ENID JULEANY ACEVEDO CONTRERAS
UNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DE COLOMBIA
INFORMÁTICA BÁSICA
VIRUS Y VACUNAS INFORMÁTICAS
DEFINICIÓN DE VIRUS INFORMÁTICO Es un programa de computador del tipo
Malware Tiene la capacidad de hacer daño Es autoreplicable y se propaga a otros
Computadores Infecta unidades ejecutables es decir archivo
o sector de las unidades de almacenamiento, dañando los códigos de instrucción que va a ejecutar el procesador
Se programa en lenguaje ensamblador
CARACTERÍSTICAS DE LOS VIRUS
Dañino: Destruye o altera la información del sistema Consume la memoria principal Disminuye el desempeño al consumir tiempo de
procesador Autorreproductor:
Hace copias de si mismo Subrepticio: utiliza varias técnicas para
evitar que el usuario se de cuenta de su presencia
Tamaño reducido para disimularse a primera vista Manipular ordenes del sistema operativo
Dañinos
Autorre
producto
res
SUBREPTICIO
FUNCIONAMIENTO DE LOS VIRUS
Los virus se elaboran en un lenguaje de bajo nivel denominado Assembler
Esto le permite tener control total de la máquina -al igual que lo hace el SO- si logra cargarse antes de cualquier otro programa.
Para dañar y/o infectar un equipo el virus el virus primero se une a una entidad ejecutable para poder ser cargado en la memoria principal y luego ejecutarse, virusear otros archivos e incluso ocultarse.
ETAPAS DE LOS VIRUS INFORMÁTICOS
COMPONENTES DE UN VIRUS
Según sus características un virus puede contener tres módulos principales: Módulo de reproducción. Maneja las rutinas
para infectar entidades ejecutables que asegurarán la subsistencia del virus, no solo en otras entidades ejecutables sino también en otros computadores.
Módulo de ataque. Es el módulo que contiene las rutinas de daño adicional o implícito y se activa por distintos eventos del sistema.
Módulo de defensa. Su principal objetivo es proteger el cuerpo del virus, intentando parecer invisible a los ojos del usuario y del antivirus.
Ataque
Defensa
Reproducción
MÉTODOS DE INFECCIÓNPara infectar un equipo se utilizan los siguientes métodos:
Añadidura o empalme. Inserción Reorientación Polimorfismo Sustitución Tunneling
Información técnica adicional disponible aquí
CLASIFICACIÓN DE LOS VIRUS
Es variada, ya que se pueden agrupar por: Entidad que parasitan (sectores de arranque
o archivos ejecutables) Grado de dispersión a nivel mundial Comportamiento Agresividad Técnicas de ataque Forma de ocultarse entre otros
A continuación se verán por comportamiento
CABALLOS DE TROYA Es un programa que se
oculta en otro programa legítimo, y que ataca al ejecutarse en el momento oportuno.
Existen diferentes caballos de troya que se centrarán en distintos puntos de ataque
Su objetivo es generalmente el de robar las contraseñas de archivos o de acceso a redes, incluida Internet
Generalmente se autodestruyen
CAMALEONES Son similares a los
Caballos de Troya, pero actúan como otros programas comerciales, en los que el usuario confía (realizando todas sus funciones), mientras que en realidad y de manera oculta ante el usuario están haciendo algún tipo de daño (por ejemplo almacenando usuarios y contraseñas)
VIRUS POLIMORFOS O MUTANTES
Poseen la capacidad de encriptar el cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus.
Solo deja disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse.
La rutina de desencripción es diferente cada vez que se ejecuta.
Una vez desencriptado el virus se aloja en algún archivo del computador.
VIRUS SIGILOSO O STEALTH El virus intenta
permanecer oculto escondiendo todas las modificaciones que hace.
Envía información falsa de tamaño y lectura al Sistema Operativo.
Observa la forma en que el SO trabaja con los archivos y con el sector de booteo.
Subvirtiendo algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra la zona que infectada.
VIRUS LENTOS
Infectan solamente los archivos que el usuario hace ejecutar por el SO.
Simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan.
Ataca directamente al programa antivirus incluido en el computador.
Buscan el archivo de definición de virus y lo eliminan, imposibilitando al antivirus la identificación de sus enemigos
RETRO-VIRUS O VIRUS ANTIVIRUS
MULTIPARTITOS
Atacan a los sectores de arranque y a los ficheros ejecutables.
Su nombre está dado porque infectan las computadoras de varias formas.
No se limitan a infectar un tipo de archivo ni una zona de la unidad de disco rígido
Alteran el contenido de los archivos de forma indiscriminada.
Generalmente uno de estos virus sustituye el programa ejecutable por su propio código.
Son muy peligrosos porque se dedican a destruir completamente los datos que puedan encontrar.
VIRUS VORACES
CONEJO Se presentaba en
ambientes universitarios con procesamiento multiusuario a través de terminales con niveles de prioridad.
Los estudiantes tenían prioridad mínima, por lo crearon un programa que se colocaba en la cola de espera y cuando llegaba su turno se ejecutaba haciendo copias de sí mismo, hasta consumir toda la memoria del computador central
BOMBAS DE TIEMPO Son virus convencionales
y pueden tener una o más de las características de los demás tipos de virus, su diferencia está dada por el trigger de su módulo de ataque que se disparará en una fecha determinada.
No siempre pretenden crear un daño específico. Generalmente muestran mensajes en la pantalla
en alguna fecha importante para el programador, a excepción del virus Michel Angelo, que daña la tabla de particiones el 6 de marzo.
