Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Virus
Virus
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet.
El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rpido
y Rstico Sistema Operativo de Disco) y tena varios errores de programacin
(bugs).
Este joven ingeniero, quien en 1969 cre el sistema operativo UNIX, resucit
las teoras de Von Neumann y la de los tres programadores de la Bell y en 1983
siendo protagonista de una ceremonia pblica present y demostr la forma de
desarrollar un virus informtico.
Virus informticos
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de
la revista BYTE reportaron la presencia y difusin de algunos programas que
actuaban como "caballos de Troya", logrando infectar a otros programas.
En ese ao se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que
fueron las primeras especies representativas de difusin masiva. Estas 3
especies virales tan slo infectaban el sector de arranque de los disckettes.
Posteriormente aparecieron los virus que infectaban los archivos con extensin
EXE y COM.
Virus informticos
que la primera especie viral blgara, creada en 1988, fue el resultado de una
mutacin del virus Vienna, originario de Austria, que fuera desensamblado y
modificado por estudiantes de la Universidad de Sofa. Al ao siguiente los
autores blgaros de virus, se aburrieron de producir mutaciones y empezaron a
desarrollar sus propias creaciones.
virus!!
solicitadas por el usuario, la mayora de estas acciones son hechas con mala
intencin.
Los virus en informtica son similares a los que atacan el organismo de los
seres humanos. Es decir son "organismos" generalmente capaces de auto
reproducirse, y cuyo objetivo es destruir o molestar el "husped".
Al igual que los virus orgnicos, los virus en informtica deben ser eliminados
antes de que causen la "muerte" del husped...
Los virus de las computadoras no son mas que programas; y estos virus casi
siempre los acarrean las copias ilegales o piratas.
CARACTERSTICAS:
Se reproducen a s mismos.
Algunas veces son escritos como una broma, quiz para irritar a la gente
desplegando un mensaje humorstico. En estos casos, el virus no es mas que
una molestia. Pero cuando un virus es malicioso y causa dao real, quin sabe
realmente la causa? Aburrimiento? Coraje? Reto intelectual? Cualquiera que
sea el motivo, los efectos pueden ser devastadores.
Durante esta fase el virus, intenta replicarse infectando otros archivos del
sistema cuando son ejecutados o atacando el Virus informticos
sector de arranque del disco duro.
De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendr el sector de arranque del disco, y los archivos
del sistema. Si durante esta fase utilizamos discos flexibles no protegidos
contra escritura, dichos discos quedan infectados y listos para pasar el virus a
otro computador e infectar el sistema.
CLASES DE VIRUS:
VIRUS POLIMORFICOS
Muy difciles de detectar y eliminar, debido a que cada copia del virus es
diferente de otras copias.
Cambian su forma (cdigo) cada vez que infectan un sistema, de esta manera
parece siempre un virus distinto y es ms difcil que puedan ser detectados por
un programa antivirus.
Pero existe un fallo en est tcnica, y es que un virus no puede codificarse por
completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta
rutina la que buscan los antivirus para la deteccin del virus.
VIRUS ESTATICOS
Normalmente infectan archivos del mismo directorio, o puede ser que tengan
objetivos fijos como el COMMAND.COM del Sistema Operativo.
VIRUS RESIDENTES
Una vez ejecutado el programa portador del virus, ste pasa a la memoria del
computador y se queda all hasta que apaguemos el ordenador. Mientras tanto
va infectando todos aquellos programas ejecutables que utilicemos.
VIRUS DESTRUCTIVOS
VIRUS BIPARTIDOS
VIRUS COMPAEROS
Si se crea un archivo .COM oculto, con el mismo nombre que el otro archivo
ejecutable de extensin .EXE. Primero se cargar en la memoria el archivo
.COM que contiene el virus. Despus el virus llamara al programa original.
El archivo infectado no podra ser visto con un simple comando DIR en C :\,
porque contiene el atributo de oculto.
Lo que hace este tipo de virus es sustituir el boot sector original por el
programa con el virus informtico para que se cargue en el Sistema Operativo.
