Software Malintencionado y Virus

Software Malintencionado y Virus
ndice I. Introduccin II. Objetivo III. Contenido 1. Software Malintencionado 1.1 Definicin del software malintencionado 1.2 Categora de Software Malintencionado 1.2.1 Troyanos 1.2.1.1 Troyanos de acceso remoto. 1.2.1.2 Rootkits 1.2.2 Gusanos 1.2.3 Virus 1.3 Caractersticas del software malintencionado 1.3.1 Entornos objetivo 1.3.1.1 Dispositivos 1.3.1.2 Sistemas operativos 1.3.1.3 Aplicaciones 1.3.2 Portadores 1.3.2.1 Archivos ejecutables 1.3.2.2 Secuencias de comandos 1.3.2.3 Macros 1.3.2.4 Sector de inicio 1.3.3 Mecanismos de transporte 1.3.3.1 Medios extrables 1.3.3.2 Recursos compartidos de red 1.3.3.3 Exploracin de la red 1.3.3.4 Redes de igual a igual (P2P) 1.3.3.5 Correo electrnico 1.3.3.5.1 Servicio de envo de correo 1.3.3.5.2 Servicio de envo de correo masivo 1.3.3.6 Aprovechamiento remoto 1.3.4 Cargas 1.3.4.1 Puerta trasera 1.3.4.2 Daos o eliminacin de datos 1.3.4.3 Robo de informacin 1.3.4.4 Denegacin de servicio (DoS) 1.3.4.5 Denegacin de servicio distribuida (DDoS) 1.3.5 Mecanismos de activacin 1.3.5.1 Ejecucin manual 1.3.5.2 Ingeniera social 1.3.5.2 Ejecucin semiautomtica 1.3.5.3 Ejecucin automtica 1.3.5.4 Ejecucin automtica 1.3.5.5 Bomba de tiempo 1.3.5.6 Activacin condicional 1.3.6 Mecanismos de defensa 1.3.6.1 Armadura 1.3.6.2 Ocultacin 1.3.6.3 Cifrado 1.3.6.4 Software malintencionado oligomrfico 1.3.6.5 Software malintencionado polimrfico 1.4 Qu no se considera software malintencionado?
Auditoria y Seguridad Informtica
1.4.1 1.4.2 1.4.3 1.4.4 1.4.5 1.4.6 1.4.7
Software de humor Mensajes de virus falsos Fraudes Correo no deseado Programas espa Publicidad no deseada Cookies de Internet
2 Virus 2.1 Definicin De Virus 2.2 Clasificacin 2.2.1 Virus Macro 2.2.2 Virus del BOOT 2.2.3 Virus Gusano 2.2.4 Virus Troyano 2.2.5 Virus Web 2.2.6 Virus de Archivos 2.3 Mitos De Los Virus Informticos 2.3.1 Mito 1-Miles de virus nuevos se escriben cada ao 2.3.2 Mito 2-Todos los virus son extremadamente 2.3.3 Mito 3-Su computadora es blanco potencial para 2.3.4 Mito 4-Los autores de virus son ms imaginativos 2.3.5 Mito 5-Liberando la informacin sobre virus 2.3.6 Mito 6-Los antivirus son trabajos bien hechos 2.3.7 Mito 7-Los virus causan millones en prdidas 2.3.8 Mito 8-Todos los progresos en antivirus 2.3.9 Mito 9-Escribir e intercambiar virus va a ser legislado 2.4 Sntomas 2.5 Medidas Para Combatir La Amenaza De Los Virus 2.6 Deteccin Y Prevencin De Virus 2.7 Recuperacin 2.7.1 Asle y desconecte el equipo 2.7.2 Elimine el virus 2.7.3 Recupere la informacin 2.7.4 Evite una infeccin futura 2.7.5 Aprenda de los errores 3. Software Antivirus 3.1 Definicin Antivirus 3.2 Principales Funciones Y Componentes De Un ANTIVIRUS 3.2.1 VACUNA 3.2.2 DETECTOR 3.2.3 ELIMINADOR 3.3 Detalles De Antivirus 3.3.1 McAfee 3.3.2 Norton 3.3.3 Panda 3.3.4 NOD32 Anti-Virus 3.3.5 BitDefender 3.3.6 Avast Home 3.3.7 Kaspersky Antivirus 3.3.7.1 Cambios recientes en Kaspersky 3.3.7.2 Limitaciones de la versin de prueba 3.3.7.3 Para utilizar Kaspersky necesitas 3.4 Simbologa De Las Principales Caractersticas De Cada Uno 3.4.1 LOS MEJORES EN ESTE ORDEN ANTIVIRUS IV. Ejercicios de Aplicacin V. Ejercicios Desarrollados VI. Manual VII. Conclusiones VIII. Bibliografa
I. Introduccin En el presente informe aprenderemos a diferenciar entre un Software Malintencionado y lo que Virus pueden causar dentro de una o varias Pcs. La finalidad de compartir la informacin recabada a lo largo de este mes podr serle de utilidad para Prevenir y Mitigar cualquier intruso no amistoso dentro del Sistemas Operativos, como tambin del Ncleo y el Set de Instrucciones de un Computador o conjunto de ellos. Aun a sabiendas que nunca se estar al 100% protegido del ataque de alguno de estos intrusos informticos. El Capitulo 1, se hablare de Software Malintencionado, y usted (Docentes y comunidad Universitaria) podr diferenciar y aclarar al mismo tiempo la razn del porque nombrar a los Troyanos y Gusanos; Virus, esta lejos de acercarse a la realidad. Adems de poder categorizar a detalle el Software malintencionado y conocer acertadamente a lo que no se debe considerar un Software Malintencionado. El Capitulo 2, se podr apreciar mejor a lo que s se puede conocer como Virus informtico, podremos clasificar a stos, y despejar los mitos que circundan alrededor de este Capitulo. Adems conocer a profundidad los principales sntomas, as como las medidas de prevencin y mitigacin de los Virus Informticos. Y que seria de los Virus, sin sus respectivos Software Antivirus. Y ese es el tema del capitulo 3, Antivirus. Donde apreciaremos a grandes rasgos las funcionalidades de estos softwares y sus componentes internos. Roussell Eduardo Ramrez lvarez
II. Objetivos Objetivos Generales: Permitir que todas aquellas personas que tenga acceso a este informe puedan estar prevenidas del ataque de un Software Malintencionado o Virus Informtico. Aunque lo seguiremos repitiendo muchas veces durante este informe. Nadie, pero Nadie esta libre del ataque de estos Intrusos. Objetivos Especficos: A la Comunidad Informtica, tener siempre presente las medidas de Prevencin y Mitigacin en caso de algn tipo de ataque, y/o en todo caso saber que hacer, si es que ya ocurri el incidente.
Roussell Eduardo Ramrez lvarez
CAPITULO 1 SOFTWARE MALINTENCIONADO
III. Contenido 1. Software Malintencionado

1.1 Definicin del software malintencionado En este informe se utiliza el trmino software malintencionado o malware (procedente del trmino ingls "malicious software") como denominacin colectiva para hacer referencia a los virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema informtico con total premeditacin. Por tanto, qu es exactamente un virus o un gusano informtico? En qu se diferencian de los troyanos? Actan las aplicaciones antivirus slo frente a gusanos y troyanos, o slo ante virus? Estas preguntas surgen dada la gran confusin, y a menudo la distorsin, que acompaa al concepto de cdigo malintencionado. La gran cantidad y variedad de cdigo malintencionado existente hace difcil proporcionar una definicin exacta de cada una de sus categoras. A continuacin se muestran varias definiciones simples de carcter general de categoras de software malintencionado: o Troyano. Programa aparentemente til o inofensivo que en realidad contiene cdigo oculto diseado para daar o beneficiarse del sistema en el que se ejecuta. Los troyanos se envan normalmente a travs de mensajes de correo electrnico que falsean el objetivo y la funcin del programa. Tambin se denominan cdigos troyanos. El troyano deja una carga o realiza una tarea malintencionada cuando se ejecuta. Gusano. Los gusanos utilizan cdigo malintencionado de propagacin automtica capaz de distribuirse de un equipo a otro a travs de las conexiones de red. Los gusanos pueden realizar acciones dainas, como consumir los recursos de la red o del sistema local, dando lugar probablemente a un ataque de denegacin de servicio. Determinados tipos de gusanos se pueden ejecutar y propagar sin la intervencin del usuario, mientras que otros requieren que ste ejecute directamente el cdigo para su propagacin. Adems de replicarse, los gusanos tambin pueden dejar una carga. Virus. Los virus ejecutan cdigo escrito con la intencin expresa de replicarse. Se intentan propagar de un equipo a otro adjuntndose a un programa host. Pueden daar elementos de hardware, software o datos. Cuando el host se ejecuta, tambin lo hace el cdigo del virus, infectando nuevos hosts y, en ocasiones, dejando una carga adicional.
A efectos de este informe, carga es un trmino colectivo que hace referencia a las acciones que realiza el software malintencionado en un equipo infectado. Estas definiciones de las distintas categoras de software malintencionado permiten presentar las diferencias entre ellas en un simple grfico de flujo. En la ilustracin siguiente se muestran los elementos que permiten determinar si un programa o una secuencia de comandos se incluyen dentro de alguna de las categoras:
Figura 1 rbol de decisin para determinar si se trata de cdigo malintencionado La ilustracin nos permite distinguir las categoras de cdigo malintencionado ms comunes segn se presentan en este informe. No obstante, es importante sealar que un mismo ataque puede introducir cdigo que se ajuste a varias de estas categoras. Estos tipos de ataque (conocidos como amenazas mixtas porque constan de ms de un tipo de software malintencionado y utilizan varios vectores de ataque) se pueden propagar muy rpidamente. Un vector de ataque es la ruta que el software malintencionado puede utilizar para realizar un ataque. Por ello, la defensa frente a las amenazas mixtas puede resultar especialmente difcil.
