TRABAJO DE VIRUS

 

 TRABAJO DE VIRUS INFORMÁTICO

ÁLVARO SÁNCHEZ MONZÓN 

 

 

1. ¿QUE ES UN VIRUS?
   
    

      

Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos.

 

 

2.CARACTERÍSTICAS

 

 

 

1.- Los virus pueden infectar múltiples archivos de la computadora infectada (y la red a la que pertenece): Debido a que algunos virus residen en la memoria, tan pronto como un disquete o programa es cargado en la misma, el virus se “suma” o “adhiere” a la memoria misma y luego es capaz de infectar cualquier archivo de la computadora a la que tuvo acceso.

2.- Pueden ser Polimórficos: Algunos virus tienen la capacidad de modificar su código, lo que significa que un virus puede tener múltiples variantes similares, haciéndolos difíciles de detectar.

3.- Pueden ser residentes en la memoria o no: Como lo mencionamos antes, un virus es capaz de ser residente, es decir que primero se carga en la memoria y luego infecta la computadora. También puede ser "no residente", cuando el código del virus es ejecutado solamente cada vez que un archivo es abierto.

4.- Pueden ser furtivos: Los virus furtivos (stealth) primero se adjuntarán ellos mismos a archivos de la computadora y luego atacarán el ordenador, esto causa que el virus se esparza más rápidamente.

5.- Los virus pueden traer otros virus: Un virus puede acarrear otro virus haciéndolo mucho mas letal y ayudarse mutuamente a ocultarse o incluso asistirlo para que infecte una sección particular de la computadora.

6.- Pueden hacer que el sistema nunca muestre signos de infección: Algunos virus pueden ocultar los cambios que hacen, haciendo mucho más difícil que el virus sea detectado.

7.- Pueden permanecer en la computadora aún si el disco duro es formateado: Si bien son muy pocos los casos, algunos virus tienen la capacidad de infectar diferentes porciones de la computadora como el CMOS o alojarse en el MBR (sector de buteo).

 

  Es dañino. Un virus informático siempre causa daños en el sistema que infecta, pero vale aclarar que el hacer daño no significa que valla a romper algo. El daño puede ser implícito cuando lo que se busca es destruir o alterar información o pueden ser situaciones con efectos negativos para la computadora, como consumo de memoria principal, tiempo de procesador, disminución de la performance.   Es autorreproductor. A nuestro parecer la característica más importante de este tipo de programas es la de crear copias de sí mismo, cosa que ningún otro programa convencional hace. Imagínense que si todos tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos tres de ellos o más. Consideramos ésta como una característica propia de virus porque los programas convencionales pueden causar daño, aunque sea accidental, sobrescribiendo algunas librerías y pueden estar ocultos a la vista del usuario, por ejemplo: un programita que se encargue de legitimar las copias de software que se instalan.   Es subrepticio. Esto significa que utilizará varias técnicas para evitar que el usuario se de cuenta de su presencia. La primera medida es tener un tamaño reducido para poder disimularse a primera vista. Puede llegar a manipular el resultado de una petición al sistema operativo de mostrar el tamaño del archivo e incluso todos sus atributos

 

 Puede tener tres módulos de propagarse :

 

• Módulo de reproducción. Es el encargado de manejar las rutinas para infectar entidades ejecutables que asegurarán la subsistencia del virus. Cuando toma el control del sistema puede infectar otras entidades ejecutables. Cuando estas entidades sean trasladadas a otras computadoras se asegura la dispersión del virus.

 

• Módulo de ataque. Es el módulo que contiene las rutinas de daño adicional o implícito. El módulo puede ser disparado por distintos eventosdel sistema: una fecha, hora el encontrar un archivo específico (COMMAND.COM), el encontrar un sector específico (MBR), una determinada cantidad de booteos desde que ingreso al sistema, o cualquier otra cosa a la que el programador quisiera atacar.

 

• Módulo de defensa. Su principal objetivo es proteger el cuerpo del virus. Incluirá rutinas que disminuyan los síntomas que delaten su presencia e intentarán que el virus permanezca invisible a los ojos del usuario y del antivirus. Las técnicas incluidas en este módulo hoy en día resultan ser muy sofisticadas logrando dar información falsa al SO -y en consecuencia al usuario- y localizándose en lugares poco comunes para el registro de los antivirus, como la memoria Flash-Rom.

 

 

3.¿Porque se producen los virus?

 

Los virus informáticos se difunden cuando las instrucciones —o código ejecutable— que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.

Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral.

Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, lo mismo ocurre con el virus. Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema

 

4.Tipos de virus

 

Caballo de Troya:

Es un programa dañino que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.

Gusano o Worm:

Es un programa cuya única finalidad es la de ir consumiendo la memoria del sistema, se copia asi mismo sucesivamente, hasta que desborda la RAM, siendo ésta su única acción maligna.

Virus de macros:

Un macro es una secuencia de oredenes de teclado y mouse asignadas a una sola tecla, símbolo o comando. Son muy utiles cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen, haciendose pasar por una macro y actuaran hasta que el archivo se abra o utilice.

