INSTITUTO DE EDUCACIÓN ALLENDE

INFORMÀTICA

Actividad: Organizador gràfico de malware.

Docente: Yannik Naim Marcos Salazar

Alumno: Luis Gabriel Tamez Valdés
Matrícula: 09093

Allende N. L. a 19 de octubre de 2022.

Introducción:
En esta actividad vamos a hablar sobre los Malware. Pero para comenzar tenemos que saber su definición la cual es la siguiente:
Malware es un término el cual abarca cualquier tipo de software malicioso diseñado para dañar o explotar cualquier dispositivo,
servicio o red programable. Como es de imaginar los delincuentes cibernéticos lo usan para extraer datos que pueden utilizar como
chantajes hacia las víctimas para obtener ganancias financieras. Dichos datos pueden variar desde datos financiero, hasta
registros de atención médica, correos electrónicos personales y contraseñas. La variedad de información que puede verse
comprometida se ha vuelto limitada.
Pero en fin, en esta actividad hablaremos sobre las características del Virus Chernobyl, el gusano Blaster y el virus Disk Killer.
  Fue programado para conmemorar el desastre nuclear en la planta de la ex Unión
Soviética el 26 de abril.

 Se denomina popularmente Chernobyl debido a que se activa el 26 de abril, aniversario del

desastre de la central nuclear, también se conoce como CIH, CIHV o CIH.C. Ha sido uno
de los virus más peligrosos últimamente, dañando ordenadores en todo el mundo.

 Fue descubierto en junio de 1998 en Taiwán y es un virus que infecta archivos ejecutables
y puntocom de los sistemas operativos Windows 95/98/NT. Modifica o corrompe toda la
información contenida en la BIOS (software que inicializa y maneja las relaciones y flujo de
datos entre los dispositivos del sistema, incluyendo el disco duro, puertos serial, paralelo y
Malware: Virus Chernobyl teclado) y sobrescribe en la misma. Esto puede provocar que un ordenador no arranque
(CIH): cuando se enciende el switch de la corriente.

 Es un virus de altísima capacidad destructiva, durante el año 2000 la empresa de

Recuperación de Datos Informáticos, Recovery Labs, recibió en sus laboratorios durante el
periodo Chernobyl (del 26 de abril al 30 de mayo) un 58,75 % de dispositivos dañados por
Chernobyl que mostraban grandes pérdidas de información. En el 2001, el porcentaje
ascendió a más del 80%.

 Existen empresas como Symantec, Panda Software, McAfee y Trend Micro, que disponen
de sistemas antivirus válidos para el CIH.

 Chernobyl cuenta con variaciones que pueden activarlo el 26 de cada mes.

  Es un gusano de red de Windows el cual se aprovecha de una vulnerabilidad del
servicio DCOM para infectar a otros sistemas de forma automática.

 Fue detectado y liberado el 11 de agosto de 2003.

 Jeffrey Lee Parson creo la variante B del gusano Blaster y fue arrestado el 29 de agosto
de 2003.

 Su método de infectar a los sistemas vulnerables es parecido al que usó el gusano

Sasser, y además deja una puerta trasera que permite la intrusión a terceros, haciendo
que la máquina infectada sea fácilmente atacada por otros virus, accesos remotos no
autorizados. El gusano se disemina al explotar un desbordamiento de buffer en el
servicio DCOM para los sistemas operativos Windows afectados, para los cuales se
liberó un parche un mes antes en MS03-026 y luego en MS03-039.

 Está programado para realizar un ataque organizado de denegación de servicio al

puerto 80 de "windowsupdate.com". sin embargo, los daños fueron mínimos debido a
Blaster (Lovesan que el sitio era redirigido a "windowsupdate.microsoft.com".
Malware:
o LoveSan 3a1):
 El gusano tiene en su código los siguientes mensajes: ¡¡I just want to say LOVE YOU
SAN!! El segundo: ¿Billy Gates why do you make this possible? ¡Stop making money
and fix your software! Es un mensaje a Bill Gates, el fundador de Microsoft, y el objetivo
del gusano.

 El gusano también crea la siguiente entrada en el registro para que se inicie cada vez
que se inicia Windows: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \
CurrentVersion \ Run \ windows auto update = msblast.exe.

 Sólo puede propagarse en los sistemas que ejecutan Windows 2000 o Windows XP (32
bits) puede causar inestabilidad en el servicio RPC en sistemas con Windows NT,
Windows XP (64 bits) y Windows Server 2003.
 No se propaga en Windows Server 2003, ya que este se ha compilado con el
modificador /GS, que detecta el desbordamiento de búfer y cierra el proceso RPCSS.
 En algunas versiones de Windows, puede generar inestabilidad del sistema, e incluso
una ventana que advierte al usuario de que se debe reiniciar el ordenador.
 Es un virus del sector de arranque de 1989. El código del virus real se escribe en otros
sectores, el sector de arranque o MBR solo se infecta con el encabezado del programa y un
enlace. Disk Killer puede provocar la pérdida de datos en máquinas MS-DOS , pero esto es
reversible en la mayoría de los casos.
Se completó el 1 de abril de 1989. El autor desconocido usó el seudónimo Computer Ogre. La
revista británica Virus Bulletin afirma en su edición de febrero de 1990 que el virus se aisló por
primera vez en junio de 1989 en los Estados Unidos.
Las infecciones de Disk Killer no se informaron con demasiada frecuencia en los países
DACH en comparación con otros virus de la época. Sin embargo, dado que el nombre "Disk
Killer" hace evidentes los efectos destructivos del virus, el programa malicioso se volvió muy
conocido y temido. Aparte de los informes periódicos del Reino Unido, el virus no ha sido
demasiado común en Europa. Era mucho más común en los EE. UU. y Asia.
Según el fabricante de software Kaspersky Lab, Disk Killer fue el primer malware conocido
cuya rutina de daño podía cifrar archivos.
Disk Killer Es un virus residente en memoria. Afecta a IBM PC/AT y computadoras compatibles y
Malware: (asesino de depende de DOS compatibles con PC , como MS-DOS , dependiendo de la plataforma . Sólo
discos): puede infectar el sistema de archivos FAT .
El código del virus tiene una longitud de 2560 bytes y consume ocho kilobytes de memoria del
sistema cuando se ejecuta. El comando MS-DOS no muestra Disk Killer  MEM , la memoria
convencional ya se reduce antes de que se cargue el sistema operativo. Por lo tanto, un
sistema infectado solo tiene 632 kilobytes de RAM convencional.
Se desconoce qué lenguaje de programación de alto nivel se usó antes de
la compilación. Disk Killer utiliza las siguientes interrupciones :  Int 13   Function 2 ,  Int 9 y  Int
8.
El virus no utiliza técnicas furtivas o polimorfas para disfrazarse del software antivirus o del
usuario.
Conclusión:
Como ya lo sabemos estos y cualquier tipo de virus creados a lo largo de los años, todos tienen como propósito principal afectar al
sistema u ordenador con la finalidad de robar información personal o de empresas y así obtener ganancias ya sea al obtener
información privada o al obtener ganancias económicas al pedir rescates sobre dicha información.

Bibliografía:
https://de.wikipedia.org/wiki/Disk_Killer
https://www.recoverylabs.com/ayuda-y-soporte/data-recovery-white-papers/informes-de-investigacion/virus-chernobyl/
https://www.ecured.cu/Blaster_(virus)
https://www.mcafee.com/es-mx/antivirus/malware.html#:~:text=Malware%20es%20un%20t%C3%A9rmino%20que,v
%C3%ADctimas%20para%20obtener%20ganancias%20financieras.