Tambin localiza un sitio en el Disco Duro para guardar la antigua rutina que
haba en el BOOT.
AUTOREPLICABLES
ESQUEMA DE PROTECCIN
VIRUS INVISIBLES
Este tipo de virus intenta esconderse del Sistema Operativo mediante varias
tcnicas.
Pueden modificar el tamao del archivo infectado, para que no se note que se
le ha aadido un virus.
PROGRAMAS MALIGNOS
Bombas Lgicas
Bombas de Tiempo
Jokes
Gusanos
Caballos de Troya
Virus informticos
Bombas Lgicas y de Tiempo
Tanto las bombas lgicas como las bombas de tiempo, aparentan el mal
funcionamiento del computador, hasta causar la prdida de la informacin.
Jokes
Gusanos
No infecta otros programas como lo hara un virus, pero crea copias de l, las
cuales crean ms copias.
Caballos de Troya
Windows 95
No se autoreproducen.
TCNICAS DE VIRUS
El autor de virus por lo general vive muy de prisa y tal pareciera que adems
de haber incrementado sus conocimientos, ha analizado los errores cometidos
por los anteriores programadores de virus que han permitido que sus especies
virales sean fcilmente detectadas, y es por ello que sin dejar de lado las
formas tradicionales de programacin, ha creado adems sofisticadas rutinas y
nuevas metodologas.
Han transcurrido ms de 16 aos desde que el Dr. Fred Cohen expusiese sus
conceptos y teoras y los autores de virus no solamente se han convertido en
ms creativos e ingeniosos, sino que continuarn apareciendo nuevas Tcnicas
de Programacin, aprovechando de la facilidad de propagacin de sus especies
virales, a causa del auge de Internet.
INFECTOR RAPIDO
Un virus infector rpido es aquel que cuando est activo en la memoria infecta
no solamente a los programas cuando son ejecutados sino a aquellos que son
simplemente abiertos para ser ledos. Como resultado de esto sucede que al
ejecutar un explorador (scanner) o un verificador de la integridad (integrity
checker), por ejemplo, puede dar como resultado que todos o por lo menos
gran parte de los programas sean infectados.
Esta tcnica usa la funcin 3dh de la interrupcin 21h para abrir un archivo
ejecutable en forma muy rpida, empezando preferentemente con el
COMMAND.COM y ubicndose en clusters vacios detrs de un comando interno,
por ejemplo DIR, de tal modo que no solamente no incrementa el tamao del
archivo infectado sino que adems su presencia es inadvertible.
Puede darse el caso adems, de que cuando se ejecuta un archivo EXE o COM
ste no es infectado, en cambio sus archivos relacionados tales como OVL o
DBF's son alterados. Si bajo esta tcnica se ha decidido atacar a las reas del
sistema el cdigo viral reemplaza a los 512 bytes del sector de arranque y
envia el sector original a otra posicin en el disco, pero a su vez emular al
verdadero, y al ser un "clon" de boot le le ser muy fcil infectar a la FAT y al
Master Boot Record o a la Tabla de Particiones, imposibilitando el acceso al
disco.
INFECTOR LENTO
ESTRATEGIA PARSE
Esta tcnica consiste en instruir al virus para que infecte ocasionalmente, por
ejemplo, cada 10 veces que se ejecute un programa. Otras veces, infecta
nicamente a los archivos de menor extensin y al infectarlos en forma
ocasional se minimiza la posibilidad de descubrirlo fcilmente.
Por otro lado, el contador de ejecuciones de los archivos infectados con virus
que emplea esta modalidad, tiene por lo general ms de una rutina de auto
encriptamiento.
ESTILO ARMORED
TECNICA STEALTH
Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier
rea vital del sistema, especialmente el MBR, ya sea individualmente, en forma
combinada o en su totalidad. Este estilo de programacin tambin emplea el
control de memoria dinmica as como algoritmos de compresin y
descompresin de datos.
