jueves, 28 de marzo de 2013
Virus, tipos de virus
1.- ¿Que son los Virus?.
2.- La vida de un Virus.
3.- Tipos de Virus
4.- Sintomas de los Virus.
5.- Técnicas de Infección
6.- Consejos para no ser infectado por un virus
--------------------------------
1.- ¿Que son los Virus?
--------------------------------
Los virus son programas o codigos de programas que tienen como mision la
de infectar un ordenador o varios ordenadores, con el fin de hacer daño,
conseguir datos..etc. Dentro del mundo de los virus hay que diferenciar algunos
terminos, como podrian ser:
- Caballo de Troya o Camaleones:
Estos son comunmente conocidos como Troyanos, son programas que permanecen
en el ordendador infectado para dejar una puerta trasera abierta para quien
quiera entrar por ella (normalmente es quien infecta dicho ordenador), estos
programas lo que hacen es conseguir cierta informacion como por ejemplo,
password, archivos importantes...etc.
La diferencia entre un troyano (Caballo de Troya) y los Camaleones son
que los troyanos poseen el codigo maligno en el programa benigno, y sin embargo,
los camaleones crean un nuevo programa y añaden el codigo maligno.
- Gusano o Worm:
Los gusanos o Worm no tienen como mision hacer daño a los ordenadores infectados,
sino que tienen como mision reproducirse rapidamente y colapsar el ancho
de Banda o Sistema.
- Joke Program:
Suelen ser programas que tienen como mision destruir datos.
- Bombas Lógicas o de Tiempo:
Son programas que se activan dependiendo de una condicion, esta condicion
suele ser una fecha, una combinacion de teclas o otras condiciones. Hasta
que no se produzca esa condicion por el usuario, el programa permanecera
en el ordenador infectado pero estara inactivo, esperando esa condicion.
Cuando es una condicion de tipo fecha se le suele llamar Bomba de tiempo.
- Retro Virus:
Este termino de virus afecta a los antivirus, lo que hace es buscar agujeros
de seguridad (bugs) dentro del antivirus y normalmente lo que hace es destruirlo.
- Y por ultimo el Virus:
Es una combinacion de todos los terminos anteriores (Troyanos, Gusanos,
Retro Virus...), suele ser muy destructivo.
------------------------------------
2.- La vida de un virus
------------------------------------
Todos los virus informaticos tienen el mismo ciclo de vida, es decir un
virus nace cuando el creador, programador (como querais llamarlo), crea el
codigo del virus y termina cuando es totalmente eliminado. Los siguientes
apartados describen muy bien las etapas que suceden desde su nacimiento hasta
su eliminacion:
- Creación: Hasta hace unos años para poder crear un virus, tenias que
saber o conocer el lenguaje de programacion assembler, pero eso ya se ha
terminado, ya que hoy en dia cualquiera que tenga un poco de conocimiento
en programacion puede ser el creador de un virus.
- Gestación: Este paso es el mas importante y en el que si lo haces bien
el virus sera mucho mas extendido, esta etapa consiste que el creador despues
de la crecion de dicho virus, hace copias y las distribuye por ejemplo en
colegios, universidades...etc, o incluso enviandolo a algun BBS.
- Reproducción: Todos los virus se reproducen naturalmente, pero para que
un buen virus sea reproducido por un mayor numero de sitios, tiene que estar
copiandose durante un buen tiempo antes de activarse, para ello el mejor
metodo conocido hasta el momento es por medio de el E-Mail.
- Activación: Cada uno ha sido diseñado para una cosa determinada. Por
lo tanto, el virus que ha sido diseñado para hacer daño, se activara cuando
se cumpla una condicion determinada, esta condicion puede ser una fecha o
una conbinacion de teclas (como dijimos en el apartado de ¿Que son los Virus?),
sin embargo el virus que ha sido diseñado sin una rutina dañina, permanecera
en el ordenador sin activarse, pero ocupara espacio en el Disco Duro.
