VIRUS_INF..

1

SERVICIO NACIONAL DE APRENDIZAJE Centro Agroecológico y Empresarial

Regional Cundinamarca

Mantenimiento de Hardware OSCAR M. RODRIGUEZ B.

Ingeniero De Sistemas

VIRUS INFORMÁTICOS

¿QUÉ ES UN VIRUS INFORMÁTICO? Un virus es un pequeño PROGRAMA (generalmente de menos de 1Kb), que se instala de forma subrepticia (inadvertida) dentro de otro programa con el objeto de tomar el control del Sistema Operativo (S.O), para causar algún tipo de daño. La definición de un virus podría ser la siguiente: "Cualquier programa de informática que puede infectar a otro programa alterándolo gravemente y que puede reproducirse". El nombre real que corresponde a los virus es Código Auto Propagado pero por analogía con el campo de la medicina, se les dio el nombre de "virus". Todo virus tiene las siguientes características: * Siempre produce algún tipo de DAÑO: Está programado para causar daño en cualquiera de sus formas. En el mejor de los casos el daño es "TRIVIAL" (puede bajar la performance del sistema al consumir Memoria, tiempo de trabajo del Micro, espacio en disco, etc). En el peor de los casos el daño es "SEVERO" y consiste en la pérdida TOTAL o PARCIAL de la Información. * Tiene capacidad de AUTO-REPRODUCCIÓN: Posee la habilidad de realizar copias de sí mismo, de manera que se asegura la supervivencia de su especie. Al copiarse en archivos de una unidad de Diskette se asegura su proliferación y transporte, supuestamente, hacia otra máquina. * Es OCULTO y trabaja en forma OCULTA: El virus se instala dentro de un programa ejecutable modificándolo internamente, aunque no en su apariencia, de modo que su presencia no sea notoria. De esta manera será transportado hacia la Memoria del equipo cada vez que el programa anfitrión se ejecute, quedando residente para llevar a cabo de esa manera su accionar, sin que se note su presencia. Para lograr sus objetivos, un virus cuenta con las siguientes partes constitutivas: * Un Módulo de Reproducción: Es la parte del código del virus encargada de realizar copias de sí mismo en otros archivos ejecutables con el objeto de que se asegure la supervivencia de su especie.

2





* Un Módulo de Defensa: Es la parte del virus encargada de ocultar, por diversos medios, la presencia del virus ante la búsqueda de los programas Antivirus. * Un Módulo de Ataque: Es la parte del virus encargada de ejecutar la acción destructiva, una vez dada una cierta condición. FASES EN LA VIDA DE UN VIRUS Las fases de actuación de un virus son las siguientes: a) Infección: El virus llega al ordenador dentro de un programa existente en un medio de almacenamiento o vía internet, o también sólo en el sector booteable de un discket o memoria USB. El usuario, ignorando su presencia, ejecuta el programa infectado trasladando también el VIRUS a la memoria RAM (donde generalmente queda residente). A partir de su presencia en la memoria RAM principal el virus intentará tomar el control del S.O. infectando los archivos de sistema en primer lugar, luego el DBR y finalmente el MBR. b) Reproducción: Una vez infectado el S.O comienza esta etapa, en la cual el virus tiene el control de las operaciones de Sistema. Es aquí cuando comienza a infectar todo programa que se ponga a su alcance (al ser ejecutado y cargado en RAM). Todo programa que se utiliza en ésta etapa será modificado por el virus para incluir en él una copia del mismo. De éste modo, si uno de esos programas infectados es copiado en un disket y llevado a otra máquina, la infección se propagará a está. c) Detonación: Una vez que se da una determinada circunstancia, como por ejemplo la llegada de cierta fecha o la realización de cierta cantidad de copias de sí mismo, el virus "detona" su acción destructiva. El tipo de acción destructora es muy variada, desde borrar archivos ejecutables, a hacer aparecer en la pantalla diversos objetos, borrar la Tabla de Partición o formatear el HDD.

3





TIPOS DE VIRUS Según el lugar donde se alojan (ZONA DE ATAQUE) se pueden clasificar en: * Contaminadores del MBR, DBR y del S.O: Éste tipo de virus se aloja en las áreas más importantes del Sistema para lograr de ésa manera cargarse en la memoria RAM principal antes del booteo, cada vez que la máquina sea encendida. Existen virus que atacan una sola de ellas, o más de forma combinada. Recordemos que las áreas más importantes del disco son: 1.- El MBR (Master Boot Record): El mismo es el primer sector físico de un HDD (cyl 0, head 0, sector 1) y contiene no sólo la Tabla de Partición, sino también, el Master Boot (de allí su nombre). Éste es un pequeño programa que permite que indica que el hdd es booteable y dirige el proceso de arranque hacia el DBR (DOS Boot Record, grabado en cyl 0, head 0, sector 1) el cual, a su vez, llama a los archivos de Sistema (MSDOS.SYS , IO.SYS y COMMAND.COM ) . Los virus que atacan éste sector sustituyen el Master Boot por su propio código. 2.- El DBR ( DOS Boot Record ): Es el primer sector físico de la cara 1 de un hdd ( cyl 0, head 1, sector 1 ), y contiene toda la información necesaria para acceder al disco una vez formateado por el SO ( cantidad y tamaños de FAT, tamaño de sector y de cluster, cantidad total de clusters, cantidad total de sectores, cantidad máxima de archivos en directorio raíz, tamaño de Área de Directorio, etiquet a de volumen, número de serie, etc). Además, el DBR orienta la búsqeda de los archivos de sistema. Los virus que atacan éste sector lo alteran de manera que se cargue el código del virus antes que los Archivos de Sistema, modificando también la FAT o el NTFS. 3.- Los Archivos de Sistema: Los archivos de sistema conforman el SHELL o interface con el usuario (Command.com) y el KERNELL (IO.SYS y MSDOS.SYS, que son ocultos) y son los responsables de la administración de todas las actividades del sistema. Los virus que atacan éstos archivos, copian su código en ellos, de forma que pasan a ser parte del SO para actuar sin restricciones y en forma totalmente desapercibida. * Contaminadores de Archivos Ejecutables: Este tipo de virus atacan a los archivos ejecutables cuyas extensiones suelen ser: .COM, .EXE, .OVL, .DRV, y .SYS. Como ya sabemos, este tipo de virus copia su código dentro el

