom-z)SOBRESCRITURA (Phalcom-z)

METODOS DE SUPERVIVENCIAMETODOS DE SUPERVIVENCIA

• STEALTH (Svc)STEALTH (Svc)• TUNNELING (Natas)TUNNELING (Natas)• ANTITRACE (One-half)ANTITRACE (One-half)• POLIMORFISMO (Natas)POLIMORFISMO (Natas)

CICLO DE VIDA DE UN VIRUS


� Creación

zzCICLO DE VIDA DE UN VIRUS


� Creación� Gestación



� Creación� Gestación� Replicación



� Creación� Gestación� Replicación� Activación



� Creación� Gestación� Replicación� Activación� Descubrimiento



� Creación� Gestación� Replicación� Activación� Descubrimiento� Asimilación



� Creación� Gestación� Replicación� Activación� Descubrimiento� Asimilación� Erradicación

PROCESO DE PROCESO DE INFECCION EN INFECCION EN

UNA PC NORMALUNA PC NORMAL

El disquete infecta a la PCEl disquete infecta a la PC

Disco infectado

Proceso de infección en una PC

PC infectada

Disco infectado


La PC infecta otros La PC infecta otros disquetesdisquetes

PC infectada

Disco infectado

Disco infectado


El disquete infecta a El disquete infecta a su vez otras PC’ssu vez otras PC’s

PC infectada

PC infectada

Disco infectado

PC infectada

Disco infectado


El proceso continua hasta la El proceso continua hasta la detección o activación del detección o activación del virusvirus

PC infectada

PC infectada

Disco infectado

PC infectada

Disco infectado


PROCESO DE INFECCION DE UN SISTEMA EN RED

PROCESO DE INFECCION PROCESO DE INFECCION DE UN SISTEMA EN REDDE UN SISTEMA EN RED

Usuario 1


Usuario 1infecta el disco local


El usuario 1 infecta el

servidor de red


El usuario 2 usa archivos infectados e infecta su disco

local


El usuario 3 usa archivos infectados e infecta su disco local


El usuario 4 usa archivos infectados e

infecta su disco local

Consideraciones...Consideraciones...� Todos estamos propensos a tener una Todos estamos propensos a tener una

experiencia desagradable con algún experiencia desagradable con algún virus Informático.virus Informático.

� Cuanto más alto es el cargo que se Cuanto más alto es el cargo que se desempeña mayor es la desempeña mayor es la responsabilidad para salvaguardar la responsabilidad para salvaguardar la información.información.

� Solo el 20% de los problemas que se Solo el 20% de los problemas que se presentan un sistema es por causa de presentan un sistema es por causa de un virus informático.un virus informático.

Consideraciones...Consideraciones...� Las organizaciones que deseen Las organizaciones que deseen

competitividad están obligadas a hacer competitividad están obligadas a hacer uso de Internet, y para los que aún no uso de Internet, y para los que aún no se han enterado “la red de redes” se se han enterado “la red de redes” se encuentra plagada de VIRUS encuentra plagada de VIRUS INFORMATICOS.INFORMATICOS.

� Los virus informáticos constituyen un Los virus informáticos constituyen un riesgo de carácter permanente.riesgo de carácter permanente.

Virus en las redesVirus en las redes

INTERNET medio que facilita las INTERNET medio que facilita las infecciones mundiales….infecciones mundiales….

INTERNET MEDIO QUE INTERNET MEDIO QUE FACILITA LAS FACILITA LAS

INFECCIONES MUNDIALESINFECCIONES MUNDIALES

� Las fronteras para el intercambio de Las fronteras para el intercambio de información han sido superadas.información han sido superadas.

� Los virus para propagarse tienen en Los virus para propagarse tienen en “complicidad” INTERNET, la “complicidad” INTERNET, la INEXPERIENCIA y MALOS HABITOS INEXPERIENCIA y MALOS HABITOS de sus usuarios de sus usuarios

VIRUS DE REDESVIRUS DE REDES� Virus que utilizan comandos y Virus que utilizan comandos y

protocolos de una red de computadoras protocolos de una red de computadoras o e-mail para propagarse e infectar o e-mail para propagarse e infectar toda la red (INTERNET)toda la red (INTERNET)

CICLO DE VIDA DE UN CICLO DE VIDA DE UN VIRUS DE REDVIRUS DE RED

� En estos momentos en algún lugar del En estos momentos en algún lugar del mundo alguien esta desarrollando un mundo alguien esta desarrollando un nuevo virus, el motivo no esta nuevo virus, el motivo no esta determinado.determinado.


� El nuevo virus es sembrado en la red El nuevo virus es sembrado en la red (INTERNET) (INTERNET)


� EL VIRUS se propaga en EL VIRUS se propaga en “COMPLICIDAD” de los malos hábitos.“COMPLICIDAD” de los malos hábitos.

PlayBoy


� EL VIRUS en la red se propaga EL VIRUS en la red se propaga geometricamentegeometricamente

1+5+20+80+320=426En sólo 5 días

Podemos calcular fácilmente que en 10 días

habrán unos 100,000 equipos de computo infectados


� EL VIRUS infecta la máquina de un EL VIRUS infecta la máquina de un usuario y se mantiene latente hasta su usuario y se mantiene latente hasta su activaciónactivación


� El ciclo de vida de un El ciclo de vida de un virus culmina con su virus culmina con su activación los daños activación los daños son impredecibles, se son impredecibles, se puede perder desde un puede perder desde un simple juego hasta simple juego hasta grandes proyectos de grandes proyectos de valor incalculablevalor incalculable

PREVINIENDO PROBLEMASPREVINIENDO PROBLEMAS

Armamento de luchaArmamento de luchacontra virus informáticoscontra virus informáticos

• Una fuente de información sobre virusUna fuente de información sobre virus• Lista de lugares donde pedir ayudaLista de lugares donde pedir ayuda• Un programa antivirus Un programa antivirus (Actualizado)(Actualizado)• Un sistema de protección residenteUn sistema de protección residente• Disco de Sistema Operativo protegido contra Disco de Sistema Operativo protegido contra

escritura y libre de virusescritura y libre de virus• Un programa de respaldo de áreas críticasUn programa de respaldo de áreas críticas

• Mantenerse informado sobre la Mantenerse informado sobre la actividad viral.actividad viral.