- Descubrimiento: Esta fase por lo general viene después de la activación.
Cuando se detecta y se aísla un virus, se envía al International Security
Association en Washington D.C, para ser documentado y distribuido a los encargados
de desarrollar los productos antivirus. El descubrimiento, normalmente ocurre
por lo menos un año antes de que el virus se convierta en una amenaza para
la comunidad informática.
- Asimilación: Esta etapa consiste en el tiempo que pueden tardar los que
diseñan los antivirus para actualizar sus sistemas de la mejor forma para
poder eliminar el virus, esta etapa puede durar desde 1 dia, hasta meses,
dependiendo de quien lo diseñe o de como sea el virus.
- Eliminación: Esta es la ultima etapa de la Vida de un Virus, si muchos
usuarios instalan la actualizacion del antivirus, pueden eliminar los virus,
pero estos virus nunca se eliminan completamente sino que dejan de ser una
amenaza para los ordenadores.
---------------------------------------------
3.- Tipos de Virus
---------------------------------------------
A continuacion voy a exponer los distintos tipos de virus que podemos encontrar
corriendo por la Red, o por algunos ordenadores:
- Acompañante: Estos virus basan su principio en que MS-DOS, ejecuta el
primer archivo COM y EXE del mismo directorio. El virus crea un archivo COM
con el mismo nombre y en el mismo lugar que el EXE a infectar. Después de
ejecutar el nuevo archivo COM creado por el virus y cede el control al archivo
EXE.
- Archivo: Los virus que infectan archivos del tipo *.EXE, *.DRV, *.DLL,
*.BIN, *.OVL, *.SYS e incluso BAT. Este tipo de virus se añade al principio
o al final del archivo, se activan cada vez que el archivo infectado es ejecutado,
ejecutando primero su código vírico y despues devuelve el control al programa
infectado pudiendo permanecer residente en la memoria durante mucho tiempo.
Este tipo de virus se dividen en dos:
Virus de Acción Directa que son aquellos que no se quedan residentes en memoria
y se replican en el momento de ejecutar el fichero infectado y los virus
de Sobrescritura que corrompen el fichero donde se ubican al sobrescribirlo.
- Bug-Ware: Bug-ware es el termino dado a programas informáticos legales
diseñados para realizar funciones concretas. Debido a una inadecuada comprobación
de errores o a una programación confusa causan daños al hardware o al software
del sistema. Muchas veces los usuarios finales aducen esos daños a la actividad
de virus informáticos. Los programas bug-ware no son en absoluto virus informáticos,
simplemente son fragmentos de código mal implementado, que debido a fallos
lógicos, dañan el hardware o inutilizan los datos del computador.
- Macro: De acuerdo con la Internacional Security Association, los virus
macro forman el 80% de todos los virus y son los que más rápidamente han
crecido en toda la historia de los ordenadores en los últimos 5 años. A diferencia
de otros tipos de virus, los virus macro no son exclusivos de ningún sistema
operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail,
disquetes, bajadas de Internet, transferencia de archivos y aplicaciones
compartidas. Los virus macro son escritos en Visual Basic y son muy fáciles
de crear.
- MailBomb: Hasta la fecha de hoy este tipo de virus no esta catalogado
como tal, ya que el MailBomb es tan solo un Texto (normalmente un E-Mail)
que se envia varias copias, tantas como queramos, tan solo le tenemos que
dar una direccion y el numero de copias que queremos enviar, con esto lo
que haces es colapasar el correo de la victima.
- Multi-partes: Los virus multi-parte pueden infectar tanto el sector de
arranque como los archivos ejecutables, suelen ser una combinación de todos
los tipos existentes de virus, su poder de destrucción es muy superior a
los demás y de alto riesgo para nuestros datos, su tamaño es mas grande a
cambio de tener muchas mas opciones de propagarse e infección de cualquier
sistema.