4





ejecutable de manera que al cargar el programa en la memoria, también se cargue su propio código. Algunos virus SOBREESCRIBEN el programa, dañándolo irreparablemente, otros, en cambio, se suman al archivo , cambiando su tamaño oculta o visiblemente. Según la forma de actuar en la memoria RAM, se pueden clasificar en: * Residentes o TSR: Se instalan residentes en la memoria RAM principal cuando es ejecutado el programa "anfitrión" (es el caso de la mayoría). * De ataque único: También se instalan en memoria al ser ejecutado el programa "anfitrión", pero no quedan residentes, sino que actúan para realizar su acción destructiva, abandonando luego la memoria del sistema. Según su Peligrosidad se pueden clasificar en: * Virus de Primera generación: Responden a las tres fases de vida, antes descriptas, desatando rápidamente su acción destructora. Al activarse destruyen sistemáticamente toda la información existente. * Virus de Segunda Generación: La aparición de programas Anti-Virus hace que los virus intenten ser menos notorios, con el objeto de permanecer activos más tiempo antes de ser detectados y provocar el mayor daño posible. Así, atacan ahora a los archivos de Datos, no destruyéndolos, sino alterando sutilmente su información constantemente y de forma acumulativa. · Virus de Tercera Generación: Son los más peligrosos. Cumplen con las siguientes principales características: - Superponen la fase de reproducción y ataque. - Utilizan mecanismos de engaño para no ser detectados por los programas de escaneo de antivirus como son: las técnicas STEALTH y el POLIMORFISMO y TUNNELING. Virus Stealth (Cautelosos): Si un virus Stealth está en memoria, cualquiera programa que intente leer el archivo (o sector de un archivo) que contiene el virus, es engañado por él, no advirtiendo su presencia en los datos leídos, y determinando por lo tanto que el virus "no está allí". Esto es posible ya que el virus activo en memoria filtra sus propios bytes, y solamente muestra los bytes originales del programa.

5





* Virus Polimórficos: Polimorfo (proviene del griego y significa "que puede tener formas múltiples"). Son virus capaces de auto-encriptarse gracias a un parte de sí mismo (o módulo) llamada módulo de defensa que se encarga de encriptar y desencriptar al virus, la cual es muy variable. El Encriptado es un medio muy eficaz para evitar la detección por parte de los programas antivirus que consiste básicamente en un desorden del código original del virus, merced a un patrón o algoritmo de encriptación. Gracias a sofisticadas técnicas de encriptado, dos copias de un virus polimórfico no tienen ninguna secuencia de bytes en común, (debido a que el algoritmo de encriptación varia con cada copia) de manera que se dificulta su detección por parte de los programas de Escaneo Antivirus. * Virus de efecto Tunneling: Son capaces de eludir la protección ofrecida por los programas antivirus TSR (residentes), sin que se detecte su presencia por esa vía de escaneo. * Virus Mutados: En realidad, la mayoría de los virus son clones, o más precisamente "virus mutados", lo que significa que son virus que han sido reescritos por otros usuarios para cambiar su comportamiento o firma. Al existir versiones múltiples del mismo virus (denominadas variantes) se vuelven más difíciles de detectar ya que los editores de software antivirus tienen que agregar nuevas firmas a sus bases de datos. * Cazadores De Recompensas: Un "cazador de recompensas" es un virus que modifica las firmas almacenadas por un programa antivirus para volverlas inoperables. * Macro Virus: Debido a la gran cantidad de programas que usan macros, Microsoft diseñó un lenguaje compartido de secuencias de comandos que se puede insertar en la mayoría de los tipos de documentos que pueden contener macros. Se denomina VBScript a un subconjunto de Visual Basic. Actualmente, estos virus pueden infectar macros en documentos de Microsoft Office, lo cual significa que un virus se puede ubicar en un documento común de Word o Excel y ejecutar una parte del código cuando se abre el archivo. De esta manera, el virus puede propagarse entre los archivos y acceder al sistema operativo (generalmente Windows) al mismo tiempo.