1.2 Categora de Software Malintencionado En las secciones siguientes de este informe se ofrece una explicacin ms detallada de cada categora de software malintencionado y de algunos de los elementos clave que lo componen. 1.2.1 Troyanos Los troyanos no se consideran virus informticos ni gusanos porque no se pueden propagar por s mismos. No obstante, se puede utilizar un virus o un gusano para copiar un troyano en el sistema que se desea atacar como parte de una carga de ataque. Este proceso se denomina colocacin. Normalmente, los troyanos tienen como objetivo interrumpir el trabajo del usuario o el funcionamiento normal del sistema. Por ejemplo, los troyanos pueden crear una puerta trasera en el sistema para que los atacantes puedan robar datos o cambiar la configuracin. Hay otros dos trminos que se suelen utilizar al hablar de actividades troyanas; se identifican y explican a continuacin: troyanos o
1.2.1.1 Troyanos de acceso remoto. Algunos programas troyanos permiten al atacante o ladrn de datos hacerse con el control de un sistema de forma remota. Estos programas se denominan troyanos de acceso remoto (RAT) o puertas traseras. Varios ejemplos de RAT son: Back Orifice, Cafeene y SubSeven. 1.2.1.2 Rootkits. Se trata de colecciones de programas de software que los atacantes utilizan para obtener acceso remoto no autorizado a un equipo y ejecutar ataques adicionales. Pueden utilizar varias tcnicas diferentes, entre las que se incluyen el seguimiento de las pulsaciones de teclas, el cambio de los archivos de registro o de las aplicaciones existentes en el sistema, la creacin de puertas traseras y el ataque a otros equipos de la red. Por lo general, los rootkits se organizan como un conjunto de herramientas que se adaptan especficamente para atacar a un sistema operativo determinado. Los primeros aparecieron a principios de los 90, siendo sus principales objetivos los sistemas operativos Sun y Linux. Actualmente son muchos los sistemas operativos objetivo, entre ellos la plataforma Microsoft Windows. Nota: No hay que olvidar que tanto los RAT como determinadas herramientas que forman los rootkits pueden tener usos legtimos de control remoto y seguimiento. No obstante, se trata de herramientas que pueden suponer problemas para la seguridad y privacidad, lo que aumenta los riesgos globales de los entornos en los que se utilizan. 1.2.2 Gusanos Si el cdigo malintencionado se replica, no se trata de un troyano. Por tanto, la cuestin que debe plantearse para definir ms claramente el software malintencionado es la siguiente: "Puede el cdigo replicarse sin necesidad de un portador?". Es decir, puede replicarse sin necesidad de infectar un archivo ejecutable? Si la respuesta a esta pregunta es "S", el cdigo se considera un tipo de gusano. La mayora de los gusanos intentan copiarse a s mismos en un equipo host para, a continuacin, utilizar sus canales de comunicacin y replicarse.
El gusano Sasser, por ejemplo, se aprovecha inicialmente de la vulnerabilidad de un servicio para infectar un sistema y, a continuacin, utiliza la conexin de red del mismo para intentar replicarse. Si ha instalado las ltimas actualizaciones de seguridad (para detener la infeccin) o ha habilitado los servidores de seguridad de su entorno para bloquear los puertos de red utilizados por el gusano (para detener la replicacin), el ataque no tendr xito. 1.2.3 Virus Si el cdigo malintencionado agrega una copia de s mismo a un archivo, documento o sector de inicio de una unidad de disco con el fin de replicarse, estaremos frente a un virus. Puede ser una copia directa del virus original o una versin modificada del mismo. Para obtener informacin ms detallada al respecto, consulte la seccin "Mecanismos de defensa" que aparece ms adelante en este informe. Como se mencion anteriormente, los virus contienen a menudo cargas que pueden colocar en un equipo local, por ejemplo, un troyano, que realizar una o varias acciones malintencionadas, como la eliminacin de datos del usuario. No obstante, aunque el virus slo se replique y no contenga carga, seguimos estando frente a un problema de software malintencionado, ya que el virus es capaz de daar datos, utilizar recursos del sistema y consumir ancho de banda de red a medida que se replica.
10
1.3 Caractersticas del software malintencionado Las caractersticas de las distintas categoras de software malintencionado son a menudo muy similares. Por ejemplo, los virus y los gusanos pueden utilizar la red como mecanismo de transporte. No obstante, mientras que el virus buscar archivos que infectar, el gusano slo intentar copiarse a s mismo. En la seccin siguiente se explican las caractersticas tpicas del software malintencionado. 1.3.1 Entornos objetivo Para que el ataque del software malintencionado a un sistema host tenga xito, es necesario que disponga de una serie de componentes especficos. A continuacin se muestran varios ejemplos tpicos de componentes que requiere el software malintencionado para lanzar un ataque a un sistema host: 1.3.1.1 Dispositivos. Ciertos tipos de software malintencionado se dirigen especficamente a un tipo de dispositivo determinado, como un PC, un equipo Apple Macintosh o incluso un dispositivo PDA, aunque este ltimo caso es muy poco comn en la actualidad. 1.3.1.2 Sistemas operativos. En determinadas ocasiones, el software malintencionado requiere un sistema operativo determinado para ser efectivo. Por ejemplo, los virus CIH o Chernobyl de finales de los 90 slo podan atacar equipos Microsoft Windows 95 o Windows 98. 1.3.1.3 Aplicaciones. Tambin puede que el software malintencionado requiera que en el equipo al que va a atacar est instalada una aplicacin determinada para poder dejar una carga o replicarse. Por ejemplo, el virus LFM.926 de 2002 slo poda atacar si los archivos Shockwave Flash (.swf) se ejecutaban en el equipo local. 1.3.2 Portadores Cuando el software malintencionado es un virus, intenta atacar a un portador (tambin conocido como host) e infectarlo. El nmero y tipo de portadores susceptibles de ser atacados vara considerablemente, no obstante, en la lista siguiente se muestran algunos ejemplos de los portadores que suelen ser objeto de ataques con mayor frecuencia: 1.3.2.1 Archivos ejecutables. Se trata del objetivo del virus "clsico", que se replica adjuntndose a un programa host. Adems de los archivos ejecutables tpicos que utilizan la extensin .exe, tambin pueden ser objeto de ataques archivos con las siguientes extensiones: .com, .sys, .dll, .ovl, .ocx y .prg. 1.3.2.2 Secuencias de comandos. Los ataques que utilizan secuencias de comandos como portadores se dirigen a archivos que utilizan un lenguaje de secuencias de comandos como Microsoft Visual Basic Script, JavaScript, AppleScript o Perl Script. Entre las extensiones de este tipo de archivos se encuentran: .vbs, .js, .wsh y .prl. 1.3.2.3 Macros. Estos portadores son archivos que admiten el lenguaje de secuencias de comandos con macros de una aplicacin determinada, como una aplicacin de procesamiento de textos, de hoja de clculo o de base de datos. Por ejemplo, los virus pueden utilizar los lenguajes de macro de Microsoft Word y Lotus Ami Pro para producir una serie de efectos, desde pequeas malas pasadas (cambio de palabras en el
11
documento o de colores) hasta acciones malintencionadas (formateo del disco duro del equipo). 1.3.2.4 Sector de inicio. Otras reas especficas del disco del equipo (discos duros y medios extrables de inicio), como el registro de inicio maestro (MBR) o el registro de inicio de DOS, tambin se pueden considerar portadores, dada su capacidad de ejecutar cdigo malintencionado. Una vez que el disco se ha infectado, la replicacin tiene lugar cuando ste se utiliza para iniciar otros sistemas. Nota: si el virus intenta infectar tanto a archivos como a sectores de inicio, hablamos de un virus multipartite. 1.3.3 Mecanismos de transporte La replicacin de los ataques de virus en distintos sistemas informticos se puede llevar a cabo a travs de uno o varios mtodos diferentes. En esta seccin se proporciona informacin sobre algunos de los mecanismos de transporte ms comunes utilizados por el software malintencionado. 1.3.3.1 Medios extrables. La transferencia de archivos es el primer y probablemente ms utilizado mtodo de transmisin de virus informticos y otro tipo de software malintencionado (al menos, hasta el momento). Se inici con los disquetes, luego pas a las redes y, en la actualidad, utiliza nuevos medios, como los dispositivos de bus serie universal (USB) y los servidores de seguridad. Aunque la tasa de infeccin no es tan alta como la del software malintencionado transmitido a travs de redes, la amenaza siempre est presente. Resulta difcil de erradicar completamente dada la necesidad de intercambiar datos entre sistemas. 1.3.3.2 Recursos compartidos de red. Cuando los equipos dispusieron un mtodo que les permita conectarse entre s directamente a travs una red, se abri ante los creadores de software malintencionado nuevo mecanismo de transporte que superaba a los medios extrables cuanto a capacidad de propagar cdigo malintencionado. de de un en
Cuando el sistema de seguridad de los recursos compartidos de red est mal implementado, se obtiene como consecuencia un entorno apto para la replicacin de software malintencionado a un gran nmero de equipos conectados. El uso de los recursos compartidos ha reemplazado en gran medida al de los medios extrables. 1.3.3.3 Exploracin de la red. Los creadores de software malintencionado utilizan este mecanismo para explorar redes en busca de equipos vulnerables o para atacar de forma aleatoria direcciones IP. Con este mecanismo, por ejemplo, se puede enviar un paquete utilizando un puerto de red especfico a un intervalo determinado de direcciones IP en busca de un equipo vulnerable al que poder atacar. 1.3.3.4 Redes de igual a igual (P2P). Para que tenga lugar una transferencia de archivos P2P, es necesario que el usuario instale previamente un componente cliente de la aplicacin P2P que utilice uno de los puertos autorizados en el servidor de seguridad de la organizacin, por ejemplo, el puerto 80. Las aplicaciones utilizan este puerto para atravesar el servidor de seguridad y transferir archivos directamente de un equipo a otro.
