Está en la página 1de 18

Regional Distrito Capital

Centro de Gestión de Mercados, Logística y


Tecnologías de la Información

MANTENIMIENTO DE HARDWARE

Mary stefhany soto luque

Programa de Teleinformática

2008
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

Control del Documento

Nombre Cargo Dependencia Firma Fecha


Centro de Gestión de
Mercados, Logística y
Autores Mary stefhany soto Alumno 14/03/08
Tecnologías de la
Información
Centro de Gestión
de Mercados,
Revisión Ing. José Méndez Instructor Logística y
Tecnologías de la
Información

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

• LABORATORIO DE ELIMINACION DE VIRUS

¿Qué es un Virus?
Un virus es un programa capaz de contagiar a otros programas,
transformando su código hasta conseguir una copia suya dentro de ellos. Los
virus son una gran amenaza; se propagan más rápido de lo que se tarda en
encontrarles solución, e incluso el menos dañino puede ser fatal. Ni tan
siquiera sus creadores son capaces de pararlos. Por estas razones es vital
que los usuarios se mantengan informados acerca de los virus más actuales
y los antivirus más eficaces.
¿Cuáles son los principales tipos de virus?

a ) Los virus parásitos.


Infectan ficheros ejecutables o programas de la computadora. No
modifican el contenido del programa, pero funcionan de forma que el código
del virus se ejecuta en primer lugar. Estos virus pueden ser:
· De acción directa.
· Residentes.
Un virus de acción directa afecta a uno o más programas para infectar cada
vez que se ejecuta.
Un virus residente se oculta en la memoria del ordenador e infecta un
programa determinado, al ejecutar dicho programa.

b ) Los virus del sector de arranque inicial.


Estos virus se sitúan en la primera parte del disco duro o flexible, conocida
como sector de arranque inicial, y sustituyen los programas que almacenan
información sobre el contenido del disco o los programas de arranque. Estos
virus suelen difundirse mediante el intercambio de archivos en disquete o
pendrive.
c ) Los virus multipartitos.
Estos virus poseen las capacidades de los virus parásitos y de sector de
arranque inicial, y pueden infectar tanto ficheros como sectores de arranque.

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

d ) Los virus acompañantes.


Los virus acompañantes no modifican los ficheros, sino que crean un nuevo
programa con el mismo nombre que un programa legítimo y utilizan al
sistema operativo para que los ejecute.

e )Los virus de vínculo.


Estos modifican la forma en que el sistema operativo detecta los programas,
y lo usan para que ejecute primero el virus y luego el programa deseado.
Estos virus pueden infectar todo un directorio de un ordenador, y cualquier
programa al que se acceda en dicho directorio ejecutará el virus y se
infectará.

f ) Virus de macro.
Son un tipo de virus que ha cobrado importancia en el mundo de la
informática, lo curioso es que se transmiten mediante los ficheros de
extensión .DOC de Microsoft Word, estos virus son capaces de cambiar la
configuración de Windows, borrar ficheros del disco duro, enviar por correo
cualquier archivo por su cuenta, e incluso infectar nuestro disco duro con un
virus de fichero.
Estos virus no son muy complicados de diseñar como los virus
convencionales. Están codificados en forma de macros del Word y por tanto
puede infectar nada mas cargar un documento. Son diseñados con
wordBasic.

g ) Virus e-mail.
No existen como virus en si mismos. Puede ser que recibamos un
programa infectado pero solo pasará a tener efecto cuando lo ejecutemos
desde nuestro ordenador.
Uno de los correos de este tipo más famoso era el "Good Times".

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

h ) Caballos de Troya.

Un caballo de Troya aparenta ser algo interesante e inocuo, por


ejemplo un juego, pero cuando se ejecuta puede tener efectos destructivos.
No se replican a sí mismos como la mayoría de los virus.

i ) Bombas lógicas.

Una bomba lógica libera su carga activa cuando se cumple una


condición determinada, como cuando se llega una fecha u hora determinada
o cuando se teclea una combinación de letras.
j ) Gusanos.
Un gusano se limita a reproducirse, pero puede ocupar memoria de la
computadora y hacer que sus procesos vayan más lentos.

¿Cómo se transmiten?
Por lo general los virus se transmiten por disquete o al ejecutar
ficheros adjuntos a e-mail. También puede encontrarse con un virus
visitando páginas web que utilizan un componente llamado ActiveX o Java
Applet.

• PRIMERA PARTE
Contaminar win xp con el primer virus
Apagar la maquina y reiniciar el sistema
Aplicar su antivirus favorito e intentar remover el virus, en este caso utilizare
avast.