• Efectuar periódicamente copias de Efectuar periódicamente copias de seguridad de la información.seguridad de la información.

• Revisar todos los discos que se hayan Revisar todos los discos que se hayan prestado.prestado.

• Revisar los programas obtenidos por Revisar los programas obtenidos por modem o Internet antes de usarlos.modem o Internet antes de usarlos.

• Revisar periódicamente la computadora Revisar periódicamente la computadora y los discos en uso.y los discos en uso.

Hábitos de prevención

ACTUANDO FRENTE A UN ACTUANDO FRENTE A UN VIRUSVIRUS

• Observación de síntomasObservación de síntomas• Identificar la especie viralIdentificar la especie viral

– Usar el antivirusUsar el antivirus• Buscar ayuda profesionalBuscar ayuda profesional

– Actualización de registro de virusActualización de registro de virus– Envío de muestras para su análisis Envío de muestras para su análisis

(archivos posiblemente infectados) (archivos posiblemente infectados)

ANTIVIRUSANTIVIRUS• ScannerScanner

– Programa que busca, detecta, identifica y Programa que busca, detecta, identifica y elimina los virus. elimina los virus.

• VacunaVacuna– Programa centinela que previene posibles Programa centinela que previene posibles

infecciones.infecciones.• Soporte técnicoSoporte técnico

– Equipo de investigación y desarrollo de Equipo de investigación y desarrollo de soluciones, frente a la actividad viral.soluciones, frente a la actividad viral.

Característica principal de Característica principal de un buen soporte técnicoun buen soporte técnico

Capacidad de respuesta a los cambiosCapacidad de respuesta a los cambiostecnológicos de manera rápida, efectiva ytecnológicos de manera rápida, efectiva y

económica.económica.

LA PROTECCION DE LA PROTECCION DE USUARIOS RESPONSABLESUSUARIOS RESPONSABLES

CONTRA TODO RIESGO.CONTRA TODO RIESGO.

RECONOCIDA EFECTIVIDADRECONOCIDA EFECTIVIDADLos siguientes virus fueron los primeros en su género,Los siguientes virus fueron los primeros en su género,

para detectarlos y eliminarlos fue necesario implementar para detectarlos y eliminarlos fue necesario implementar nueva tecnología.nueva tecnología.

� Febrero de 1994: Se detecta y Febrero de 1994: Se detecta y elimina el primer virus auto-elimina el primer virus auto-encriptable (1784.MUTATION).encriptable (1784.MUTATION).

� Noviembre de 1994: Se detecta y Noviembre de 1994: Se detecta y elimina el primer virus polimórfico elimina el primer virus polimórfico (NATAS.4744) llegado al Perú.(NATAS.4744) llegado al Perú.

� Enero de 1995: ByWay.Venezolano, Enero de 1995: ByWay.Venezolano, primer virus de directorio llegado al primer virus de directorio llegado al Perú.Perú.

� Windows 95 -BOZA- primer virus de Windows 95 -BOZA- primer virus de Windows 95.Windows 95.

� Enero 1996: MACROVIRUS para Enero 1996: MACROVIRUS para WORD(virus que infectan documentos y WORD(virus que infectan documentos y plantillas de WORD).plantillas de WORD).

� Marzo 1996: MACROVIRUS para Excel Marzo 1996: MACROVIRUS para Excel (virus que infectan hojas de cálculo)(virus que infectan hojas de cálculo)

� Marzo-1997Marzo-1997The Hacker es el UNICO The Hacker es el UNICO Antivirus nacional que posee Antivirus nacional que posee una vacuna .VXD especif¡ca para una vacuna .VXD especif¡ca para detectar macro virus en windows detectar macro virus en windows 3.1/3.11.3.1/3.11.

� Noviembre-1997: detectamos y Noviembre-1997: detectamos y eliminamos Macrovirus en Office eliminamos Macrovirus en Office 97.97.

� www.hacksoft.com.pe brinda noticias, www.hacksoft.com.pe brinda noticias, novedades y actualizaciones de The Hackernovedades y actualizaciones de The Hacker

� [email protected], para detectar y [email protected], para detectar y eliminar nuevos virus.eliminar nuevos virus.

� [email protected], para despejar [email protected], para despejar dudas e inquietudes sobre virus y The dudas e inquietudes sobre virus y The Hacker Antivirus.Hacker Antivirus.

SERVICIOS ADICIONALES DE SERVICIOS ADICIONALES DE HACKSOFTHACKSOFT

� Y LO MAS IMPORTANTE, The Hacker Y LO MAS IMPORTANTE, The Hacker PUEDE DETECTAR Y ELIMINAR MAS PUEDE DETECTAR Y ELIMINAR MAS VIRUS QUE LOS DEMAS.VIRUS QUE LOS DEMAS.

… contra todo riesgo

Virus Informáticos - Comsys99

Technology

Transcript of Virus Informáticos - Comsys99