12
Estas aplicaciones se pueden obtener fcilmente en Internet y proporcionan un mecanismo de transporte que los creadores de software malintencionado utilizan directamente para propagar un archivo infectado en el disco duro de un cliente. 1.3.3.5 Correo electrnico. El correo electrnico se ha convertido en el mecanismo de transporte utilizado por muchos creadores de software malintencionado. La facilidad con la que se puede llegar a cientos de miles de personas a travs del correo electrnico sin necesidad de que los responsables del ataque abandonen sus equipos ha hecho de este mecanismo un mtodo de transporte muy efectivo. Resulta relativamente sencillo engaar a los usuarios para que abran archivos adjuntos al correo electrnico (utilizando tcnicas de ingeniera social). No es de extraar, por tanto, que muchos de los ataques de software malintencionado ms prolficos hayan utilizado el correo electrnico como transporte. Existen dos tipos bsicos de software malintencionado que lo utilizan de forma especfica: 1.3.3.5.1 Servicio de envo de correo. Este tipo de software malintencionado se enva a s mismo por correo a un nmero limitado de direcciones, bien utilizando el software de correo instalado en el host (por ejemplo, Microsoft Outlook Express), bien empleando su propio motor integrado de protocolo simple de transferencia de correo (SMTP). 1.3.3.5.2 Servicio de envo de correo masivo. Este tipo de software malintencionado busca en el equipo infectado direcciones de correo electrnico y, a continuacin, se enva a s mismo de forma masiva a dichas direcciones, utilizando el software de correo instalado en el host o su propio motor integrado SMTP. 1.3.3.6 Aprovechamiento remoto. El software malintencionado puede intentar aprovechar una vulnerabilidad determinada de un servicio o aplicacin para replicarse. Este comportamiento se observa a menudo en los gusanos; por ejemplo, el gusano Slammer aprovech una de las vulnerabilidades de Microsoft SQL Server 2000 para generar una saturacin de bfer que permiti que se sobrescribiera una parte de la memoria del sistema con cdigo que se poda ejecutar en el mismo contexto de seguridad que el servicio SQL Server. Las saturaciones de bfer se producen al agregar una cantidad de informacin superior a la que el bfer es capaz de contener. Se trata de una vulnerabilidad muy aprovechada por los atacantes para hacerse con un sistema. Aunque Microsoft ya haba identificado y solucionado esta vulnerabilidad meses antes de que apareciera Slammer, pocos sistemas se haban actualizado, por lo que el gusano se pudo propagar. 1.3.4 Cargas Una vez el software malintencionado ha alcanzado el equipo host a travs del transporte, generalmente realizar una accin denominada carga, que puede adoptar diferentes formas. En esta seccin se identifican algunos de los tipos de carga ms habituales: 1.3.4.1 Puerta trasera. Este tipo de carga permite el acceso no autorizado a un equipo. Aunque puede proporcionar acceso completo, tambin se puede limitar, por ejemplo, a habilitar el acceso mediante el protocolo de transferencia de archivos (FTP) a travs del puerto 21 del equipo.
13
Si el ataque se produjo para habilitar Telnet, un intruso podra utilizar el equipo infectado como rea de almacenamiento temporal para los ataques a travs de Telnet en otros equipos. Como se ha mencionado anteriormente, una puerta trasera en ocasiones se conoce como troyano de acceso remoto. 1.3.4.2 Daos o eliminacin de datos. Uno de los tipos de carga ms destructivos puede ser un cdigo malintencionado que daa o elimina los datos, y deja inservible la informacin del equipo del usuario. El creador del software malintencionado tiene dos opciones: la primera consiste en crear la carga de modo que se ejecute con rapidez. Aunque es potencialmente desastroso para el equipo que infecta, el diseo del software malintencionado permite descubrirlo antes y esto favorece que se reduzcan las posibilidades de que se replique sin ser detectado. La otra opcin consiste en dejar la carga en el sistema local (a modo de troyano) durante un perodo de tiempo (consulte la seccin "Mecanismos de activacin" ms adelante en este captulo para ver ejemplos) para que el software malintencionado se extienda antes de que se intente entregar la carga y, por lo tanto, se alerte al usuario de su presencia. 1.3.4.3 Robo de informacin. Un tipo de carga de software malintencionado especialmente preocupante es el que se ha diseado para robar informacin. Si una carga compromete la seguridad de un equipo host, podr proporcionar un mecanismo para pasar informacin a los atacantes. Esto puede ocurrir de diferentes formas; por ejemplo, la carga de software malintencionado puede automatizar una transferencia con el objetivo de capturar archivos locales o informacin tal como las teclas que el usuario presiona (con el fin de intentar obtener el nombre y la contrasea del usuario). Otro mecanismo consiste en proporcionar un entorno en el host local que permita al atacante controlarlo de forma remota u obtener acceso a los archivos del sistema directamente. 1.3.4.4 Denegacin de servicio (DoS). Uno de los tipos de carga de aplicacin ms sencilla es el ataque de denegacin de servicio, que consiste en un asalto computarizado que inicia un atacante para sobrecargar o detener un servicio de red, por ejemplo un servidor Web o de archivos. El objetivo de los ataques DoS es simplemente dejar inutilizable un servicio determinado durante un perodo de tiempo. 1.3.4.5 Denegacin de servicio distribuida (DDoS). Estos tipos de ataques utilizan habitualmente clientes infectados que desconocen por completo que participan en el ataque. Un ataque DDoS es un tipo de denegacin de servicio en el que un usuario utiliza cdigo malintencionado instalado en varios equipos para alcanzar un nico objetivo. Con este mtodo se puede conseguir un efecto mayor en el objetivo de lo que se podra obtener si se usara un nico equipo. La semntica del ataque vara de unos a otros, si bien generalmente implica el envo de grandes cantidades de datos a un host o un sitio Web especfico, que hacen que ste deje de responder (o se vuelva incapaz de responder) al
14
trfico legtimo. De este modo, inunda el ancho de banda disponible en el sitio de la vctima y hace que se quede sin conexin. Puede resultar extremadamente difcil defenderse de este tipo de ataque, puesto que los hosts responsables son de hecho vctimas involuntarias. Los ataques DDoS generalmente se llevan a cabo mediante bots (programas que realizan tareas repetitivas), como Eggdrop de Internet Relay Chat (IRC), que un intruso puede utilizar para controlar los equipos "vctimas" a travs de un canal IRC. Una vez que esos equipos quedan bajo el control del intruso, se convierten en zombies que pueden atacar a un objetivo bajo las rdenes del intruso y sin el conocimiento de sus propietarios. Los ataques DoS y DDoS pueden implicar distintas tcnicas, entre las que se incluyen: o Cierres del sistema. Si el software malintencionado consigue apagar o bloquear el sistema host, puede ocasionar problemas en uno o varios servicios. Para poder atacar el sistema host y hacer que se apague, el software malintencionado debe encontrar un punto dbil en una aplicacin o en el sistema operativo. Inundacin del ancho de banda. La mayor parte de los servicios que se proporcionan en Internet estn vinculados a travs de una conexin de red de banda ancha limitada que los conecta a sus clientes. Si un creador de software malintencionado puede entregar una carga que ocupe este ancho de banda con trfico de red falso, puede producir una denegacin de servicio simplemente impidiendo que los clientes puedan conectarse directamente al mismo. Denegacin de servicio de red. Este tipo de carga intenta sobrecargar los recursos disponibles para el host local. Recursos como el microprocesador y la capacidad de la memoria quedan saturados por los ataques del tipo inundacin de paquetes SYN, en los que un atacante utiliza un programa para enviar mltiples solicitudes de SYN de TCP con el fin de llenar la cola de conexin pendiente en el servidor e impedir el trfico de red legtimo a y desde el host. Los ataques del tipo bomba de correo tambin saturan los recursos de almacenamiento para crear un ataque DoS, en el que se enva a una direccin una cantidad excesiva de datos de correo electrnico en un intento de ocasionar problemas en el programa de correo electrnico o de impedir que el destinatario reciba otros mensajes legtimos. o Problemas en los servicios. Este tipo de carga tambin puede ocasionar una denegacin de servicio. Por ejemplo, esta tcnica de ataque DoS tiene xito cuando el ataque en un servidor de Sistema de nombres de dominio (DNS) deshabilita el servicio DNS. Sin embargo, puede que todos los dems servicios del sistema no resulten afectados.
15
1.3.5 Mecanismos de activacin Los mecanismos de activacin son una caracterstica que el software malintencionado utiliza para iniciar la replicacin o la entrega de la carga. Entre los mecanismos de activacin tpicos se encuentran los siguientes: 1.3.5.1 Ejecucin manual. Consiste simplemente en la software malintencionado por parte de la propia vctima. ejecucin del
1.3.5.2 Ingeniera social. El software malintencionado utilizar con frecuencia alguna forma de ingeniera social para tratar de engaar a una vctima y conseguir que ejecute manualmente el cdigo malintencionado. El enfoque puede resultar relativamente sencillo, como el de los gusanos de correo masivo, en los que el elemento de ingeniera social se centra en seleccionar el texto del campo Asunto del mensaje de correo electrnico que tenga ms posibilidades de ser abierto por una vctima potencial. Los creadores de software malintencionado pueden utilizar asimismo la suplantacin de correo electrnico para intentar hacer creer a la vctima que un mensaje proviene de un remitente de confianza. La suplantacin es el acto de imitar un sitio Web o una transmisin de datos para hacer que parezcan autnticos. Por ejemplo, el gusano Dumaru original que apareci por primera vez en 2003 modificaba el campo De: de los mensajes de correo electrnico para hacer creer que se enviaban desde security@microsoft.com. 1.3.5.3 Ejecucin semiautomtica. Este tipo de mecanismo de activacin lo inicia primero la propia vctima y a partir de ah se ejecuta automticamente. 1.3.5.4 Ejecucin automtica. Este mecanismo de activacin no requiere de ninguna ejecucin manual. El software malintencionado lleva a cabo su ataque sin necesidad de que la vctima ejecute un cdigo malintencionado en el equipo de destino. 1.3.5.5 Bomba de tiempo. Este tipo de mecanismo realiza una accin tras un determinado perodo de tiempo. Este perodo puede ser un retraso desde la primera ejecucin de la infeccin o una fecha o intervalo de fechas previamente establecidos. Por ejemplo, el gusano MyDoom.B nicamente inici sus rutinas de carga contra el sitio Web de Microsoft.com el da 3 de febrero de 2004, e hizo lo propio contra el sitio Web del grupo SCO el 1 de febrero de 2004. Despus, detuvo toda replicacin el 1 de marzo de ese mismo ao, aunque el componente de puerta trasera de la bomba de tiempo continuaba activo despus de esta fecha. 1.3.5.6 Activacin condicional. Este mecanismo utiliza alguna condicin predeterminada para entregar la carga. Por ejemplo, un archivo con un nombre nuevo, una serie de pulsaciones de teclas o el inicio de una aplicacin. El software malintencionado que emplea esta activacin se denomina en ocasiones bomba lgica.