Escaneo en tiempo real de archivos


- Escaneo de memoria.
- Escudo de protección para red local

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

- Escudo de protección para Software P2P e IM


- Escudo de protección para clientes de correo
- Escudo de protección para TCP
- Actualizaciones automáticas
- Gratuito

este antivirus lo podemos obtener de la Web en su versión de prueba o


utilizar el antivirus que por defecto trae nuestro sistema operativo, la ventaja
que trae este antivirus es que al momento de su instalación cuando nuestro
equipo reinicia para guardar cambios por defecto el antivirus antes de cargar
el sistema hace un análisis profundo a nuestro equipo. ahora bien si no
deseamos que esta operación se realice damos esc y nuestro sistema
iniciara normalmente, y automáticamente buscara sus actualizaciones en la
red, por otro lado ‘para comenzar a escanear nuestro equipo y seguir
realizando las tareas que realizamos damos en el icono que aparece en el
escritorio luego esperamos a que verifique el estado del equipo y comenzara
a revisar los archivos de forma minuciosa

Cada vez que detecte un virus una vocecita chillona avisa al usuario que el
sistema esta contaminado y se dispara una ventana en donde se informa el
nombre del virus detectado

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

VIRUS ENCONTRADOS

En el análisis a mi equipo el antivirus detecto alrededor de 5 archivos


infectados casi 15 virus veamos las fichas de nuestros virus y la forma
correcta de eliminación

Trojan-Downloader.Win32.QQHelper.ay

Comportamiento TrojanDownloader
Detalles técnicos
Este programa troyano está diseñado para descargar otros adware y
programas troyanos por Internet.
El Troyano en sí es un archivo PE EXE de Windows y está escrito en. C++.
El tamaño del archivo es de 118784 bytes.

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

Daños
El troyano crea una identificación única, "WindowsUpdate" para señalar su
presencia en el sistema. El troyano detiene su proceso si ubica este
identificador.
El troyano lee los datos de la configuración de update.dat, que está
localizado en la misma carpeta del programa troyano. La configuración del
archivo contiene una lista de las acciones que el troyano realiza:
1. Ejecuta IEXPLORE con una dirección URL específica en la línea de
instrucciones.
2. Agrega parámetros a la clave de autoarranque del sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
3. Modifica los parámetros de la siguiente clave del registro:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"
4. Agrega nuevas direcciones URL a la carpeta 'Favorites'.
5. Descarga un archivo desde Internet.
6. Muestra ventanas pop-up que contienen páginas HTML. Estas
páginas HTML están en los archivos descargados desde Internet.
7. Inicia archivos ejecutables.
El troyano también crea las siguientes claves del registro:
[HKLM\Software\Lamp]
El troyano guarda en las subclaves del registro la información de la fecha y
hora en que el programa ha sido iniciado, la más reciente configuración
cargada y otros datos.
Instrucciones de eliminación
1. Termine el proceso del troyano.
2. Elimine el archivo original del troyano (la ubicación depende de la
manera en que el troyano se haya instalado en el ordenador de la
víctima)
3. Elimine la siguiente clave y subclaves:

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

[HKLM\Software\Lamp]
4. Actualice la base de datos de su antivirus y lleve a cabo un análisis
completo de su ordenador

Backdoor.Win32.SubSeven.c

Backdoor.Win32.SubSeven.c (
Win32:Delf-AMZ (AVAST

Virus.Win32.Gpcode.ak

Plataforma Win32
Detalles técnicos
Programa nocivo que cifra los ficheros del usuario en el ordenador infectado.
El gusano es una aplicación para Windows (archivo PE EXE) y tiene un
tamaño de 8030 bytes.
Daños
Después de lanzarse, el virus crea en la memoria del ordenador un
identificador único (mutex)_G_P_C_ para señalar su presencia en el sistema.
Después, el virus empieza a hacer un barrido de todos los disco lógicos en
busca de ficheros para cifrarlos. El virus cifra todos los ficheros del usuario
que tienen las siguientes extensiones:
7z abk abd acad
arh arj ace arx
asm bz bz2 bak
bcb c cc cdb
cdw cdr cer cgi
chm cnt cpp css
csv db db1 db2