Virus de sobreescritura:

Sobreescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.

Virus de Programa:

Comúnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos primeros son atacados más frecuentemente por que se utilizan mas.

Virus de Boot:

Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y el sector de arranque maestro (Master Boot Record) de los discos duros; también pueden infectar las tablas de particiones de los discos.

Virus Residentes:

Se colocan automáticamente en la memoria de la computadora y desde ella esperan la ejecución de algún programa o la utilización de algún archivo.

Virus de enlace o directorio:

Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y como consecuencia no es posible localizarlos y trabajar con ellos.

Virus mutantes o polimórficos:

Son virus que mutan, es decir cambian ciertas partes de su código fuente haciendo uso de procesos de encriptación y de la misma tecnología que utilizan los antivirus. Debido a estas mutaciones, cada generación de virus es diferente a la versión anterior, dificultando así su detección y eliminación.

Virus falso o Hoax:

Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes distribuídas a través del correo electrónico y las redes. Estos mensajes normalmente informan acerca de peligros de infección de virus, los cuales mayormente son falsos y cuyo único objetivo es sobrecargar el flujo de información a través de las redes y el correo electrónico de todo el mundo.

Virus Múltiples:

Son virus que infectan archivos ejecutables y sectores de booteo simultáneamente, combinando en ellos la acción de los virus de programa y de los virus de sector de arranque.

 

SPAM:

Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming.

Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico

 

5.¿Cuántas especies de virus existen?

Existen seis categorías de virus:

• Parásitos: Los virus parásitos infectan ficheros ejecutables o programas de la computadora. No modifican el contenido del programa huésped, pero se adhieren al huésped de tal forma que el código del virus se ejecuta en primer lugar; pueden ser de acción directa o residentes.

 

 un virus de acción directa: selecciona uno o más programas para infectar cada vez que se ejecuta.

 

Un virus residente: se oculta en la memoria del ordenador e infecta un programa determinado cuando se ejecuta dicho programa.

• 
  
• Del sector de arranque inicial: Los virus del sector de arranque inicial residen en la primera parte del disco duro o flexible, conocida como sector de arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del disco o los programas que arrancan el ordenador. Estos virus suelen difundirse mediante el intercambio físico de discos flexibles.
  
• Multipartitos: Los virus multipartitos combinan las capacidades de los virus parásitos y de sector de arranque inicial, y pueden infectar tanto ficheros como sectores de arranque inicial.
  
• Acompañantes: Los virus acompañantes no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que un programa legítimo y engañan al sistema operativo para
  
• que lo ejecute.
  
• De vínculo: Los virus de vínculo modifican la forma en que el sistema operativo encuentra los programas, y lo engañan para que ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede infectar todo un directorio (sección) de una computadora, y cualquier programa ejecutable al que se acceda en dicho directorio desencadena el virus.

 

• Fichero de datos: Infectan programas que contienen lenguajes de macros potentes (lenguajes de programación que permiten al usuario crear nuevas características y herramientas) que pueden abrir, manipular y cerrar ficheros de datos. Estos virus, llamados virus de ficheros de datos, están escritos en lenguajes de macros y se ejecutan automáticamente cuando se abre el programa legítimo. Son independientes de la máquina y del sistema operativo.

 

6.Historia de los virus
 

En 1949, el matemático estadounidense de origen húngaro John von Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), planteó la posibilidad teórica de que un programa informático se reprodujera. Esta teoría se comprobó experimentalmente en la década de 1950 en los Laboratorios Bell, donde se desarrolló un juego llamado Core Wars en el que los jugadores creaban minúsculos programas informáticos que atacaban y borraban el sistema del oponente e intentaban propagarse a través de él.

En 1983, el ingeniero eléctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acuñó el término de "virus" para describir un programa informático que se reproduce a sí mismo.

En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA.

Pronto les siguió un sinnúmero de virus cada vez más complejos. El virus llamado Brain apareció en 1986, y en 1987 se había extendido por todo el mundo.

En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruzó Estados Unidos de un día para otro a través de una red informática. El virus Dark Avenger, el primer infector rápido, apareció en 1989, seguido por el primer virus polimórfico en 1990. En 1995 se creó el primer virus de lenguaje de macros, WinWord Concept.

Ante este mal que surge en el mundo de la Informática surgieron los llamados programas antivirus que los reconocen y son capaces de 'inmunizar' o eliminar el virus del ordenador.

De ahí la importancia que tienen el conocimiento de "este mal informático" y sobre todo como poder enfrentarlo en estos tiempos, que con el surgimiento de las Nuevas Tecnologías de la Información (NTI) son más propensos a propagarse.

 

7.Los Antivirus

Los antivirus son programas que tratan de detectar, si un objeto informático ejectuable es infectado por un programa Virus.

La mayoría de los antivirus pueden restaurar el archivo infectado a su estado original, aunque no siempre es posible, dado que los virus pueden haber hecho cambios no reversibles.

Los antivirus pueden también borrar los archivos infectados o hacer el virus inofensivo

 

 Sirven para detectar la infección, y para eventualmente restaurar los archivos infectados.