16
1.3.6 Mecanismos de defensa Numerosos ejemplos de software malintencionado utilizan algn tipo de mecanismo de defensa para reducir la probabilidad de ser detectados y eliminados. En la siguiente lista se ofrecen algunos ejemplos de las tcnicas empleadas: 1.3.6.1 Armadura. Este tipo de mecanismo de defensa emplea intentan impedir el anlisis del cdigo malintencionado, detectar cundo se ejecuta un depurador e intentar evitar correctamente, o agregar grandes cantidades de cdigo sin ocultar el objetivo del cdigo malintencionado. tcnicas que por ejemplo, que funcione sentido para
1.3.6.2 Ocultacin. El software malintencionado utiliza esta tcnica para ocultarse mediante la interceptacin de solicitudes de informacin y la devolucin de datos falsos. Por ejemplo, un virus puede almacenar una imagen del sector de inicio no infectado y mostrarla cuando se intente visualizar el sector de inicio afectado. El virus informtico ms antiguo conocido, denominado Brain, utiliz esta tcnica en 1986. 1.3.6.3 Cifrado. El software malintencionado que utiliza este mecanismo de defensa realiza un cifrado de s mismo o de la carga (y en ocasiones incluso de otros datos del sistema) para evitar la deteccin o la recuperacin de datos. El software malintencionado cifrado contiene una rutina de descifrada esttica, una clave de cifrado y el cdigo malintencionado cifrado (que incluye una rutina de cifrado). Cuando se ejecuta, utiliza la rutina de descifrado y la clave para descifrar el cdigo malintencionado. A continuacin, crea una copia del cdigo y genera una nueva clave de cifrado. Emplea esa clave y la rutina de cifrado para cifrar la copia nueva de s mismo, agregando la clave nueva con la rutina de descifrado al inicio de la copia nueva. A diferencia de los virus polimrficos, el software malintencionado de cifrado utiliza siempre las mismas rutinas de descifrado, as que aunque el valor de la clave (y, por tanto, la firma de los cdigos malintencionados cifrados) generalmente cambia de una infeccin a otra, los programas antivirus pueden buscar la rutina de descifrado esttica para detectar el software malintencionado que utiliza este mecanismo de defensa. 1.3.6.4 Software malintencionado oligomrfico. Se trata de software que utiliza el cifrado como mecanismo para defenderse y puede cambiar la rutina de cifrado nicamente un nmero determinado de veces (generalmente una cantidad reducida). Por ejemplo, un virus que puede generar dos rutinas de descifrado diferentes se clasificara como oligomrfico. 1.3.6.5 Software malintencionado polimrfico. Utiliza el cifrado como mecanismo de defensa para cambiarse con el fin de evitar ser detectado, generalmente mediante el cifrado del propio software malintencionado con una rutina de cifrado para, a continuacin, proporcionar una clave de descifrado diferente para cada mutacin. De este modo, el software malintencionado polimrfico utiliza un nmero ilimitado de rutinas de cifrado para evitar la deteccin.
17
Cuando el software se replica, una parte del cdigo de descifrado se modifica. En funcin del tipo especfico de cdigo, la carga u otras acciones llevadas a cabo pueden utilizar o no el cifrado. Generalmente existe un motor de mutacin, que es un componente incorporado del cdigo malintencionado de cifrado que genera rutinas de cifrado aleatorias. Este motor y el software malintencionado quedan cifrados y la nueva clave de descifrado se pasa con ellos.
18
1.4 Qu no se considera software malintencionado? Existe una serie de amenazas que no se consideran software malintencionado puesto que no son programas informticos escritos con intencin de hacer dao. No obstante, estas amenazas pueden afectar a la seguridad y a los aspectos financieros de una organizacin. Por estos motivos se recomienda que conozca las amenazas que representan para la infraestructura de TI de su organizacin y para la productividad de los usuarios de TI. Clasificacin de Software no Malintencionado se detalla: 1.4.1 Software de humor Las aplicaciones de humor estn diseadas para conseguir una sonrisa o, en el peor de los casos, una prdida de tiempo para el usuario. Estas aplicaciones son tan antiguas como los propios equipos informticos. Como no se han creado con una intencin maliciosa y se pueden identificar fcilmente como bromas, no se consideran software malintencionado en este informe. Existen numerosos ejemplos de aplicaciones de humor, que ofrecen desde interesantes efectos de pantalla hasta divertidas animaciones o juegos. 1.4.2 Mensajes de virus falsos Generalmente, resulta ms sencillo engaar a alguien para que realice la accin que uno desea que escribir software que la lleve a cabo sin que ste lo advierta. Por lo tanto, en la comunidad de TI existe una gran cantidad de mensajes de virus falsos. Al igual que otras formas de software malintencionado, un mensaje de virus falso utiliza la ingeniera social con el fin de intentar engaar a los usuarios de los equipos para que realicen una accin. No obstante, en el caso de un mensaje de virus falso, no se ejecuta ningn cdigo; su creador habitualmente slo intenta engaar a la vctima. A lo largo de los aos, estos mensajes han adoptado formas muy diversas. Sin embargo, un electrnico en el aconseja reenviar mensajes de virus de los servidores 1.4.3 Fraudes Prcticamente toda forma de comunicacin se ha utilizado en algn momento por parte de delincuentes para intentar engaar a sus vctimas y conseguir que realicen acciones que les reporten un beneficio econmico. Internet, los sitios Web y los mensajes de correo electrnico no son una excepcin. Un ejemplo tpico consiste en un mensaje de correo electrnico que intenta engaar al destinatario para que revele informacin personal que se pueda utilizar con objetivos ilegales (por ejemplo, informacin sobre cuentas bancarias). Un tipo especial de fraude es el denominado phishing, que se pronuncia igual que fishing, ("pesca", en ingls) y que tambin se conoce como suplantacin de marca o carding. Como ejemplos de "phishing" se pueden mencionar los casos en los que los remitentes suplantan a compaas de gran prestigio, como por ejemplo eBay, para intentar obtener acceso a la informacin de la cuenta del usuario. Este tipo de mensajes utiliza con frecuencia un sitio Web que imita el aspecto del sitio Web oficial de una compaa. ejemplo muy comn consiste en un mensaje de correo que se anuncia la aparicin de un nuevo tipo de virus y se el mensaje a los contactos para ponerles sobre aviso. Estos falsos suponen una prdida de tiempo, ocupan los recursos de correo electrnico y consumen ancho de banda de red.
19
El mensaje de correo electrnico se utiliza para redirigir al usuario al sitio Web falso y conseguir que escriba la informacin de su cuenta de usuario, que se guarda y usa con fines ilcitos. Estos casos se deben tratar con total seriedad y poner en conocimiento de las autoridades legales. 1.4.4 Correo no deseado Tambin conocido como spam, se trata de correo electrnico no deseado que se genera para hacer publicidad de un servicio o producto. Aunque generalmente se considera una molestia, no se trata de software malintencionado. Sin embargo, el enorme incremento en la cantidad de mensajes de este tipo constituye un problema para la infraestructura de Internet, con el resultado de prdida de productividad para los empleados, que se ven obligados a descartar y eliminar estos mensajes a diario. Aunque no existe acuerdo sobre el origen del trmino "spam", no hay duda de que ste se ha convertido en una de las molestias ms constantes en las comunicaciones basadas en Internet. Muchos consideran que constituye un problema de tal gravedad que actualmente representa una amenaza para el funcionamiento de las comunicaciones a travs de correo electrnico en el mundo. Sin embargo, es preciso mencionar que salvo por la carga que soportan los servidores de correo electrnico y los programas anti-spam, los mensajes no deseados no se pueden replicar o amenazar el correcto estado y funcionamiento de los sistemas de TI de una organizacin. Los creadores de correo no deseado (conocidos con el trmino ingls spammers) han utilizado a menudo software malintencionado para instalar un servicio de servidor de correo electrnico SMTP de pequeo tamao en un equipo host que, a continuacin, utilizan para enviar este tipo de mensajes a otros destinatarios de correo electrnico. 1.4.5 Programas espa Este tipo de software se denomina en ocasiones spybot o software de seguimiento. Los programas espa utilizan otras formas de software y programas engaosos que realizan algunas acciones en un equipo sin el consentimiento del usuario. Entre ellas se incluyen la recopilacin de informacin personal y el cambio de los parmetros de configuracin del explorador de Internet. Adems de ser una molestia, los programas espa pueden causar problemas que abarcan desde la reduccin del rendimiento general del equipo hasta la violacin de la privacidad personal. Los sitios Web que distribuyen estos programas utilizan una gama de trucos para conseguir que los usuarios los descarguen e instalen en sus equipos. Entre estos trucos se incluye la creacin de experiencias de usuario engaosas y la inclusin de programas espa junto con otro software en el que los usuarios pueden estar interesados, por ejemplo los programas gratuitos para compartir archivos. 1.4.6 Publicidad no deseada La publicidad no deseada se combina con frecuencia con una aplicacin host que se ofrece de modo gratuito a condicin de que el usuario acepte dicha publicidad. Como las aplicaciones de publicidad no deseada generalmente se instalan despus de que el usuario haya aceptado un contrato de licencia en el que se advierte del objetivo de la aplicacin, no se comete ningn delito. No obstante, los mensajes de publicidad emergentes se pueden convertir en una molestia y, en algunos casos, afectar al rendimiento del sistema.