6





Con más y más aplicaciones que aceptan Visual Basic, cualquiera de ellas puede convertirse en una posible víctima de un virus basado en VBScript. El nacimiento del tercer milenio se caracteriza por la frecuente aparición de secuencias de comandos Virtual Basic enviadas por correo electrónico como adjuntos (indicadas por su extensión .VBS) cuyos asuntos impulsan al destinatario a abrir el regalo infectado. Una vez abierto por un cliente del correo electrónico de Microsoft, este "regalo" puede acceder a todo el libro de direcciones y auto propagarse por la red. Este tipo de virus se denomina gusano. VIRUS Vs BOMBAS LÓGICAS, GUSANOS Y TROYANOS (o Programas de Daño Intencional) Recordemos que un programa para ser un virus debe cumplir con tres condiciones: a) Ser DAÑINO. b) AUTOREPRODUCIRSE. c) Ser OCULTO. Estas características nos permiten diferenciarlos de otros programas similares, los cuales son sus ANTECESORES. Ellos son: las Bombas Lógicas, los Gusanos y los Troyanos. Bombas Lógicas: Es un programa que, bajo la forma de un archivo identificable y localizable a simple vista, que con un nombre sugestivo (ej: leame.com) tiene por objeto destruir Datos (utilizando diversos medios), o bien paralizar alguna parte o todo el equipo, de manera que no se pueda controlarlo (Trabar el teclado o el video) sin tener que resetear. Las "bombas lógicas" son piezas de código de programa que se activan en un momento predeterminado, como por ejemplo, al llegar una fecha en particular, al ejecutar un comando o con cualquier otro evento del sistema. Por lo tanto, este tipo de virus se puede activar en un momento específico en varios equipos al mismo tiempo (por lo que se lo denomina una bomba de tiempo), por ejemplo, en el día de San Valentín o en el aniversario de un evento

7





importante: como la bomba lógica de Chernobyl, que se activó el 26 de abril de 1999, cuando se cumplía el 13er aniversario del desastre nuclear. Normalmente, las bombas lógicas se utilizan para lanzar ataques de denegación de servicio al sobrepasar la capacidad de red de un sitio Web, un servicio en línea o una compañía. Una bomba no cumple con las tres características de los virus, ya que: a) Causa Daño. Pero.... b) No se Autoreproduce (la copia y transporta intencionalmente un usuario). Y........ c) No es oculta (es visible). Gusanos: Es un programa visible que cada vez que se ejecuta, genera múltiples copias de sí mismo y en distintos lugares del disco. Su nombre se debe a su facilidad de reproducción indiscriminada. Muchas veces sus copias van cambiando ligeramente su nombre. El daño que producen consiste en el consumo inútil de algunos recursos del sistema (memoria y espacio en disco). El “gusano” es capaz de reproducirse por sí mismo, puede viajar a través de redes utilizando los mecanismos de éstas y no requiere respaldo de software o hardware (como un disco duro, un programa host, un archivo, etc.) para difundirse. Por lo tanto, un gusano es un virus de red. Una Gusano no cumple con las tres características de los virus, ya que: a) Causa Daño. b) Se Autoreproduce (lo copia y transporta intencionalmente un usuario).Pero..... c) No es Oculto (es visible). Funcionamiento de un gusano en la década de 1980 La historia más famosa relacionada con un gusano data de 1988. Un estudiante (Robert T. Morris, alumno de la Cornell University) creó un programa capaz de expandirse a través de una red. Lo puso en funcionamiento, y, al cabo de ocho horas logró infectar miles de equipos. Esto provocó que se cayeran los sistemas de diversos equipos en cuestión de horas, ya que el "gusano" (que al fin y al cabo es lo que era) tenía la capacidad de reproducirse demasiado rápido como para que una red lo pudiese eliminar.

8





Además, todos estos gusanos saturaron el ancho de banda, lo cual obligó a la NSA a cerrar las conexiones durante todo un día. Así es como se esparció el gusano Morris a través de la red:

• El gusano obtuvo acceso a un equipo UNIX • Creó una lista de equipos conectados a éste • Forzó la obtención de todas las contraseña de una lista de palabras • Se hizo pasar por un usuario de cada uno de los otros equipos • Creó un pequeño programa en el equipo para poder reproducirse • Se ocultó en el equipo infectado • y así sucesivamente.

Gusanos Actuales

Los gusanos actuales se diseminan principalmente con usuarios de correo electrónico (en especial de Outlook) mediante el uso de adjuntos que contienen instrucciones para recolectar todas las direcciones de correo electrónico de la libreta de direcciones y enviar copias de ellos mismos a todos los destinatarios.

Generalmente, estos gusanos son scripts (típicamente en VBScript) o archivos ejecutables enviados como un adjunto, que se activan cuando el destinatario hace clic en el adjunto.

¿Cómo se dispersan los gusanos?

Es sencillo protegerse de la infección de un gusano. El mejor método es no abrir ciegamente archivos que le llegan como adjuntos. En el caso de que se abra un archivo adjunto, cualquier archivo ejecutable, o archivo que el SO pueda interpretar, potencialmente puede infectar el equipo. Los archivos con las siguientes extensiones, en particular, tiene más posibilidades de estar infectados: exe, com, bat, pif, vbs, scr, doc, xls, msi, eml En Windows, se recomienda deshabilitar la opción "ocultar extensiones", ya que esta opción puede engañar al usuario al hacerle creer que un archivo tiene una extensión diferente. Por lo tanto, un archivo con extensión .jpg.vbs se verá como un archivo .jpg.

El SO no interpreta los archivos con las siguientes extensiones. Por lo tanto, el riesgo de infección de ellos es mínimo: txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm

9





Es común escuchar que los archivos GIF o JPG contienen virus. En realidad, cualquier tipo de archivo puede tener un código que porte un virus, pero primero el sistema debe haber sido modificado por otro virus para interpretar el código que se encuentra en los archivos.