MACRO-VIRUS Son pequeños programas escritos en el
lenguaje propio (conocido como lenguaje script o macro‑lenguaje) de un programa
Los macro‑virus representan una de las amenazas más importantes para las redes y ordenadores. Son los virus que más se están extendiendo a través de Internet.
Su máximo peligro está en que son completamente independientes del sistema operativo o de la plataforma.
No son programas ejecutables.
MACRO-VIRUS Son escritos para que se extiendan dentro
de los documentos que crea el programa infectado.
Así, se pueden propagar a otros equipos cuando los usuarios intercambien documentos.
Alteran de tal forma la información de los documentos infectados que su recuperación resulta imposible
Los programas más afectados son los de Microsoft
GUSANOS O WORMS Es un conjunto de
programas, que tiene la capacidad de extender un segmento de él (Network Worms) o su propio cuerpo (Host Computer Worm) a otros computadores conectados a una red.
Dentro de los gusanos más famosos se encuentran: Internet Worm, Happy99, MELISSA VIRUS, Y Bubbleboy Worm
VIRUS ESPÍA El software espía, o spyware, es una
aplicación con una función visible (una barra de tareas, un juego) y otra oculta.
Recolecta sin consentimiento estadísticas de uso de la aplicación y de sitios visitados, y suele instalar nuevas aplicaciones sin autorización, que podrían ser dañinas para el equipo.
VIRUS FALSO O HOAXLos denominados virus falsos en
realidad no son virus, sino cadenas de mensajes distribuídas a través del correo electrónico y las redes
Estos mensajes normalmente informan acerca de peligros de infección de virus, los cuales mayormente son falsos y cuyo único objetivo es sobrecargar el flujo de información a través de las redes y el correo electrónico de todo el mundo. el equipo.
VIRUS DE ENLACE O DIRECTORIO
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y como consecuencia no es posible localizarlos y trabajar con ellos.
SÍNTOMAS MÁS COMUNES DE VIRUS (I)
Incluso el mejor software antivirus puede fallar a la hora de detectar un virus. El conocimiento sobre cuáles son posibles síntomas de virus informáticos puede minimizar el problema:
Los programas comienzan a ocupar más espacio de lo habitual.
Aparecen o desaparecen archivos.
Cambia el tamaño de un programa o un objeto.
Aparecen mensajes u objetos extraños en la pantalla.
SÍNTOMAS MÁS COMUNES DE VIRUS (II)
El disco trabaja más de lo necesario.
Los objetos que se encuentran en la pantalla aparecen ligeramente distorsionados.
La cantidad de espacio libre del disco disminuye sin ningún tipo de explicación
Se modifican sin razón aparente el nombre de los ficheros.
No se puede acceder al disco duro.
¿CÓMO PROCEDER ANTE UNA INFECCIÓN?
Si el antivirus está actualizado y puede atacar el virus, se ejecuta solo y únicamente pide tomar una decisión.
Si es necesario hacerla de forma manual, es importante contar con el CD o DVD de inicio del sistema operativo limpio de virus para poder arrancar el computador e informarse bien sobre como eliminar el virus
PROGRAMAS ANTIVIRUS Son programas con fines comerciales que
combaten con cierta eficacia los virus que atacan los sistemas informáticos.
Deben adecuarse al sistema del usuario y estar correctamente configurado según los dispositivos de hardware que se tengan.
Si se tiene conexión a redes es necesario que el antivirus tenga la capacidad de detectar virus de redes.
FUNCIÓN DE LOS PROGRAMAS ANTIVIRUS (I)
Los antivirus reducen sensiblemente los riesgos de infección pero cabe reconocer que no son eficaces al 100% por lo que se deben utilizar acompañados de otras formas de prevención.
La función primordial del antivirus es detectar la presencia de un posible virus es decir es reconocer la presencia de un accionar virósico en el sistema de acuerdo a las características de los tipos de virus
FUNCIÓN DE LOS PROGRAMAS ANTIVIRUS (II)
La segunda función es Identificarlo, que consiste en poder reconocer qué tipo de virus es dentro de los cargados en la base de datos.
La última función que no siempre se puede realizar es la de eliminación o erradicación que implica extraer el código del archivo infectado y reparar de la mejor manera el daño causado en este.
ALGUNOS TIPOS DE VACUNAS CA Sólo detección:
Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.
CA Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos.
CA Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus
CB Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados.
CB Comparación de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo.
EJEMPLOS DE PROGRAMAS ANTIVIRUS
1. Avira 99,2%2. GData 99,1%3. Symantec 97,9%4. McAfee Enterprise
97,8%5. Avast 97,3%6. TrustPort 97,2%7. Kaspersky 95,1%8. AVG 94,3%9. ESET 93%
10. BitDefender 92,4%11. F-Secure 91,1%12. eScan 91%13. Sophos 90,1%14. Norman 88,5%15. Microsoft 84,6%16. McAfee Home
84,4%17. VBA32 71,9%
Gracia
s ….!!
!!
ENTIDADES EJECUTABLES
Entre las entidades ejecutables más importantes se destacan:Los sectores de arranque de los discos de
almacenamiento magnéticos, ópticos o magneto-ópticos (MBR, BR) (son fundamentales para garantizar que el virus será cargado cada vez que se encienda el computador)
Los archivos ejecutables de DOS (.exe, .com, entre otros)
Las librerías o módulos de programas (.dll, .lib, .ovl, .bin, .ovr).