20
Asimismo, la informacin que recopilan algunas de estas aplicaciones puede plantear problemas de privacidad a los usuarios que no eran totalmente conscientes de los trminos del contrato de licencia. Nota: aunque los trminos spyware (programa espa) y adware (publicidad no deseada) se utilizan con frecuencia como sinnimos, nicamente la publicidad no deseada que el usuario no ha autorizado se puede equiparar a los programas espa. La publicidad no deseada que advierte a los usuarios y les ofrece la posibilidad de eleccin y el control no es engaosa y no se debe clasificar como programa espa. Por otra parte se debe tener en cuenta que una aplicacin espa que afirma realizar una funcin especfica y que, en realidad, lleva a cabo otra diferente, acta como un troyano. 1.4.7 Cookies de Internet Las cookies de Internet son archivos de texto que los sitios Web colocan en el equipo de un usuario cuando ste los visita. Contienen y proporcionan informacin de identificacin acerca del usuario a los sitios Web que las han colocado en su equipo, adems de otra informacin que los sitios deseen conservar acerca de su visita. Son herramientas legales que numerosos sitios Web utilizan para realizar un seguimiento de la informacin de los visitantes. Por ejemplo, un usuario adquiere un artculo en una tienda en lnea, pero una vez que ha colocado el producto en su carro de la compra, puede que desee visitar otro sitio Web por alguna razn. La tienda en lnea puede elegir guardar en una cookie en el equipo del usuario la informacin de los productos seleccionados, para que, cuando ste vuelva al sitio, sigan en el carro de la compra listos para que el usuario los adquiera si as lo decide. Los desarrolladores de sitios Web slo deberan poder recuperar la informacin almacenada en las cookies que ellos han creado. Este enfoque debera garantizar la privacidad evitando que otras personas que no sean los desarrolladores de estos sitios puedan tener acceso a las cookies que se han dejado en los equipos de los usuarios. Por desgracia, se sabe que algunos desarrolladores de sitios Web utilizan cookies para recopilar informacin sin el conocimiento del usuario. Algunos pueden engaar a los usuarios o no respetar las directivas que han establecido. Por ejemplo, pueden realizar un seguimiento de los hbitos de visita a diferentes sitios Web sin informar al usuario y utilizar esta informacin para personalizar la publicidad que ste ve en un sitio Web, algo que se considera una invasin de la privacidad. Resulta difcil identificar esta forma de publicidad orientada al usuario y otras formas de "uso indebido de las cookies", con lo que es complicado decidir si se deben bloquear las cookies en el equipo y cundo y cmo hacerlo. Adems, el nivel aceptable de informacin compartida vara de unos usuarios a otros, por lo que tambin resulta complicado crear un programa "anti-cookies" que satisfaga las necesidades de todos los usuarios informticos de un entorno.
21
CAPITULO 2 VIRUS
22
2. VIRUS
2.1 Definicin de Virus Un virus es un programa o secuencia de instrucciones que un ordenador es capaz de interpretar y ejecutar, todo virus ha de ser programado y realizado por expertos informticos. Su misin principal es introducirse, lo ms discretamente posible en un sistema informtico y permanecer en un estado de latencia hasta que se cumple la condicin necesaria para activarse. Las posibles vas de transmisin de los virus son: los discos, el cable de una red y el cable telefnico. Ejemplo Codigo ASM de Virus Michelangelo Virus Name: Michelangelo Aliases: V Status: Common Discovered: April, 1991 Symptoms: Disk directory damage; hard disk format; decrease in total system and available memory Origin: Sweden or the Netherlands Eff Length: N/A Type Code: BRtX - Resident Floppy Boot Sector/Master Boot Sector Infector Detection Method: ViruScan, F-Prot, Sweep, AVTK, UTScan, NAV, CPAV, VNet, VirexPC, VBuster, Panda, IBMAV, MSAV, DrVirus, Vi-Spy, PCRX Removal Instructions: CleanUp, F-Prot or M-Disk/P ; ; ; ; ; This is a disassembly of the much-hyped michelangelo virus. As you can see, it is a derivative of the Stoned virus. The junk bytes at the end of the file are probably throwbacks to the Stoned virus. In any case, it is yet another boot sector and partition table infector. Cuadro 2.1 Datos Virus Michelangelo ; destination of highmem jmp xor ax,ax mov es,ax int 13h push cs pop ds mov ax,201h mov bx,7C00h mov cx,firstsector cmp cx,7 jne floppyboot mov dx,80h int 13h jmp short exitvirus
; reset disk
; ; ; ;
hard disk infection? if not, do floppies Read old partition table of first hard disk to 0:7C00h
Cuadro 2.2 Fragmento Cdigo ASM; en donde se pide confirmacin de virus en HD o Floppies
23
Lo es en la
primero que hace un virus tpico, cuando se ejecuta el programa infectado, situar su propio cdigo en una parte de la memoria permaneciendo residente ella. Todo lo que ocurra a partir de este momento depende enteramente de especie a la que pertenezca el virus en cuestin.
Generalmente los virus disponen de una rutina destructiva que se activar si se cumple una determinada condicin. Por ejemplo el virus "880" se activa el da 11 de junio mostrando unos mensajes en la pantalla y sobre-escribiendo archivos ejecutables. Los virus ms simples se auto replican en los ficheros ejecutables disponibles en los diferentes discos duros del sistema, incrementando ligeramente el tamao de los mismos (incremento correspondiente al tamao real del virus). Estos ficheros ejecutables incluyen cualquier fichero cuya extensin sea exe .com .ovl .sys o .bin. Otro tipo de virus son los llamados virus de Boot. Estos utilizaban los sectores de arranque y la tabla de particiones para ejecutarse y tomar el control cada vez que el ordenador arranque desde un disco contaminado. Los virus son programas que tienen la caracterstica de replicarse y propagarse por si mismo como se dijo anteriormente, es por ello de su nombre, virus informtico por que tiene una gran similitud con los virus biolgicos. As como los virus biolgicos entran en el cuerpo humano e infectan una clula, para alterar su contenido gentico y reproducirse, los virus informticos se introducen en los ordenadores infectando ficheros insertando en ellos su cdigo, y reproducindose cada vez que se accede a dichos archivos. Algunos virus solo infectan, otros modifican datos y otros mas destructivos, eliminan datos, pero los hay otros que solo muestran mensajes (Recuerdo que en una oportunidad en la computadora de la biblioteca de facultad, pude observar que una PC mostraba un dibujo de una cara feliz y lneas mas abajo deca que la PC, haba sido infectada por un virus). A continuacin se presenta orgenes de los virus: una breve cronologa de lo que ha sido los
1949: Se da el primer indicio de definicin de virus. John Von Neumann (considerado el Julio Verne de la informtica), expone su "Teora y organizacin de un autmata complicado". Nadie poda sospechar de la repercusin de dicho artculo. 1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de ncleos de ferrita. Consista en una batalla entre los cdigos de dos programadores, en la que cada jugador desarrollaba un programa cuya misin era la de acaparar la mxima memoria posible mediante la reproduccin de si mismo. 1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER...ATRAPAME SI PUEDES!". Ese mismo ao es creado su antdoto: el antivirus Reaper cuya misin era buscar y destruir al Creeper. 1974: El virus Rabbit haca una copia de si mismo y lo situaba dos veces en la cola de ejecucin del ASP de IBM lo que causaba un bloqueo del sistema.
24
1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infeccin fue originada por Robert Tappan Morris, un joven estudiante de informtica de 23 aos aunque segn l fue un accidente. 1983: El juego Core Wars, con adeptos en el MIT, salio a la luz publica en un discurso de Ken Thompson. Dewdney explica los trminos de este juego. Ese mismo ao aparece el trmino virus tal como lo entendemos hoy. 1985: Dewdney intenta enmendar su error publicando otro artculo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores". 1987: Se da el primer caso de contagio masivo de computadoras a travs del MacMag Virus tambin llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunin de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llev el disco a Chicago y contamin la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand. El virus contamin el disco maestro que fue enviado a la empresa fabricante que comercializ su producto infectado por el virus. Se descubre la primera versin del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusaln. 1988: El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistan aparece en Estados Unidos.
25
2.2 CLASIFICACION Actualmente hay diversas maneras de clasificar a los virus, pero los que mencionare a continuacin son los comunes: 2.2.1 Virus Macro Son aquellos virus que estn escritos en lenguaje macro, los cuales residen en la macro de los archivos, tales como procesadores de texto, presentaciones, hojas de clculo, etc. Las macros son pequeos programas, los cuales ayudan a realizar complejas operaciones, los cuales estn asociados a un archivo. Al ser una macro un programa es por esta razn que es susceptible a infectarse. Los virus de macros se propagan al transferirse documentos infectados, una ves que se abran estos archivos infectados con este tipo de virus, la macros actuara de forma automtica, producindose la infeccin. 2.2.2 Virus del BOOT Estos tipos de virus, no infecta los archivos sino el lugar que los contiene tales como el disco duro y los disquetes, mas especficamente infectan el sector de arranque de estos dispositivos. La forma como se propaga comnmente estos tipos de virus es infectando primeramente el sector de arranque de los disquetes, luego cuando queramos leer el contenido del disquete con un ordenador, es en este momento cuando el disquete infectado, infectara al sector de arranque del disco duro, ahora cada ves que coloquemos en disquete en el ordenador, el virus que se encuentra en el sector de arranque del disco duro tratara de infectarlo. 2.2.3 Virus Gusano La principal caracterstica de este virus, es que puede transportarse a si mismo, aunque tcnicamente un virus necesita de un medio de trasporte, pero por cuestiones practicas se le considera un virus, en otras palabras un gusano no necesita de un archivo para reproducirse, su fin es la de reproducirse lo mas rpidamente posible a travs de una red, causando muchas veces el colapso de la red, pero tambin este virus en su propagacin por la red trata de conseguir informacin confidencial tales como, contraseas direcciones, documentos y muchas veces dejan mensajes. Los lugares preferidos de propagacin de este virus son por el correo electrnico, los canales de chat y las redes. 2.2.4 Virus Troyano Tcnicamente no se le puede considerar un virus al igual que un gusano, ya que no se reproducen infectando otros archivos. Hace honor a su nombre, ya que este tipo de programa funciones como el mitolgico caballo de Troya, ingresan al computador como un programa benigno (pero realmente el programa original haya sido desensamblado y le hayan aadido el troyano). Sin embargo, al ejecutarlo instalar en nuestro ordenador un segundo programa, el troyano, el cual podr ser controlado remotamente desde otros equipos. Tienen la capacidad de eliminar archivos y hasta borran el disco duro, adems de esto puede conseguir y enviar datos confidenciales a un equipo externo o abrir puertos de comunicaciones, con lo cual permitira que personas externas puedan controlar la computadora.