Antes de abrir cualquier archivo cuya extensión indique que puede estar infectado (o en el caso de extensiones que usted no reconoce), asegúrese de instalar un programa antivirus y analizar sistemáticamente cada adjunto antes de abrirlo. A continuación le ofrecemos una lista más completa (aunque breve) de extensiones de archivos que pueden contener un virus: Extensiones de los virus gusanos 386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM, CAB, CLA, CLASS, CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL, DOC, DOT DRV, DVB, DWG, EML, EXE, FON, GMS, GVB, HLP, HTA, HTM, HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT, MHTM, MHTML, MPD, MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT, OV?, PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML, SHW, SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX, VOM, VS?, VWP, VXE, VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH, WSC, XML, XLS, XLT, ZIP Troyanos: Un Troyano es un pequeño programa que se instala dentro de otro, el cual deliberadamente tiene efectos destructivos diversos. Son los antecesores directos de los virus. No son capaces de reproducirse por sí mismos (tampoco poseen un módulo de defensa) y realizan su proliferación a expensas de la copia realizada por los usuarios. Un Troyano no cumple con las tres características de los virus, ya que: a) Causa Daño (generalmente SEVERO). Pero...... b) No se Autoreproduce (lo debe copiar intencionalmente un usuario). c) Es oculto. Algunos antivirus son capaces de detectar la presencia de diversos Troyanos.

10





El nombre "Troyano" proviene de una leyenda contada por los griegos en la Ilíada (escrita por Homero) sobre el bloqueo de la ciudad de Troya. Según la leyenda, a los griegos, que no lograban traspasar las defensas de la ciudad de Troya, se les ocurrió la idea de abandonar el bloqueo y, en cambio, entregar una ofrenda a la ciudad: el regalo consistía en un caballo de madera gigante. Los habitantes de Troya (Troyanos) aceptaron el regalo aparentemente inofensivo sin sospechar nada, y lo introdujeron dentro de los muros de la ciudad. Pero el caballo estaba lleno de soldados que esperaron a que la población se durmiera para salir del interior del caballo, abrir las puertas de la ciudad para facilitar la entrada del resto del ejército. Volviendo al campo de la informática, se denomina Troyano a un programa oculto dentro de otro que ejecuta comandos furtivamente y que, por lo general, abre el acceso al ordenador y lo opera abriendo una puerta trasera. Por esta razón, a veces se lo conoce como Troyano por la analogía con los ciudadanos de Troya. Similar a un virus, un Troyano es un código malicioso que se encuentra en un programa sano (por ejemplo, un comando falso para crear una lista de archivos que los destruye en lugar de mostrar la lista). Un Troyano puede, por ejemplo:

• robar contraseñas • copiar fechas confidenciales • realizar cualquier otra operación maliciosa • etc.

Y aún peor, este programa puede crear una infracción intencional de seguridad dentro de la red para que los usuarios externos puedan acceder a áreas protegidas de esa red. Los Troyanos más comunes abren puertos en la máquina que permiten al diseñador tener acceso al ordenador a través de la red abriendo una puerta trasera. Por esta razón se usa frecuentemente el término puerta trasera u orificio trasero. Un Troyano no es necesariamente un virus porque su objetivo no es reproducirse para infectar otras máquinas. Además, algunos virus también pueden ser Troyanos. ¡Es decir, se diseminan como tales y abren puertos en máquinas infectadas!

11





Principios del troyano Debido a que generalmente un Troyano intenta (y cada vez con más frecuencia) abrir un puerto en la máquina para que un hacker pueda controlarla (por ejemplo, mediante el robo de datos personales almacenados en el disco duro), el primer objetivo del hacker es infectar la máquina obligando a abrir un archivo infectado que contiene el Troyano y, luego, acceder a la máquina a través del puerto abierto. Sin embargo, para poder infiltrar la máquina, el hacker usualmente conoce su dirección de IP. Entonces:

• Usted puede tener una dirección de IP asignada (como ocurre con las empresas, personas que tienen una conexión por cable o similar, etc.), en ese caso esa dirección de IP se puede averiguar fácilmente, puede tener una dirección de IP dinámica (reasignada cada vez que se conecta), como en el caso de las conexiones por módem. En este caso, el hacker debe analizar la dirección IP aleatoriamente para detectar aquellas que corresponden a máquinas infectadas.

Protección contra troyanos La instalación de un firewall (programa que filtra los datos que entran y salen de su máquina) es suficiente para protegerlo de este tipo de intrusión. Un firewall controla tanto los datos que salen de su máquina (generalmente iniciados por los programas que está utilizando) como los que se introducen en ella. Sin embargo, el firewall puede detectar conexiones externas de las víctimas previstas de un hacker. Éstas pueden ser pruebas realizadas por su proveedor de servicios de Internet o un hacker que está analizando de forma aleatoria una cantidad de direcciones de IP. Existen dos firewalls gratuitos y muy útiles para los sistemas Windows:

• ZoneAlarm • Tiny Personal Firewall

12





FUENTES TÍPICAS DE CONTAGIO Hay dos formas en que un virus puede llegar a alojarse en la memoria de una máquina: 1.- Por lectura de DISKETTE o Memoria USB con Boot Sector infectado: Al poner un diskete o una memoria USB en una unidad: el virus pasa a estar activo en la memoria RAM 2.- Por ejecución de programa infectado: Como ya se aclaró más arriba, lo peligroso no es tener un archivo infectado en el disco duro, sino EJECUTARLO!, ya que de ese modo estamos transportando el virus a la memoria. Las vías más comunes de contagios son: * DISKETES (archivos infectados y boot sector infectado) *Memorias USB (archivos infectados y boot sector infectado) * Transferencias de archivos infectados por MODEM. * Transferencias de archivos infectados por LINKEO. * Transferencias de archivos infectados EN RED.

13





PROGRAMAS ANTI – VIRUS

Son programas capaces de combatir a los virus de manera efectiva. Generalmente son paquetes de software que incluyen más de un programa. Un programa Antivirus puede... * Detectar la presencia de un virus en memoria. * Detectar la presencia de un virus en un archivo y eliminarlo. * Detectar la presencia de un virus en las Áreas de Sistema del HDD (MBR y DBR) y eliminarlo. * Impedir que un virus se cargue en memoria. Hay muchos métodos de erradicación:

• Eliminación del código en el archivo infectado que corresponde al virus. • Eliminación del archivo infectado. • Puesta en cuarentena del archivo infectado, lo cual implica su traslado a un

lugar donde no pueda ejecutarse.