Un virus que emplea la tcnica del " tnel" intercepta los manipuladores de la
interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este
modo cualquier actividad de monitoreo de las vacunas antivirus. Aunque no
existen, por ahora, gran cantidad de estas especies virales, existe la tendencia
a incrementarse, habindose descubierto virus que usan originales artimaas
para infectar a un sistema sin ser descubiertos. Mencionaremos el caso
particular del blgaro DARK AVENGER-D, el virus peruano ROGUE II y el chileno
CPW Arica.
Todos ellos tienen rutinas que en forma muy rpida se superponen a los IRQ's
ocupados por las vacunas logrando desactivarlas para acceder directamente a
los servicios del DOS y del BIOS tomando absoluto control del sistema y sin
restriccin alguna.
Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV
de Microsoft y otros antivirus son muy conocidas por los creadores de virus.
Las especies virales tipo "tunneling" emplean estas rutinas para saltear y
sobrepasar a algunas de las vacunas residentes en memoria. Del mismo modo,
algunos antivirus suelen utilizar esta tcnica en su necesidad de "by-pasear"
un virus nuevo y desconocido que podra estar activo cuando se est
explorando un sistema.
Las tcnicas tratadas son enunciativas mas no limitativas, ello quiere decir que
se pueden programar virus combinando cualquiera de las modalidades
explicadas en este mdulo.
VIRUS ANEXADO
VIRUS EN JAVA
Java.Beanhive
La tecnologa empleada en este virus tiene varias ventajas. La forma multicomponente de infeccin permite al virus esconder su cdigo en los archivos
infectados: su longitud crece en muy pequeos valores y despus de una ligera
observacin el cdigo insertado pareciera no ser daino.
Detalles Tcnicos
VIRUS EN VBS
Debido al auge de Internet los creadores de virus han encontrado una forma de
propagacin masiva y espectacular de sus creaciones a travs mensajes de
correo electrnico, que contienen archivos Visual Basic Scripts, anexados, los
cuales tienen la extensin .VBS
Para "cargar" una sesin de chat los usuarios deben registrarse en un servidor
chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un
denominado "bachero", que emplea comandos propios del protocolo IRC,
Todos los gusanos del Chat, siguen el mismo principio de infeccin. Usando el
comando SEND file, envan automticamente una copia del SCRIPT.INI a todas
las personas conectadas al canal chat, adems de otras instrucciones dentro
de un Visual Basic Script.
Estas infecciones tambin se reproducen entre todos los usuarios de una red,
una vez que uno de sus usuarios ha sido infectado.
VIRUS EN .SHS
Los archivos con extensin .SHS (Shell Scraps), son ejecutables de WINDOWS
RUNDLL32, tambin conocidos como Scrap Object Files (Archivos Objeto
Basura).
Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensin
y ejecutar el programa que contiene en forma oculta, al hacerle un doble
click. Cuando es distribuido a travs del correo electrnico, transferido como
mensaje dentro de la Red u otro medio basado en la Web, la extensin .SHS se
hace visible, pero una vez que es grabado al disco duro, desaparecer otra vez.
La razn por la que ciertos ejecutables no pueden ser activados se debe a que
simplemente el virus puede haberlos borrado.
Los archivos ejecutables seguirn existiendo pero como el cdigo del virus est
presente en la mayora de los casos aumentar el tamao de los archivos
infectados.
Dicha actividad ser realizada por el responsable designado para este fin.
Por ningn motivo debe usarse los servidores de red como estaciones de
trabajo.
Slo los archivos de datos y no los programas ejecutables debern ser copiados
de una computadora a otra.
Todo diskette debe, normalmente, estar protegido contra escritura para evitar
su posible infeccin al momento de la lectura.
DAOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el
da 18 de cada mes cualquier tecla que presionemos hace sonar el beep.
Deshacerse del virus implica, generalmente, segundos o minutos.
DAOS MENORES.
Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los
viernes 13, todos los programas que uno trate de usar despus de que el virus
haya infectado la memoria residente. En el peor de los casos, tendremos que
reinstalar los programas perdidos. Esto nos llevar alrededor de 30 minutos.
DAOS MODERADOS.
DAOS MAYORES.