26
2.2.5 Virus Web Es el tipo de virus mas reciente, y que pueden estar presentes en los controles Active X, javaScript y los Applet de Java. Se propagan cuando el usuario entra a una pagina Web que contenga Active X o cdigo Java o JavaScript infectados. Estos virus pueden causar los siguientes daos, tales como corromper archivos y directorios. 2.2.6 Virus de Archivos Los virus del archivo son aquellos virus que se adhieren a otros "programas" (programas que contiene cdigo ejecutable o interpretable) de tal manera que cuando usted ejecuta el programa infectado, el cdigo del virus se ejecuta. Usualmente el cdigo del virus est aadido en tal forma que se ejecuta primero, aunque esto no es estrictamente. Despus de que el cdigo del virus se haya cargado y ejecutado, luego recin cargara y ejecutara el programa original que ha infectado.
27
2.3 MITOS DE LOS VIRUS INFORMATICOS 2.3.1 Mito 1 - Miles de virus nuevos se escriben cada ao. La mentira acerca de este mito est en la palabra 'nuevos'. Si la industria antivirus considera nueva una variante de un virus viejo como ser vienna o jerusalem, entonces tienen razn. Pero la verdad es: una variacin miserable de un virus viejo no es un virus nuevo. Todos en el underground saben que la mayora de los virus nuevos que aparecen en los BBS de intercambio de virus son slo variantes de virus viejos con pequeas modificaciones. Por lo tanto, la afirmacin de que 'cientos de virus nuevos se escriben cada semana' es falsa. 2.3.2 Mito 2 - Todos los virus son extremadamente peligrosos y destructivos. Este es otro mito comn y falso, que el usuario comn puede verificar por si mismo. Consigan una copia del ltimo Vsum de Patricia Hoffman. (Si bien no es una fuente confiable de informacin, no hay nada mejor). Cuenten los virus que causan dao, y comprenlos con los que 'no hacen nada adems de reproducirse'. Los resultados mostrarn que ms del 70% de los virus no tienen cdigo malicioso o destructivo y la mayora slo se reproducen. 2.3.3 Mito 3 - Su computadora es blanco potencial para la infeccin de millones de virus. Falso. Ningn virus puede infectar su sistema si se toman medidas preventivas como: 1- Nunca cargue software ilegal o pirateado en su sistema. 2- Proteja siempre contra escritura sus diskettes. 3- Instale al menos dos programas de chequeo de integridad, como VDS, Integrity Master, Untouchable, etc., en su sistema. 4- Ejecute peridicamente todo el software de chequeo de integridad. 5- Instale software para mens con capacidad de seguridad como Direct Access 5.0 y mantenga siempre el control sobre quienes usan su sistema. No deje que usuarios no autorizados usen su sistema. Si usted sigue esas reglas, las posibilidades de que su sistema sea infectado por un virus se disminuyen a casi nada. 2.3.4 Mito 4 - Los autores de virus son ms imaginativos y creativos que la mayora de los investigadores antivirus. Esto es cierto. No tenemos jefe, no tenemos a nadie a quien responder, no tenemos a nadie que nos diga lo que tenemos que hacer, no tenemos que preocuparnos por cosas como productividad o costos, hacemos lo que hacemos porque nos encanta hacerlo, trabajamos a nuestro propio ritmo, y siempre estamos aprendiendo e intercambiando informacin. 2.3.5 Mito 5 - Liberando la informacin sobre virus y su cdigo fuente, todo el universo de las computadoras tal como lo conocemos colapsara. Otro mito falso. 1- La mayora de los usuarios de computadora no saben programar, y de los que saben, muy pocos saben programar en assembler. Esto nos deja con un porcentaje muy pequeo de gente que sera capaz de hacer algo con un cdigo fuente de un virus.
28
2- Si alguien quiere aprender a programar un virus, eventualmente va aprender, a pesar de cualquier esfuerzo de prohibir la publicacin de cdigo fuente. 3- La mayora de la gente que distribuye virus no es la misma que quienes los escribe, y viceversa. Distribuir cdigo fuente de virus no es peligroso y no tiene efecto en el nmero de infecciones. El cdigo ejecutable de los virus no debera ser distribuido libremente, pero el cdigo fuente debera ser puesto a disposicin de quien lo quiera. 2.3.6 Mito 6 - Los antivirus son trabajos bien hechos y profesionales. La mayora de los antivirus son relajados y poco profesionales. Piensen en lo siguiente: Cuan bueno puede ser un programa si un chico de 15 aos es capaz de engaarlo cambiando unos pocos bytes en un virus? No es bueno, dira yo. Una linda interface de usuario no hace un buen programa. Esta es una lista de software antivirus en orden descendiente de calidad y completitud (heurstica, integridad de datos y scaneo)
1. 2. 3. 4. 5. 6.
TBAV (ThunderByte AntiVirus - Shareware) 6.08 Dr. Solomon's Antivirus. AV toolkit Pro 1.07b (Rusia - Shareware) F-PROT 2.09f (Islandia - Freeware para usuarios individuales) SCAN / VSHIELD (Mcafee - Freeware para usuarios individuales) Central Point Antivirus / MicroSoft Antivirus 7. Norton Antivirus. 2.3.7 Mito 7 - Los virus causan millones de millones de dlares en prdidas cada ao. Esto es una completa fantasa. Si, los virus causan millones de dlares en prdidas, pero las compaas y la gente gastan ms dinero anualmente en software anti virus que el que se pierde realmente debido a los virus. La industria anti virus es multimillonaria. Por ejemplo, hay compaas pblicas multimillonarias como McAfee Associates y Cheyenne Software, y hacen millones de dlares exclusivamente de la paranoia creada alrededor de los virus. Si esto no fuera cierto, piensan que los autores de Scan o F-Prot podran dar sus productos gratuitamente a los usuarios individuales? El propsito de distribuir copias gratuitas de software anti virus entre los usuarios individuales es simple: sirve como propaganda para los dueos de grandes redes (generalmente, grandes compaas) que compran las licencias de esos productos anti virus por cientos de miles de dlares. 2.3.8 Mito 8 - Todos los progresos en conducido por los investigadores antivirus. la investigacin antivirus fue
Falso. El progreso de la industria antivirus es conducido por las innovaciones en los virus. Cosas como bsqueda con comodines o bsqueda heurstica se han inventado debido a que virus como 1260, V2P1, V2P2 (los primeros virus polimrficos creados por Mark Washburn para demostrar a la industria anti virus que la bsqueda por scaneo es intil, por lo cual es odiado por la mayora de los investigadores anti virus) o la Mutation Engine de Dark Avenger (MtE)
29
La integridad de datos fue hecha parte de los softwares anti virus debido a la creacin de virus multipartitos y stealth, donde la bsqueda por scaneo es completamente intil. Como pueden esperar, los investigadores anti virus van a negar esto, ya que quieren el crdito para ellos mismos. 2.3.9 Mito 9 - Escribir e intercambiar virus va a ser legislado y se har ilegal. Puede hacerse ilegal en varios pases, pero no lo ser nunca en Estados Unidos. Escribir virus est protegido bajo la primera enmienda de la constitucin de los Estados Unidos. Si los BBS de intercambio de virus se hacen ilegales, entonces todas las compaas multimillonarias de antivirus se quedaran fuera del negocio porque no podran conseguir de estos BBS los cientos de nuevos virus creados cada mes y luego vender los upgrades cada mes a los usuarios. A menos que contraten un grupo de escritores de virus empiecen a escribir nuevos virus para poder actualizar los anti virus con ellos y poder seguir vendindolos. Por qu piensan que un pas con una rama tan poderosa de custodia de la ley no hizo nada acerca de los BBS de intercambio de virus? Si hicieran algo, estaran poniendo una industria multimillonaria a dormir, simple y llanamente.
30
2.4 SINTOMAS Cuando el ordenador es infectado por algn virus, el ordenador puede experimentar una serie de problemas, los cuales pueden indicarnos la existencia de algn virus en el equipo. Entre los principales sntomas son los siguientes: Aparicin de archivos o directorios extraos. Dificultad para arrancar el PC, o no conseguir inicializarlo. Apagado del equipo sin haberlo solicitado. Borrado de ficheros, sin una explicacin aparente. Reduccin del espacio libre en la memoria o en el disco duro, debido a que el virus se debe alojar obligatoriamente en memoria. Este factor puede no ser detectado, ya que normalmente el tamao de un virus es pequeo. Aparicin de mensajes de error no comunes. Este factor puede ser determinante a la hora de detectar el virus, ya que algunos creadores de virus introducen en los mismos algn mensaje que deje constancia de su creacin. Fallos en la ejecucin de los programas. Frecuentes cadas del sistema. Las operaciones rutinarias se realizan con mayor lentitud, aunque este factor puede ser debido a otras causas, como errores en el disco duro.
31
2.5 MEDIDAS PARA COMBATIR LA AMENAZA DE LOS VIRUS Tomar la accin defensiva es la mejor solucin para proteger su computadora contra los muchos de millares de virus que existe en la red de redes. Los siguientes pasos que a continuacin mencionare tal ves no lo protejan totalmente contra los virus, pero al menos podr reducir los daos:
Instalar un software Antivirus. No hay software antivirus capaz de protegerle al 100% contra todos los virus, pero es una gran ayuda al poder explorar archivos entrantes y le mantendr protegido de los virus mas recientes. Actualizar su software Antivirus constantemente, si fuera posible diariamente. Descargar Archivos con Cuidado. Descargar todos los archivos o los archivos compartidos de una red en una carpeta especial sobre su duro y explorarlo con su software Antivirus. Explorar los Archivos Adjuntos antes de leerlo o abrirlo. Es muy importante que antes de leer cualquier documento que le hayan mandado a su correo electrnico como archivo adjunto (aunque el remitente sea una persona conocida), este sea explorado por un Software Antivirus Guardar archivos con extension.rtf o o ascii, ayudan a prevenir los virus si usted elige el ascii para guardar del archivo, por eso si desea guardar la extensin rtf. en ascii. Guardar archivos en rtf macro. Es importante advertir que su archivo, se perder el formato el formato es recomendable elegir
Respaldar los datos (Backup). Tener una copia de los datos en el disco duro de otra computadora. No usar Software Ilegal o Pirateado en su computadora. Estos Software pirateados son manipulados y por lo tanto podran estar infectados. Utilizar los programas Shareware con mucha precaucin. No utilizar los programas shareware a menos que este absolutamente seguro de que no contiene virus.