La acción de detectar un virus es denominada ESCANEO (scan = rastreo o búsqueda). Existen cuatro técnicas básicas de detectar la presencia de un virus: * SCANEO DE STRING O SIGNATURE. * SCANEO HEURÍSTICO. * CONTROL Y ADMINISTRACIÓN DE RECURSOS MEDIANTE UN TSR. * CHEQUEO DE INTEGRIDAD. Scaneo de String o Signature: El scaneo por String constituye el método de defensa más conocido en la lucha contra los virus. Su acción consiste en buscar en los archivos una porción de código característica de un virus conocido, llamada generalmente signature o string. Si esta cadena es encontrada, el programa infiere que el archivo en cuestión está infectado con un determinado virus. Su única desventaja es que detecta sólo virus conocidos, y esto puede llegar a ser determinante ya que los expertos en virus analizan generalmente entre 150 y 200 nuevos virus cada mes. Es por eso que se debe conseguir casi cada mes una ACTUALIZACION

14





del antivirus, la cual incluye las cadenas (o strings) de los virus de reciente aparición. Con la creciente popularidad de las PC's y el aumento drástico del uso de Internet, nuevos virus están esparciéndose más y más rápido que nunca. Hasta con actualizaciones mensuales, los usuarios pueden estar desprotegidos ante aproximadamente 200 nuevos virus cada mes. Scaneo Heurístico: El Análisis (o scaneo) Heurístico es la técnica de rastrear en un archivo la presencia de códigos y algoritmos sospechosos de contener un "Código Potencialmente Dañino". Esta técnica consiste en ejecutar un desensamblado automático, interno y transitorio del programa a analizar, para luego proceder al rastreo de sentencias o grupos de instrucciones que se consideren peligrosas. El método Heurístico detecta tanto virus Conocidos como Desconocidos. Si bien éste sistema es efectivo, es muy difícil determinar qué código es sospechoso. Un código que podría ser inofensivo en un programa común (por ejemplo, el que ejecuta el formateo del disco duro en el archivo FORMAT.COM) podría ser muy sospechoso en un archivo ejecutable infectado por un virus. Por esta razón, y para calcular cuán sospechoso parece un archivo, el análisis heurístico generalmente instrumenta un sistema de PUNTAJE, y cualquiera archivo que tiene elementos suficientemente sospechosos (o sea una puntuación suficiente alta) es marcado como portador de un posible virus. Los elementos sospechosos pueden incluir: Funciones no-documentadas del DOS, técnicas anti-debug para evitar el desensamblado, existencia de una máscara de búsqueda de archivos ejecutables (*.COM, *.EXE) etc. Hay dos grandes problemas con las técnicas tradicionales de Análisis Heurístico: * Primero, a menos que se tenga mucho cuidado, los programas de escaneo heurístico pueden dar alarmas falsas. Una alarma falsa puede ser significativamente más problemática y ocupar más tiempo de trabajo que una infección genuina. Lo normal es que un programa de escaneo que utiliza técnicas de Análisis Heurístico tradicional exhiba tasas de detección del 60% y tasas de Falsa Alarma de 1 por 1000.

15





* En segundo lugar, los programas de escaneo Heurístico son incapaces de detectar todos los virus existentes. Los autores de virus son conscientes de cuales son los códigos que los desarrolladores de Anti-virus consideran "sospechosos". Algunos investigadores de anti-virus han liberado documentación detallada de como trabaja su sistema de Puntaje para el escaneo de códigos sospechosos. Con tal información es más fácil para el autor de virus escribir sus virus, de manera que se evite su detección. Programas Anti-Virus Residentes en memoria (TSR): Estos programas pueden ser instalados en memoria cuando arranca la computadora (desde el autoexec.bat), para proveer protección anti-virus por todo el tiempo que la computadora esté prendida. Una vez instalados en memoria controlan y monitorean el sistema para impedir que el código de un virus se cargue en RAM. Sin embargo, estos programas ocupan un espacio de memoria y pueden bajar la performance del sistema. Hay tres tipos de programas anti-virus residentes: 1.- El primer tipo puede impedir que se ejecute en memoria un programa ejecutable infectado con un virus conocido. Esto lo logra realizando un scaneo (por string) previo a su carga en memoria. 2.- El segundo tipo es un Bloqueador Heurístico de comportamiento, que señala y evita la ejecución de cualquier actividad sospechosa (comportamiento tipo virus) para la integridad de los datos del sistema. 3.- El tercero realiza un Chequeo de Integridad del archivo ejecutable al cargarse en la memoria, realizando un checksum (suma de control) previo a su carga. Chequeo de Integridad: La técnica de "Chequeo de Integridad", es utilizada para detectar cambios en la longitud de los archivos. Su principal ventaja es que detectan no solo virus conocidos, sino también virus desconocidos. Para ello genera un archivo de "checksum" (suma de control) o fingerprint (huella dactilar) por cada archivo en el directorio que lo contiene. En un análisis posterior se compara cada archivo con su archivo de checksum previamente calculado, detectando de este modo cualquier diferencia. Un virus se copia siempre dentro de un archivo ejecutable para asegurarse el transporte a memoria y así poder copiarse a sí mismo. De esa manera no