- Sector de Arranque: Este tipo de virus infecta el sector de arranque
de un disquete y se esparce en el disco duro del usuario, el cual también
puede infectar el sector de arranque del disco duro (MBR). Una vez que el
MBR o sector de arranque esté infectado, el virus intenta infectar cada disquete
que se inserte en el sistema ,ya sea una CD-R (en este caso tiene que ser
al realizar una Copia de CD, ya que si es una unidad de CD-Rom normal no
puede grabar datos), una unidad ZIP o cualquier sistema de almacenamiento
de datos.
Los virus de arranque trabajan de la siguiente manera: se ocultan en el
primer sector de un disco y se cargan en la memoria antes de que los archivos
del sistema se carguen. Esto les permite tomar total control de las interrupciones
del DOS y así, pueden diseminarse y causar daño.
Los virus del sector de arranque, generalmente reemplazan los contenidos
del MBR o sector de arranque con su propio contenido y mueven el sector a
otra área en el disco. La erradicación de un virus de arranque puede hacerse
inicializando la máquina desde un disquete sin infectar, o encontrando el
sector de arranque original y reemplazándolo en el lugar correcto del disco.
- VBS: Debido al auge de Internet los creadores de virus han encontrado
una forma de propagación masiva y espectacular de sus creaciones a través
mensajes de correo electrónico, que contienen archivos Visual Basic Scripts,
anexados, los cuales tienen la extensión .VBS
El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de
instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT/Me/2000/XP,
este tipo de archivos dejó de ser empleado y fue reemplazado por los Visual
Basic Scripts.
Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas
secuencialmente para realizar una determinada acción al iniciar un sistema
operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicación,
almacenadas bajo un nombre de archivo y extensión adecuada.
Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo
Windows, Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.
Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados
objetivos de daño y algunos simplemente usan las instrucciones Visual Basic
Scripts, como medios de propagación. Asimismo, un VBS puede contener instrucciones
que afecten a los sistemas. También es posible editar instrucciones en la
Libreta de Notas (NotePad) y guardar el archivo con la extensión .VBS.
Actualmente existen 2 medios de mayor difusión de virus en VBS:
1. Infección de canales IRC
(el chat convoca a una enorme cantidad de "victimas")
El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir
la comunicación entre usuarios de Internet en "tiempo real', haciendo uso
de software especiales, llamados "clientes IRC" (tales como el mIRC, pIRCh,
Microsoft Chat).
Mediante un software de chat, el usuario puede conectarse a uno o mas canales
IRC, pero es necesario que primero se conecte a un servidor chat, el cual
a su vez, está conectado a otros servidores similares, los cuales conforman
una red IRC. Los programas "clientes IRC" facilitan al usuario las operaciones
de conexión, haciendo uso del comando /JOIN, para poder conectarse a uno
o mas canales.
Las conversaciones pueden ser públicas (todo el canal visualiza lo que
el usuario digita) o privadas (comunicación entre 2 personas).
Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor
chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un
denominado "bachero", que emplea comandos propios del protocolo IRC, permitiendo
ejecutar estas operaciones de manera intuitiva y proporcionando al usuario
un entorno grafico amigable.
Como atacan los gusanos (VBS/Worms)
Todos los gusanos del Chat, siguen el mismo principio de infección. Usando
el comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas
las personas conectadas al canal chat, además de otras instrucciones dentro
de un Visual Basic Script. Este script que contiene el código viral sobre-escribe
al original, en el sistema remoto del usuario, logrando infectarlo, así como
a todos los usuarios conectados a la vez, en ese mismo canal.
Este tipo de propagación de archivos infectados, se debe a la vulnerabilidad
de las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH,
antes de PIRCH98.
2. Re-envío de mensajes de la libreta de direcciones Microsoft Outlook.
Office 95/97/2000/XP, respectivamente, integran sus programas MS Word,
Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for
Aplications, que permiten invocar la ejecución de determinadas instrucciones.
En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic.