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

db3 db4 dba dbb


dbc dbd dbe dbf
dbt dbm dbo dbq
dbx Djvu doc dok
dpr dwg dxf ebd
eml eni ert fax
flb frm frt frx
frg gtd gz gzip
gfa gfr gfd h
inc igs iges jar
jad Java jpg jpeg
Jfif jpe js jsp
hpp htm html key
kwm Ldif lst lsp
lzh lzw ldr man
mdb mht mmf mns
mnb mnu mo msb
msg mxl old p12
pak pas pdf pem
pfx php php3 php4
pl prf pgp prx
pst pw pwa pwl
pwm pm3 pm4 pm5
pm6 rar rmr rnd
rtf Safe sar sig
sql tar tbb tbk
tdf tgz txt uue
vb vcf wab xls
xml
Para cifrar los ficheros el virus usa un criptoalgoritmo integrado en el sistema
Windows (Microsoft Enhaced Cryptographic Provider v1.0). Los ficheros se
cifran mediante el algoritmo RC4. La llave de cifrado se cifra con una llave
abierta RSA de 1024 bits contenida en el cuerpo del virus.

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

El algoritmo RSA se basa en la división en dos llaves: la llave secreta y la


llave abierta. El principio de cifrado mediante RSA dice: para cifrar datos es
suficiente tener sólo la llave abierta. Pero para descifrar los datos hay que
tener la llave secreta.
El virus crea una copia cifrada del fichero que lleva el nombre original del
fichero y a cuya extensión se le añade _CRYPT. Ejemplo:
WaterLilles.jpg — fichero original
WaterLilles.jpg._CRYPT — fichero cifrado
Después, el fichero original se elimina.
En cada catálogo donde se hayan cifrado ficheros, el virus pone el fichero
read_me.txt, que tiene el siguiente contenido:
Tus ficheros están cifrados con el algoritmo RSA-1024 .
Para descifrar tus ficheros, tendrás que comprar nuestro software.
Para comprar nuestro software, escríbenos a: [censored]@yahoo.com

=== BEGIN ===


[key]
=== END ===
Los ficheros que se encuentran en el catálogo Program Files no se cifran. El
virus tampoco cifra los siguientes ficheros:
los que tienen atributo de “sistema” y “oculto”;
los que tienen un tamaño menor a 10 bytes;
los que tienen un tamaño mayor a 734003200 bytes
Al concluir su trabajo el virus crea un fichero VBS que elimina del equipo el
cuerpo del virus y muestra en la pantalla un MessageBox:

Durante su trabajo el virus no se inscribe en el registro del sistema.


NET-WORM WIN32.SAASSER.N
TIPO: worn

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

DESCRIPCION: un worm es un programa malicioso que es usado para la


intervención similar de virus en el que se replica el arma de ataque e
infección a programas y archivos. Un Works dejar la maquina vulnerablñe a
en la red pues deshabilita el sistema de seguridad

Trojan-Downloader.Banload
Name Trojan-Downloader.Banload
Type Malware
Type Description Malware ("malicious software")

of software with clearly malicious, hostile, or


harmful functionality or behavior and that is used
to compromise and endanger individual PCs as
well as entire networks.
USO DEL F-PROT
F-Prot. Es un antivirus ejecutable desde el DOS
Para usarlo como es lógico entramos al DOS de nuestro equipo cargamos el
CD ejecutable (lo encontramos en un hirens) con el comando D: f-prot.exe a
continuación aparecerá un menú

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

SCAN: START en esta opción podemos escoger el sitio especifico que


queremos examinar: disco locales, archivos o discos extraíbles
OPTIONS: escogemos el tipo de escaneo que queremos realizar y la
eliminación que vamos a aplicar que puede ser automática o atendida
INFORMATION: muestra la información de los virus encontrados en nuestro
equipo
QUIT: salir de F-PROT
Para escanear nuestro equipo le damos a la primera opción de f-Prot. en Star

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

info del sistema

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

Este proceso no es muy demorado así que no nos tomara mas de 5 minutos
analizar nuestro equipo con f-prot

F-PROT EJECUTADO DESDE WINDOWS


Como primera medida ejecutamos hirens desde Windows de forma
automatica y buscamos

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

Proceso de detección de virus

Mary stefhany soto luque


40056
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
MANTENIMIENTO DE HARDWARE

:
DAÑOS CAUSADOS AL EQUIPO
Luego de infectar el equipo y reiniciarlo note que el inicio del sistema
operativo era más lento que de costumbre además de presentar anomalías
cuando intentaba mover el Mouse y al ejecutar programas. Las ventanas
demoraban en cerrar cuando apague el equipo se demora en guardar sui
configuración
Solución

Para esta clase de virus solo fue necesaria la remoción con el antivirus avast
aunque f-prot no estaba actualizado pero de igual forma el equipo se
restablecio correctamente.

Mary stefhany soto luque


40056