16





puede evitar modificar el archivo original generando un cambio "detectable". La ventaja que otorga el método de chequeo de integridad es la de no tener necesidad de actualizar constantemente el antivirus para detectar la presencia de nuevos virus. SELECCION DE FUNCIONES DE PROGRAMAS ANTIVIRUS En cualquier programa antivirus debemos seleccionar, en general, las siguientes funciones: * Método: Scaneo por Sting: ... Para encontrar virus conocidos Scaneo Heurístico:... Para encontrar virus desconocidos. * Acción a tomar ante un archivo infectado: Solamente Reportar: Se utiliza en ocasiones especiales. Desinfectar: ............. No es recomendable, salvo en casos extremos. Borrar: .................... No es recomendable, al menos hasta que el archivo original sea reinstalado. Renombrar: ..............Altamente recomendado. Esto permitirá fácilmente saber qué archivos se deben reinstalar. * Tipo de Archivos Objeto de búsqueda: Ejecutables Estándar (*.COM *.EXE *.OVL *.SYS): Son los objetivos primarios de todos los tipos de virus. Siempre deben incluirse. Todos los Archivos (*.*): Si bien no es necesario, da un gran nivel de seguridad. Archivos .??? (Definidos por el usuario): Se define cuando se desea hacer una búsqueda rápida. * Áreas de Búsqueda: MBR: ............................... Es recomendable incluirlo siempre. DBR: ............................... Es recomendable incluirlo siempre. Archivos ejecutables: Se los debe incluir siempre, ya que son los vehículos de los virus. Documentos: Desde la aparición reciente de virus que infectan archivos .DOC, se los debe incluir siempre (si se es usuario de WORD). Archivos Comprimidos: Es recomendable incluirlos siempre.

17





TECNICAS DE ELIMINACIÓN Por lo que hemos visto un virus puede infectar las siguientes áreas: * Memoria. * MBR. * DBR y Archivos de Sistema. * Archivos ejecutables. Veremos entonces las acciones a tomar para desinfectar cada una de estas áreas. Eliminación de un virus en Memoria: Una vez que por algún medio, generalmente un aviso de alarma de un antivirus, nos enteramos de que un virus reside en la memoria, debemos.... Apagar la máquina! ! ! ! ! ! ....ya que de ésta manera todo el contenido de la memoria se pierde (por ser volátil), incluido el virus. El paso siguiente es bootear con un disket o CD de sistema (booteable), teniendo cuidado de ¡¡No acceder a la unidad C:!! (Pensemos que su DBR podría estar infectado). Una vez hecho esto, y siempre desde la disquetera o unidad de CD, debemos correr un programa antivirus. Éste chequeará las diversas áreas, arriba descriptas, en búsqueda de virus.¡¡No se debe utilizar el antivirus copiado en el Disco Duro!! (Ya que también podría estar infectado). Una vez enterados de cuales son las áreas infectadas debemos proceder a su desinfección. Desinfección de un MBR: Si un antivirus nos informa de la presencia de virus en el MBR (donde reside la tabla de partición), debemos proceder de la siguiente manera: 1.- Bootear desde un disket o CD de sistema, que además contenga el archivo FDISK.EXE. 2.- Una vez en el prompt A:\> (y sin acceder a la unidad C:), debemos ejecutar el comando: FDISK / MBR. Esto escribirá un nuevo MBR, sin pérdida de Datos en el disco duro.

18





Desinfección de un DBR y Archivos de Sistema: Si un antivirus nos informa de la presencia de virus en el DBR (donde reside la tabla de partición), debemos proceder de la siguiente manera: 1.- Bootear desde un disket o CD de sistema, que además contenga el archivo SYS.COM. 2.- Una vez en el prompt A:\> (y sin acceder a la unidad C:), debemos ejecutar el comando: SYS C: Esto escribirá un nuevo DBR, y además sobrescribirá los Archivos de Sistema, sin pérdida de Datos en el disco duro. NOTA: Es recomendable, también, copiar (sobrescribir) el archivo command.com que reside en el directorio C:\DOS. Desinfección de un Archivo: Un archivo ejecutable infectado por un virus solo puede ser "desinfectado" por un programa antivirus. Cabe aclarar que esto es imposible cuando se trata de un virus que sobrescribe el archivo. Generalmente un archivo infectado debe ser considerado como inservible, ya que se encuentra modificado en su estructura y funcionamiento, en mayor o menor grado. Aclarado esto, debe deducirse que no conviene Desinfectar un ejecutable, sino Renombrarlo (tarea que realizará el antivirus cambiando su la primer letra de su extensión por una V), para luego Reemplazarlo por una copia original del mismo. NOTA: Después de eliminar el/los virus de la máquina se debería chequear aquellas unidades (disket, memoria usb)que podríamos haber infectado durante la estadía del virus en la memoria!!!!. TECNICAS DE PREVENCIÓN Para evitar un contagio se deben tomar las siguientes precauciones: * Tener un antivirus residente en memoria * Escanear todo disket y memorias USB de origen desconocido ANTES de usarlo. * Contar con versiones de Programas Antivirus recientes con sus respectivas actualizaciones y definiciones.