32
2.6 DETECCION Y PREVENCION DE VIRUS Debido a que los virus informticos son cada vez ms sofisticados, hoy en da es difcil sospechar su presencia a travs de sntomas como la prdida de performance. De todas maneras la siguiente es una lista de sntomas que pueden observarse en una computadora de la que se sospeche est infectada por alguno de los virus ms comunes: Operaciones de procesamiento ms lentas. Los programas tardan ms tiempo en cargarse. Los programas comienzan a acceder por momentos a las disqueteras y/o al disco rgido. Disminucin no justificada del espacio disponible en el disco rgido y de la memoria RAM disponible, en forma constante o repentina. Aparicin de programas residentes en memoria desconocidos.
La primera medida de prevencin a ser tenida en cuenta es, como se dijo anteriormente, contar con un sistema antivirus y utilizarlo correctamente. Por lo tanto, la nica forma de que se constituya un bloqueo eficaz para un virus es que se utilice con determinadas normas y procedimientos. Estas normas tienden a controlar la entrada de archivos al disco rgido de la computadora, lo cual se logra revisando con el antivirus todos los disquetes o medios de almacenamiento en general y, por supuesto, disminuyendo al mnimo posible todo tipo de trfico. Adems de utilizar un sistema antivirus y controlar el trfico de archivos al disco rgido, una forma bastante eficaz de proteger los archivos ejecutables es utilizar un programa chequeador de integridad que verifique que estos archivos no sean modificados, es decir, que mantengan su estructura. De esta manera, antes que puedan ser parasitados por un virus convencional, se impedira su accionar. Para prevenir la infeccin con un virus de sector de arranque, lo ms indicado es no dejar disquetes olvidados en la disquetera de arranque y contar con un antivirus. Pero, adems, puede aprovecharse una caracterstica que incorpora el setup de las computadoras ms modernas: variar la secuencia de arranque de la PC a "primero disco rgido y luego disquetera" (C, A). De esta manera, la computadora no intentar leer la disquetera en el arranque aunque tenga cargado un disquete. Algunos distribuidores o representantes de programas antivirus envan muestras de los nuevos virus peruanos a los desarrolladores del producto para que los estudien o incluyan en sus nuevas versiones o upgrades, con la demora que esto implica. En consecuencia, la deteccin alternativa a la de scanning y las de chequeo de actividad e integridad resultan importantes, ya que pueden detectar la presencia de un virus informtico sin la necesidad de identificarlo. Y esta es la nica forma disponible para el usuario de detectar virus nuevos, sean nacionales o extranjeros. De todas maneras, existe una forma de actualizar la tcnica de scanning. La misma consiste en incorporarle al antivirus un archivo conteniendo cadenas de caracteres ASCII que sean trozos de cdigo (strings) significativos del sector vital de cada nuevo virus que todava no est incorporado en la base de datos del programa.
33
De todas formas, esta solucin ser parcial: la nueva cadena introducida slo identificar al virus, pero no ser capaz de erradicarlo. Es muy importante que los "strings" que se vayan a incorporar al antivirus provengan de una fuente confiable ya que, de lo contrario, pueden producirse falsas alarmas o ser ineficaces. Algunos de los antivirus que soportan esta cualidad de agregar strings son Viruscan, F-Prot y Thunderbyte.
34
2.7 RECUPERACION Un virus puede moverse por la red y atacar su sistema en minutos inhabilitando las aplicaciones y destruyendo los archivos. La recuperacin de una violacin a la seguridad puede ser costosa al pasarle la cuenta de cobro a su pequea empresa en trminos de improductividad, datos alterados e inactividad. Naturalmente que usted quiere evitar un contagio. Sin embargo qu pasa si un virus, gusano o caballo de Troya logra traspasar sus defensas? Si sufre un ataque de virus, debe actuar inmediatamente para minimizar dao y evitar que se propague a otros equipos de la red, si es que an no ha hecho. Siga estas instrucciones para eliminar el virus y restaurar computadora a su estado inicial de funcionamiento y usted pueda volver a trabajo. 2.7.1 Asle y desconecte el equipo Lo primero que debe hacer si cree o sabe que ha sufrido un ataque de virus es desconectar fsicamente su computadora de la red. Un equipo infectado pone en peligro todas las computadoras conectadas a la red. Es esencial que su computadora est aislada hasta que usted est seguro de que se ha recuperado completamente del ataque. Si no est seguro de que otra computadora tambin haya sido infectada, acte como si lo hubiera sido. Retrela de la red y siga las mismas instrucciones del equipo que saba haba sido atacado. Es contraproducente limpiar un equipo cuando una computadora infectada est todava conectada a la red, esperado a que usted lo conecte de nuevo para continuar su curso de infeccin. 2.7.2 Elimine el virus Una vez que ha aislado y retirado la computadora de la red, debe primero eliminar el cdigo que caus el dao. El mtodo ms confiable para eliminar un virus, gusano o caballo de Troya de su computadora es usar herramientas de eliminacin escritas para ese cdigo especfico. Su software antivirus debe tener actualizaciones o parches disponibles para la amenaza a la seguridad especfica, que estn en el mercado tan pronto como se descubren los cdigos maliciosos. Symantec Security Response pone a su disposicin tanto las herramientas de eliminacin como las definiciones actualizadas tan pronto como se descubre una amenaza. No basta con simplemente borrar el programa de virus o archivo infectado. La mayora de virus, gusanos y caballos de Troya se copian y esparcen de diferentes formas, ocultndose e infectando otros programas y documentos. En especial los caballos de Troya pueden instalar accesos furtivos en su sistema, que dejan un punto de entrada a los hackers u otros cdigos maliciosos. Incluso si usted destruye el archivo con el caballo de Troya, quedan los agujeros de seguridad. La descarga de una herramienta de eliminacin o parche para ese virus troyano especfico ayudar a eliminar otras vulnerabilidades. Usted tambin debe consultar las alertas de seguridad que se encuentran en el mercado cuando se hallan nuevos virus en Symantec
el lo su su
35
Security Response. Las alertas le advierten sobre la propagacin de nuevos virus, las formas que oman y los mtodos que deben utilizar para eliminarlos si ya ha sido infectado. 2.7.3 Recupere la informacin Usted puede sufrir diversos grados de prdida de la informacin debido a un ataque, que varan desde nombres de archivos alterados hasta una destruccin total. Un virus muy peligroso puede inhabilitar sus aplicaciones o un gusano irritante puede renombrar sus documentos de Word. Sin importar la magnitud del dao, usted necesitar restaurar su computadora a su estado original. o Reinstale los programas Algunos virus pueden destruir un sistema operativo por completo. En este caso, use un CD de rescate si vena con el equipo. El CD lo regresar al estado que tena cuando lo compr. Tenga en cuenta que si reinstal el SO perder las aplicaciones que haba instalado o los archivos de datos que haba guardado. Para recuperar las aplicaciones, reuna documentacin, como el software original, las licencias y las unidades de disco. Necesitar la documentacin para registrar el software cuando reinstale estos programas. o Explore en busca de virus Una vez que el equipo ya est funcionando, realice una completa exploracin antivirus. Explore todos los archivos y documentos y revise todos los que hayan sido alterados. Si los archivos de informacin se guardan en un sitio central, como un servidor, tambin deben ser analizados all. Explore todas las computadoras de la red, incluyendo el servidor. o Recupere los archivos Si los archivos de informacin se guardan en su equipo, la prdida de la informacin depender de la carga explosiva del virus y de si recientemente hizo una copia de respaldo de los archivos. Si el virus atac las aplicaciones, encontrar que sus archivos de informacin no fueron tocados. Desafortunadamente, algunos virus especficamente tienen como objetivo los archivos de informacin. Si tiene programado hacer con frecuencia copias de respaldo en una cinta, CD u otro medio magntico, la prdida se limitar al lapso de tiempo transcurrido entre la ltima copia de respaldo realizada y el ataque del virus. Si no program hacer las copias de seguridad, sus archivos se perdern definitivamente. Antes de recuperar los archivos de respaldo en su computadora, podra querer hacer una copia de imgenes del sistema con el utilitario Norton Ghost, que le permite restaurar rpidamente el equipo a su estado limpio conocido en caso de un futuro ataque. Revise todos los archivos con el software antivirus cuando los recupere en el sistema. Busque macros o documentos inesperados con extensiones de archivos sospechas como vbs que pueden ser virus.