Aunque también pueden editar instrucciones y comandos con el NotePad y archivarlo
con la extensión .VBS
Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual
Basic for Aplications, tienen un fácil y poderoso acceso a los recursos de
otros usuarios de MS Office. El mas afectado es la libreta de direcciones
de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe
la orden de re-enviar el mensaje con el archivo anexado, en formato VBS,
a todos los nombres de la libreta de direcciones del sistema de usuario infectado.
Estas infecciones también se reproducen entre todos los usuarios de una
red, una vez que uno de sus usuarios ha sido infectado.
- WEB: Este tipo de virus por el momento no es muy utilizado pero poco
a poco, seran muchos mas que los virus de Macro. Los applets JAVA y los controles
Active X abren un nuevo mundo para los diseñadores de virus.
------------------------------------
4.- Sintomas de los Virus.
------------------------------------
¿Cuales son los síntomas mas comunes cuando tenemos un virus?
- Reducción del espacio libre en la memoria o disco duro.
Un virus, cuando entra en un ordenador, debe situarse obligatoriamente
en la memoria RAM , y por ello ocupa una porción de ella. Por tanto, el tamaño
útil operativo de la memoria se reduce en la misma cuantía que tiene el código
del virus.
- Aparición de mensajes de error no comunes.
- Fallos en la ejecución de programas.
- Frecuentes caídas del sistema
- Tiempos de carga mayores.
- Las operaciones rutinarias se realizan con mas lentitud.
- Aparición de programas residentes en memoria desconocidos.
- Actividad y comportamientos inusuales de la pantalla.
Muchos de los virus eligen el sistema de vídeo para notificar al usuario
su presencia en el ordenador. Cualquier desajuste de la pantalla, o de los
caracteres de esta nos puede notificar la presencia de un virus.
- El disco duro aparece con sectores en mal estado
Algunos virus usan sectores del disco para camuflarse, lo que hace que
aparezcan como dañados o inoperativos.
- Cambios en las características de los ficheros ejecutables
Casi todos los virus de fichero, aumentan el tamaño de un fichero ejecutable
cuando lo infectan. También puede pasar, si el virus no ha sido programado
por un experto, que cambien la fecha del fichero a la fecha de infección.
- Aparición de anomalías en el teclado
Existen algunos virus que definen ciertas teclas que al ser pulsadas,
realizan acciones perniciosas en el ordenador. También suele ser común el
cambio de la configuración de las teclas, por la del país donde se programo
el virus.
---------------------------------------
5.- Técnicas de Infección
---------------------------------------
- OCULTACIÓN:
- Mecanismos de Stealh: Este es el numero generico con el cual se conoce
a la los metodos de ocultacion de los virus, en ellos se engloba los diferentes
grados de originalidad y de nivel del autor. A un nivel básico basta saber
que en general capturan determinadas interrupciones del PC para ocultar la
presencia de un virus, como mantener la fecha original del archivo, evitar
que se muestren los errores de escritura cuando el virus escribe en discos
protegidos, restar el tamaño del virus a los archivos infectados cuando se
hace un DIR o modificar directamente la FAT, etc.
Luego a nivel Avanzado las Técnicas de stealth pretenden incluso, hacer
invisible al virus frente a un antivirus. En esta categoría encontramos los
virus que modifican la tabla de vectores de interrupción (IVT), los que se
instalan en alguno de los buffers de DOS, los que se instalan por encima
de los 640KB e incluso los hay que soportan la reinicialización del sistema
por teclado.
- Técnicas de auto encriptación: Esta tecnica es muy utilizada por los
creadores de virus, consiste en que el virus cada vez se encripta de una
forma diferente para pasar desapercibido de los antivirus.
- PROTECCIÓN ANTIVIRUS:
-Anti-debuggers: Un debugger es un programa que permite descompilar programas
ejecutables y mostrar parte de su código en lenguaje original.