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero
el da en que detectemos la presencia del virus y queramos restaurar el ltimo
backup notaremos que tambin l contiene sectores con la frase, y tambin los
backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que
muy probablemente hayamos perdido una gran cantidad de archivos que
fueron creados con posterioridad a ese backup.
DAOS SEVEROS.
Los daos severos son hechos cuando un virus realiza cambios mnimos,
graduales y progresivos. No sabemos cundo los datos son correctos o han
cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es
decir, no podemos buscar la frase Eddie lives ...).
DAOS ILIMITADOS.
nuevo usuario con los privilegios mximos, fijando el nombre del usuario y la
clave. El dao es entonces realizado por la tercera persona, quien ingresar al
sistema y hara lo que quisiera.
los macro virus, son las especies virales que rompieron los esquemas de
programacin y ejecucin de los virus tradicionales
Los macro virus son una nueva familia de virus que infectan documentos y
hojas de clculo. Fueron reportados a partir de 1995, cambiando el concepto
que los virus tan slo podan infectar o propagarse a travs de archivos
ejecutables.
Los daos que ocasionan estos virus depende de sus autores siendo capaz
desde cambiar la configuracin del Windows, borrar archivos de nuestro disco
duro, enviar por correo cualquier archivo que no nos demos cuenta, mandar a
imprimir documentos inesperadamente, guardar los documentos como
plantillas, entre otros.
Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.
Los macro virus, no pueden grabar los documentos infectados en ningn otro
formato que no sean las plantillas, el archivo es convertido a plantilla y tiende
a no permitir grabar el archivo o documento en ningn otro directorio, usando
el comando SAVE AS.
Estos son algunos de los virus ms conocidos que afectan a las macros :
WM.CONCEPT : Es un macro virus MS-Word que usa cinco macros para infectar,
y propagarse. Los macros se llaman :
"wazzu"
INFECCIN
Al momento de ser infectado, los datos son mezclados con cdigo ejecutable,
que normalmente estn escondidos a la vista del usuario. Entonces cuando se
vea el documento, este estar infectado, se podr trabajar normalmente pero
la plantilla con virus seguir infectando documentos y las macros que utilice.
Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se
graban automticamente al final de cada sesin de trabajo.
EFECTOS
Una vez que se infecta un documento u hoja de clculo, los macro virus son
capaces de aduearse de las funciones de la aplicacin, evitando por ejemplo,
que el usuario guarde la informacin que ha estado escribiendo por minutos u
horas, no se puede mandar a imprimir, entre otros.
Para descubrirlo :
Virus informticos
Virus informticos
Virus informticos
Virus informticos
Virus informticos
Virus informticos
ANTIVIRUS
QU ES UN ANTIVIRUS?.
No para toda enfermedad existe cura, como tampoco existe una forma de
erradicar todos y cada uno de los virus existentes.
TIPOS DE ANTIVIRUS
Estos antivirus deben tener una base de datos con informacin de cada virus
para saber que mtodo de desinfeccin deben usar para eliminar el virus.
ANTIVIRUS INTERNACIONALES
F-PROT ANTIVIRUS
ANTIVIRUS ANYWARE
VIRUSSCAN DE MCAFEE
Fcil de instalar no ocupa mucha memoria, tiene una grande base de datos,
incluyendo los virus macros, permanece en memoria, se actualiza
constantemente por Internet.
Cheyenne Antivirus
Forefront Antivirus
IBM Antivirus
Pc-Cillin II
Panda Software
ANTIVIRUS NACIONALES
THE HACKER
PER ANTIVIRUS
Virus informticos
En 1,993 se crea PER SYSTEM S.A., que tiene como principal servicio el
desarrollo de software aplicativo para PCs, haciendo uso en primera instancia
del Lenguaje BASIC, luego del Quick BASIC y posteriormente del Turbo Pascal.
CONCLUSIONES GENERALES
TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
REVISAR TODOS LOS DISCOS QUE SE HAYAN PRESTADO: Cualquier disco que se
haya prestado a algn amigo o compaero de trabajo, an aquellos que slo
contengan archivos de datos, deben ser revisados antes de usarse
nuevamente.