19





* Escanear todo archivo proveniente de una transferencia vía Modem o Linkeo ANTES de ejecutarlo. COMO DETECTAR UN VIRUS Los virus se reproducen al infectar "aplicaciones huésped". Esto significa que copian una parte del código ejecutable en un programa existente. Los virus se programan de manera de no infectar el mismo archivo muchas veces y asegurarse de que funcionen como se espera. Para hacerlo, incluyen una serie de bytes en la aplicación infectada, los cuales verifican si ya ha se ha producido la infección. Esto se denomina firma de virus. Para poder detectarlos, los programas antivirus dependen de esta firma, la cual es única en cada virus. Este método se denomina análisis de firma y es el método más antiguo del software antivirus. Este método sólo es fiable si la base de datos del virus del programa antivirus está actualizada e incluye las firmas de todos los virus conocidos. Sin embargo, este método no puede detectar virus que no fueron archivados por los editores del software antivirus. Es más, los programadores de virus crean características de camuflaje para lograr que sea difícil detectar sus firmas, las cuales a veces no se detectan. Esos son "virus polimorfos". Algunos programas antivirus usan un verificador de identidad para controlar si se cambiaron las carpetas. El verificador de integridad crea una base de datos que contiene información de los archivos ejecutables en el sistema (datos modificados, tamaño del archivo y posiblemente una suma de comprobación). De esa forma, cuando las características de un archivo ejecutable cambian, el programa antivirus envía una advertencia al usuario de la máquina. El método heurístico implica el análisis del comportamiento de las aplicaciones para detectar una actividad similar a la de un virus conocido. Por lo tanto, este tipo de programas antivirus puede detectar virus incluso cuando la base de datos del antivirus no ha sido actualizada. Además, tienden a activar alarmas falsas.

20





FRAUDE INFORMATICO

Un fraude es un correo electrónico que disemina información falsa e induce al destinatario a enviar este informe falso a sus amigos, familiares o colegas. Por este motivo, más y más personas se reenvían información que recibieron por correo electrónico sin antes verificar si ésta es correcta o no. El propósito de un fraude es simple:

• Otorgarle a su creador la satisfacción de haber engañado a muchas personas.

• Estos fraudes tienen diversas consecuencias: • La obstrucción de las redes al enviar una gran cantidad de datos

inútiles a través de la infraestructura de red; • Dar información falsa, es decir, hacer que muchas personas crean

conceptos falsos o dispersar rumores falsos (también denominados leyendas urbanas);

• Llenar buzones de correo electrónico, que ya están sobrecargados; • Provocar una pérdida de tiempo, tanto para aquellos que leen los

correos electrónicos como para quienes los reenvían; • Empañar la imagen de una persona o una compañía; • Provocar desconfianza: Si reciben diversas falsas alarmas, los

usuarios de red podrían no creer las verdaderas. • Por consiguiente, es fundamental seguir ciertos principios antes de

enviar un mensaje por Internet.

Como Luchar Contra La Información Falsa

Para luchar de manera efectiva contra la diseminación de información falsa por correo electrónico, simplemente se debe tener en mente un punto importante: ¡Cualquier información recibida por correo electrónico que no incluya un hipervínculo a un sitio Web que avale su exactitud debería considerarse no válida!. Por lo tanto, cualquier mensaje que contenga hechos supuestos pero no un vínculo a un sitio de referencia no debería reenviarse a otros.

21





Cuando envía información, investigue si existe un sitio Web que respalde su afirmación. ¿Cómo darse cuenta si se trata de un fraude? Cuando se recibe un correo electrónico que insiste en que la información debe reenviarse (sin brindar un vínculo para comprobar su exactitud), se puede verificar el sitio Web hoaxbuster (en francés) para saber si en verdad es un hoax (un fraude). Si la información recibida no se encuentra ahí, se la debe buscar en sitios de noticias conocidos mediante un motor de búsqueda. Cuidado con el SCAM

El scam se presenta en forma de correos electrónicos, que le ofrecen al usuario enormes ganancias a cambio de una “mínima inversión”. Al respecto, se reciben mensajes como: “Se encontraron enormes minas de oro en Nigeria, para cuya explotación se requiere de socios capitalistas”; o avisos de algún pariente lejano – muy lejano – que acaba de fallecer, y que por suerte – mucha suerte – le a dejado a usted una cuantiosa herencia; pero para recibirla obviamente tiene que pagar unos cuantos miles de dólares por concepto de tramites burocráticos.

En un 99.9% de los casos, esta noticias son falsas, el propósito de su emisor, es deslumbrar al usuario, hacerle invertir un buen capital inicial y luego simplemente desaparecer son el dinero.

Contra este tipo de acciones no hay ningún tipo de programa que nos proteja, solo la cautela y el buen juicio; siempre hay que desconfiar de los que ofrecen mucho dinero por una pequeña inversión.

22





PHISHING

En este caso, el usuario recibe de repente un correo, donde se le avisa, por ejemplo que: “Con motivo de su XX aniversario el banco YYY, donde usted tiene su cuenta, necesita hacer una comprobación periódica de sus datos. Por favor vaya a este enlace y diligencie el formulario anexo”. O puede llegarle una “factura” acompañada de un mensaje en el que se dice que: “acaba de comprar un auto en nuestro sitio WEB, por medio de su tarjeta de crédito. Si tiene alguna duda o desea cancelar la operación vaya al enlace XXX”.

Cuando el usuario hace clic en el enlace especificado, se abre una pagina que tiene el mismo aspecto WEB del sitio original del banco, así que no da sospecha de nada, se llena el formulario y se envía; pero lo que no se sabe es que se trata de una pagina WEB falsa, creada por un defraudador, y una vez que este “personaje”·obtiene los datos que deseaba (claves de entrada, números de cuenta, etc.) hace cuentas a nombre del titular entre otras muchas cosas.

Por tal motivo, vea con desconfianza este tipo de correos. Y si tiene dudas sobre la autenticidad del mensaje, del remitente, etc., ignore todo lo que dice; mejor vaya al sitio oficial, y verifique si esta información recibida verídica.