36
o Escriba el proceso Escriba las instrucciones que sigui para reparar el sistema despus del ataque, incluyendo el tipo de archivos y aplicaciones que recuper y el mtodo que utiliz. Si algo sale mal, puede volver a establecer los pasos o usar la informacin para consultarla despus. 2.7.4 Evite una infeccin futura Despus de todos estos inconvenientes, definitivamente usted querr mantener el sistema libre de virus en el futuro. Es imperativo que ejecute el software antivirus y actualice las definiciones, preferiblemente con un programa que las actualice automticamente por usted. Si no est ejecutando el software antivirus, hgalo ahora. Si lo est ejecutando, actualice inmediatamente las definiciones de virus del sitio del distribuidor. Luego, descargue los ltimos parches de seguridad para su sistema operativo y todas las aplicaciones para reparar los agujeros de seguridad conocidos. Luego, cambie todas sus contraseas, incluso las contraseas de acceso al proveedor de Internet (ISP), a FTP, al correo electrnico y a los sitios web. Esta es una forma gratuita, fcil y eficaz de aumentar la seguridad. Algunos cdigos maliciosos pueden captar contraseas o descifrarlas de forma que una violacin a la seguridad ser evidencia de que han sido alteradas. De todas maneras, es buena idea cambiar las contraseas. Toda la informacin protegida de su computadora debe tener una contrasea que debe ser creada o cambiada en este momento. Las contraseas debe tener por lo menos ocho caracteres, que combinen letras en mayscula y minscula, nmeros, smbolos y signos de puntuacin. Evite el uso de palabras, frases o nombres que se puedan reconocer. 2.7.5 Aprenda de los errores Aunque la destruccin que deja un ataque de virus puede ser difcil de solucionar, usted puede asumir el desastre como una oportunidad para evaluar sus actuales prcticas de seguridad. Si un virus entr una vez, podra infiltrar la red de nuevo. Es importante evaluar las medidas de seguridad que estaba usando y por qu no eran eficaces. Necesita un firewall? Estn los empleados descargando archivos sin explorarlos? Est usted abriendo archivos adjuntos de usuarios desconocidos? Tienen actualizadas las definiciones de virus? Perdi informacin en este ataque que podra haberse recuperado con las copias de respaldo? Cree una programacin frecuente para hacer las copias de respaldo que incluya la copia de archivos de la computadora a medios removibles como CD o cinta y guarde un grupo de ellas fuera del equipo. Realice con frecuencia copias de respaldo como parte de su rutina y en el futuro usted sabr que hacer. Un ataque de virus puede costarle mucho tiempo y dinero y producir frustracin. La prevencin es siempre la mejor poltica de seguridad. Sin embrago, si su red ha sido puesta en peligro por un cdigo malicioso, siga las instrucciones para comenzar de nuevo tan pronto como sea posible para que no pierda la informacin o algo ms.
37
CAPITULO 3 ANTIVIRUS
38
3. SOFTWARE ANTIVIRUS
3.1 Definicin Antivirus Es un programa creado para prevenir o evitar la activacin de los virus, as como su propagacin y contagio. Cuenta adems con rutinas de detencin, eliminacin y reconstruccin de los archivos y las reas infectadas del sistema. 3.2 PRINCIPALES FUNCIONES Y COMPONENTES DE UN ANTIVIRUS 3.2.1 VACUNA, es un programa que instalado residente en la memoria, acta como "filtro" de los programas que son ejecutados, abiertos para ser ledos o copiados, en tiempo real. 3.2.2 DETECTOR, que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los cdigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rpida desarman su estructura. 3.2.3 ELIMINADOR, es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente despus a reparar o reconstruir los archivos y reas afectadas. Es importante aclarar que todo antivirus es un programa y que, como todo programa, slo funcionar correctamente si es adecuado y est bien configurado. Adems, un antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100% de los casos, sino que nunca ser una proteccin total ni definitiva. La Funcin De Un Programa Antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informtico en una computadora. Este es el aspecto ms importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informtico, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daos posibles. Adicionalmente, un antivirus puede dar la opcin de erradicar un virus informtico de una entidad infectada. 3.3 DETALLES DE ANTIVIRUS 3.3.1 McAfee: fue de los ms usados en su tiempo, rpido, potente, muy actualizado, alta deteccin de virus, versin de prueba por 90 das. 3.3.2 Norton: uno de los ms conocidos, muy actualizado, muy pesado y lento, buena capacidad de deteccin, grandes herramientas. Algunos usuarios se quejan de problemas. 3.3.3 Panda: empresa espaola dedicada de lleno a la seguridad informtica. El antivirus posee muchsimas herramientas potentes, es pesado para mquinas no modernas, muy actualizado. El mejor antivirus salido de Espaa. Tambin hemos encontrados muchas quejas de este antivirus. Versin de prueba por 30 das. 3.3.4 NOD32 Anti-Virus: muy rpido, eficiente, excelente heurstica excelente en cuanto a servicio tcnico online. Versin prueba de 25 das. y
39
3.3.5 BitDefender: liviano y efectivo, bien actualizado, buena capacidad de deteccin. 3.3.6 Avast Home: liviano y gratuito. Hemos detectado buenas crticas de este, pero no las suficientes. 3.3.7 Kaspersky Antivirus: Kaspersky es un antivirus que realiza una excelente combinacin de proteccin reactiva y preventiva, protegindote eficazmente de virus, troyanos y todo tipo de programas malignos. Adicionalmente, dentro del grupo de programas malignos, Kaspersky tambin se encarga de proteger tu Registro y todo tu sistema contra programas potencialmente peligrosos como los spyware. Kaspersky cuenta con una merecida fama de ser uno de los antivirus que posee un mejor anlisis en 'busca y captura' de virus. Eso s, Kaspersky realiza un anlisis muy a fondo con lo que suele tardar bastante. Solucinalo programando el anlisis en una hora en la que no necesites el PC. Entre las novedades de esta sexta versin de Kaspersky, destaca el anlisis 'al vuelo' del trfico de Internet y de tu correo electrnico, la actualizacin instantnea de la base de datos y la proteccin contra los rootkits. 3.3.7.1 Cambios recientes en Kaspersky: Mayor maniobrabilidad y campos de tratamiento, ficheros comprimidos, cuarentena de virus, discos de rescate simplificados, posibilidad de pausar el anlisis en cualquier momento, etc. 3.3.7.2 Limitaciones de la versin de prueba: Funcional durante un periodo de 30 das 3.3.7.3 Para utilizar Kaspersky necesitas: Sistema operativo: Win98/NT/ME/2000/XP 3.4 SIMBOLOGA DE LAS PRINCIPALES CARACTERSTICAS DE CADA UNO E-Rpido en escaneo/monitor A-Buena capacidad de actualizacin D-Buena capacidad de detectar virus R-Buena capacidad para remover S-Mnimo consumo de recursos al sistema H-Muchas herramientas y facilidades disponibles G - Versin gratuita personal (no para uso comercial) 3.4.1 LOS MEJORES EN ESTE ORDEN 1 - KAV Personal (Kaspersky) - E A D R H - www.kaspersky.com 2 - NOD32 Anti-Virus - E A D R S H - www.nod32.com 3 - BitDefender Prof.+ - A D R H - www.bitdefender.com 4 - McAfee VirusScan - E A H - www.mcafee.com 5 - AVG Professional - E A S H G - www.grisoft.com 6 - Norton Anti-Virus - A D R H - www.symantec.com 7 - Avast Home - E A D H G - www.avast.com 8 - Panda antivirus - E A R H - www.pandasoftware.es 9 - F-Prot Anti-Virus - E A S H - www.f-prot.com 10 - RAV Desktop - A H - www.ravantivirus.com 11 - Dr. Web - A H - www.drwebArgentina.com.ar - www.drweb.com
40
IV. Ejercicios de Aplicacin

Se Adjunta Cdigo ASM de Creacin de Anti Virus Informticos, as como el TASM (para convertir el CODIGO ASM en cdigo .OBJ u objeto), un Tlink para linkear el cdigo OBJ creado y convertirlo en un Ejecutable (.EXE) a. Convertir el Archivo Eduardo.ASM en un ejecutable. Utilizando las herramientas necesarias para las interpretacin y la compilacin de dicho cdigo ASM. b. Utilizando el mismo ejecutable Eduardo.exe, ejecutarlo en una unidad Floppy 3 .
41
V. Ejercicios Desarrollados
Se Adjunta Cdigo ASM de Creacin de Virus Informticos, as como el TASM (para convertir el CODIGO ASM en cdigo .OBJ u objeto), un Tlink para linkear el cdigo OBJ creado y convertirlo en un Ejecutable (.EXE) a. Convertir el Archivo Eduardo.ASM en un ejecutable. Utilizando las herramientas necesarias para las interpretacin y la compilacin de dicho cdigo ASM. b. Utilizando el mismo ejecutable Eduardo.exe, ejecutarlo en una unidad Floppy 3 .
42
V. Manual
43
VII. Conclusiones Se puede determinar los siguientes puntos: Ningn Terminal o PC esta libre de ser invadido por un software malintencionado o virus informtico dado a la gran cantidad de modificaciones que se desarrolla en cada uno de ellos (los virus). 2. Estar prevenidos, utilizando software antivirus actualizados y no utilizar programas piratas de dudosa procedencia que se exhibe En Lnea (Internet). Adems, del uso constante de chequeadores para controlar la entrada de ciertos tipos de Software Malintencionado. 3. Configurar el Sistema de Firewall, previniendo as, la inclusin cookies y spams dentro de la PC. 4. Si aun as, no te sientes seguro?, desconctate del mundo y no permitas la entrada de ningn dispositivo externo o conexiones en Red o mucho menos Internet. Aunque eso suene a Utopa, en este mundo hay quienes hacen esto.
1.
44
VIII Agradecimiento Se que el Agradecimiento va de comienzo, pero lo deje de ultimo, el nico fin de poder agradecer a aquellas personas que pudieron terminar de leer este informe. Ahora si va el verdadero Agradecimiento Las Gracias respectivas a todos aquellos que pueden tener acceso a este informe y haberlo ledo, que aunque fue recopilado de Internet aun tiene merito ya que fue hecho con mucho esfuerzo y deseos de ayudar a todos aquellos que no quieren verse envueltos en Virus Ajeno. Eso fue un chiste as que ranse. Un saludo y Gracias. Roussell Eduardo Ramrez lvarez
45
IX. BIBLIOGRAFA

http://www.openboxlatino.cl/virus/mydoom.php http://www.hispabyte.com/prehackers/virus/virus_03.htm http://ar.geocities.com/cybermoscas/downlo.html http://www.monografias.com/trabajos12/virudos/virudos.shtml http://www.microsoft.com/latam/technet/seguridad/guidance/antivir us/avdind_2.mspx#EXE
46

Software Malintencionado y Virus

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Software Malintencionado y Virus

Cargado por

Copyright:

Formatos disponibles

Software Malintencionado y Virus

Auditoria y Seguridad Informtica