- Armouring: Mediante esta técnica el virus impide que se examinen los
archivos que él mismo ha infectado. Para conocer más datos sobre cada uno
de ellos, éstos deben ser abiertos (para su estudio) como ficheros que son,
utilizando programas especiales (Debuger) que permiten descubrir cada una
de las líneas del código (lenguaje de programación en el que están escritos).
Pues bien, en un virus que utilice la técnica de Armouring no se podrá leer
el código.
- RESIDENTES:
- TSR: Los virus utilizan esta técnica para permanecer residente en memoria
y así mantener el control sobre todas las actividades del sistema y contaminar
todo lo que encuentren a su paso. El virus permanece en memoria mientras
el ordenador permanezca encendido. Por eso una de las primeras cosas que
hace al llegar a la memoria es contaminar los ficheros de arranque del sistema
para asegurarse de que cuando se vuelva a arrancar el ordenador volverá a
ser cargado en memoria.
-----------------------------------------------------
6.- Consejos para no ser infectado por un virus
-----------------------------------------------------
Hemos elaborado un resumen de los principales consejos para no ser infectado
por un virus, troyano... etc. Una verdadera "Guía de supervivencia".
- No abrais jamas ningun archivo adjunto a un E-Mail, que no sea de una
persona de confianza, es mas no lo abrais si no lo habeis solicitado, ya
que hay virus que se mandan solos a todos los contactos de la libreta de
direcciones.
- Si quereis ver un archivo que pueda ser un poco extraño, no lo ejecuteis
con doble click, sino con el boton derecho del raton y despues Guardad como...,
lo guardais a una carpeta y despues lo analizais con dos o mas antivirus,
si aun asi te parece un poco extraño siempre lo puedes eliminar y ya esta.
- Los archivos ejecutables o que puedan causar una modificación con solo
abrirlos (Ej.: EXE, COM, BAT, REG, DLL, VBS, SCR, LNK, etc.) o que contengan
macros (DOC, RTF, XLS, etc.), no deberían ser aceptados via e-mail.
- Usar un buen antivirus y tenerlo actualizado siempre, aunque yo lo que
recomiendo es tener o confiar en varios antivirus, pero con esto no digo
que haya que ternerlos todos instalados ya que puede dar problemas ( es decir
todos qeu esten motorizados), lo que digo es que se puede ejecutarla opcion
de escaneo de cada antivirus.
- Tambien recomiendo hacer un escaneo de todo el sistema por lo menos una
vez al mes.
- Tambien seria muy bueno la instalacion de algun programa tipo "CortaFuego",
como por ejemplo el Zone Alarm, o el Hack Tracer. El Zone Alarm seria una
buena opcion y yo lo recomiendo.
- Deshabilitar el panel de vista previa en el Outlook. Para que no se ejecute
o se pueda ver todos los E-Mail, hasta que no hagamos doble clik encima del
mensaje que queramos leer. Para quitar el Panel de vista previa, diríjios
al menú del Outlook, seleccione la opción "Ver" y luego "Diseño". Desmarcar
la casilla "Mostrar panel de vista previa".
- Tener siempre a mano un disquete de inicio, debidamente protegido, para
poder reiniciar vuestro PC ante una infección.
- No bajeis nada de sitios Web de los que no tenga referencias de seriedad,
o que no sean medianamente conocidos. Y si bajais archivos, proceder como
con los archivos adjuntos. Cópiarlos a una carpeta y revísarlo con dos o
tres antivirus actualizados antes de optar por ejecutarlos o abrirlos.
*** SI HACEIS TODO ESTO O PARTE ELLO AYUDAREIS A MANTENER VUESTRO ORDENADOR
LIBRE DE VIRUS, O POR LO MENOS SERA MUCHO MAS DIFICIL QUE SEAIS INFECTADOS.
***
La infromacion ha sido sacada de http://www.noticias-informaticas.com
Suscribirse a:
Enviar comentarios
(
Atom
)
No hay comentarios :
Publicar un comentario