Registradores de pulsaciones de teclas

Un registrador de pulsaciones de teclas es un software que graba las pulsaciones de las teclas desconocidas por el usuario. Es una especie de spyware. Algunos registradores de pulsaciones de teclas pueden grabar las direcciones URL de sitios Web visitados, correos electrónicos que se leyeron o enviaron, los archivos que se abrieron e incluso pueden crear un video que reproduzca toda la actividad en el equipo. Ya que los registradores de pulsaciones de teclas graban todas las pulsaciones, éstas se pueden utilizar para robar las contraseñas de los usuarios de la estación de trabajo. Esto significa que se debe estar muy atento cuando se utiliza un equipo de acceso público (como una terminal de acceso libre en un lugar de negocios, una escuela o un lugar público como un cibercafé).

23





Registradores de pulsaciones de teclas: Software o Hardware

Los registradores de pulsaciones de teclas pueden ser parte del software o del hardware. En el caso del software, puede tratarse de un proceso oculto (o uno con un nombre que se parezca demasiado al nombre de un proceso del sistema real), que escribe la información recolectada en un archivo oculto. Los registradores de pulsaciones de teclas también pueden ser parte del hardware, en cuyo caso es un dispositivo (cable o llave) ubicado entre el conector del teclado del equipo y el teclado.

Cómo protegerse de los registradores de pulsaciones de teclas

La mejor forma de protegerse de estos registradores es mantenerse atento:

• No instalar software si no se está seguro de dónde éste proviene.

Ser precavido al registrarse en un equipo ajeno. Si está utilizando un equipo público, tómese un momento para examinar su configuración antes de entrar a sitios Web que le pidan una contraseña, para saber si a ese equipo lo han utilizado otros usuarios antes y si es posible que los usuarios menos informados puedan instalar software. Si tiene alguna duda, no se registre en sitios seguros que puedan causar problemas (por ejemplo los servicios bancarios en línea). De ser posible, se debe inspeccionar el equipo con un programa antispyware.

ADWARE

Se denomina ADWARE a unos pequeños programas que se introducen en la computadora cuando se encuentra conectada a al red. Una vez activados comienza a desplegar, de forma continua o aleatoria, información comercial de diversos sitios de internet. Probablemente esto haga que se cambie la página de inicio predeterminada de nuestro navegador o que se desplieguen ventanas emergentes (“POPUPS”) con publicidad de sitios desconocidos.

24





SPYWARE

Spyware se refiere a los programas que recolectan información acerca del usuario del equipo en el que están instalados, para enviarlos al editor del software a fin de obtener un perfil de los usuarios de Internet. Los datos recolectados de esta manera pueden ser:

• las direcciones URL de sitios Web visitados, • términos de búsqueda introducidos en motores de búsqueda, • un análisis de compras en línea, • incluso información de pagos (tarjetas de crédito/débito), • información personal.

Por lo general, los programas spyware se instalan junto con otro software (generalmente programas gratuitos o compartidos). Esto les permite a sus creadores hacer que sus programas resulten rentables al vender los datos estadísticos, permitiéndoles así distribuir sus programas en forma gratuita. Es un modelo de negocios en el que el producto se entrega sin cargo a cambio de datos de carácter personal. El spyware no es ilegal, ya que el contrato de licencia del usuario final del software que lo acompaña deja en claro que este programa se instalará en su ordenador. Sin embargo, debido a que los usuarios rara vez leen el extenso EULA por completo, pocos saben que el software está creando un perfil de ellos. Asimismo, además del daño causado por la divulgación de información personal, el spyware también puede causar muchos otros inconvenientes:

• consumir RAM, • utilizar espacio en disco, • consumir ciclos del procesador, • estropear otras aplicaciones, • dañar la utilización (por ejemplo, mostrar anuncios emergentes

personalizados basados en los datos recolectados).

25





TIPOS de SPYWARE

El spyware se divide, generalmente, en dos categorías:

• Spyware interno, que incluye líneas de código para recolectar datos. • Spyware externo, programas independientes de recolección de datos.

A continuación encontrará una breve lista de spyware externos: Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink, Cydoor, Comet Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa Toptext, Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar, ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy, Xupiter, Web3000 y WebHancer

Como Protegerse Del Spyware

El principal inconveniente con los spyware es detectarlos. La mejor manera de proteger su sistema es no instalar ningún software del que no esté 100% seguro con respecto a su origen y fiabilidad (en particular aquellos que son gratuitos, compartidos y más específicamente el software de intercambio de archivos punto a punto). A continuación encontrará algunos ejemplos de software que se sabe vienen acompañados de uno o más programas spyware. (Ésta es una breve lista): Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA e iMesh. Además, desinstalar este tipo de software sólo en algunas ocasiones elimina el spyware que se instaló con él. Lo que es peor, su desinstalación puede provocar que otras aplicaciones no funcionen bien. En la práctica, es casi imposible no instalar el software. Por esta razón, la presencia de procesos de fondo sospechosos, archivos extraños o entradas preocupantes en el registro a veces puede indicar la existencia de spyware en su equipo. Si no verifica la base del registro minuciosamente todos los días, no se preocupe. Existen programas antispyware para detectar y eliminar archivos, procesos y entradas de registro creadas por el spyware. Asimismo, la instalación de un firewall personal puede detectar spyware y prevenir que éstos accedan a Internet (y, por lo tanto, evitar que envíen los datos recopilados).

26





Algunos programas antispyware

Entre las herramientas más conocidas y eficaces figuran:

• Ad-Aware de Lavasoft.de • Spybot Search&Destroy

Consultado en: http://es.kioskea.net

http://cybercursos.net

VIRUS_INF..

Documents

Transcript of VIRUS_INF..