También se aplican preventivamente: Antes de introducir un archivo al sistema por copia de un disquete o guardar un archivo añadido a un Email, o antes de ejecutar, abrir o copiar un archivo dentro del sistema se revisa si presenta infección, y se aborta la acción intentada, o retardada hasta que el archivo u objeto informático esté desinfectado

 

8.Tipos de antivirus

 

Clasificación A, por acción:

Solo detección

Detección y desinfección

Detección y aborto de la acción

Detección y eliminación del archivo/objeto

 

Clasificación B, por método de detección:

Comparación directa

Comparación por signatura

Comparación de signatura de archivo (detección por comparación con atributos guardados).

Por métodos heurísticos

 

Clasificación C, por instante de activación:

Invocado por el/la usuario/a

Invocado por actividad del sistema (abrir, ejecutar, copiar, guardar archivo)

 

Clasificación D, por Objeto infectado:

Sector de Arranque

Archivo Ejecutable

MacroVirus (Excel, Word)

Java

 ANTIVIRUS MAS POPULARES

• Kaspersky Anti-virus.


• Panda Security.


• Norton antivirus.


• McAfee.


• avast! y avast! Home


• AVG Anti-Virus y AVG Anti-Virus Free.                     


• BitDefender.


• F-Prot.


• F-Secure.


• NOD32.


• PC-cillin.


• ZoneAlarm AntiVirus.

Cortafuegos (Firewall)

Programa que funciona como muro de defensa, bloqueando el acceso a un sistema en particular.

Se utilizan principalmente en computadoras con conexión a una red, fundamentalmente Internet. El programa controla todo el tráfico de entrada y salida, bloqueando cualquier actividad sospechosa e informando adecuadamente de cada suceso.

Antiespías (Antispyware)

Aplicación que busca, detecta y elimina programas espías (spyware) que se instalan ocultamente en el ordenador.

Los antiespías pueden instalarse de manera separada o integrado con paquete de seguridad (que incluye antivirus, cortafuegos, etc).

Antipop-ups

Utilidad que se encarga de detectar y evitar que se ejecuten las ventanas pop-ups cuando navegas por la web. Muchas veces los pop-ups apuntan a contenidos pornográficos o páginas infectadas.

Algunos navegadores web como Mozilla Firefox o Internet Explorer 7 cuentan con un sistema antipop-up integrado.

Antispam

Aplicación o herramienta que detecta y elimina el spam y los correos no deseados que circulan vía email.

Funcionan mediante filtros de correo que permiten detectar los emails no deseados. Estos filtros son totalmente personalizables.

Además utilizan listas de correos amigos y enemigos, para bloquear de forma definitiva alguna casilla en particular.

Algunos sistemas de correo electrónico como Gmail, Hotmail y Yahoo implementan sistemas antispam en sus versiones web, brindando una gran herramienta en la lucha contra el correo basura.

 

9.¿Cómo realizan las detecciones los Antivirus?

A medida que evolucionan las técnicas empleadas por los virus y éstas son investigadas, los programas antivirus incorporan medidas de búsqueda y detección más avanzadas como las siguientes:

• Búsqueda de Cadenas:

Cada uno de los virus contiene en su interior determinadas cadenas de caracteres que le identifican (firmas del virus). Los programas antivirus incorporan un fichero denominado "fichero de firmas de virus" en el que guardan todas estas cadenas, para hacer posible la detección de cualquiera de ellos. Por lo tanto, para detectar un virus, se analizan los ficheros comprobando si alguno de ellos contiene alguna de las cadenas comentadas. Si el fichero analizado no contiene ninguna de ellas, se considera limpio. Si el programa antivirus detecta alguna de esas cadenas en el fichero, indica la posibilidad de que éste se encuentre infectado. En tal caso, se producirá la desinfección.

• Excepciones:

Una alternativa en lo que se refiere a la detección de virus, es la búsqueda de excepciones. Cuando un virus utiliza una cadena para realizar una infección, pero en posteriores infecciones emplea otras distintas, es difícil detectarlo. En ese caso lo que el programa antivirus consigue es realizar directamente la búsqueda de un virus en concreto.

• Análisis Heurístico:

Cuando no existe información para detectar un posible nuevo virus (que aun no se conoce), se utiliza esta técnica. Con ella se analizan los archivos, obteniendo determinada información (tamaño, fecha y hora de creación, posibilidad de colocarse en memoria,...etc.). Esta información es contrastada por el programa antivirus con las informaciones que se hayan podido recogen en ocasiones anteriores a cerca de cada uno de los ficheros objeto del análisis. El antivirus será quien decida si puede tratarse de una infección vírica, o no.

• Protección Permanente:

La protección permanente vigila constantemente todas aquellas operaciones realizadas en el ordenador que sean susceptibles de permitir una infección por un virus. Si se tiene activada una buena protección, el riesgo de contagio es mínimo, y se facilita enormemente el trabajo con el ordenador, ya que no hay que estar pendiente de analizar todo lo que se recibe: la protección permanente se encarga de ello automáticamente.