ENID JULEANY ACEVEDO CONTRERAS

UNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DE COLOMBIA

INFORMÁTICA BÁSICA

VIRUS Y VACUNAS INFORMÁTICAS

DEFINICIÓN DE VIRUS INFORMÁTICO Es un programa de computador del tipo

Malware Tiene la capacidad de hacer daño Es autoreplicable y se propaga a otros

Computadores Infecta unidades ejecutables es decir archivo

o sector de las unidades de almacenamiento, dañando los códigos de instrucción que va a ejecutar el procesador

Se programa en lenguaje ensamblador

CARACTERÍSTICAS DE LOS VIRUS

Dañino: Destruye o altera la información del sistema Consume la memoria principal Disminuye el desempeño al consumir tiempo de

procesador Autorreproductor:

Hace copias de si mismo Subrepticio: utiliza varias técnicas para

evitar que el usuario se de cuenta de su presencia

Tamaño reducido para disimularse a primera vista Manipular ordenes del sistema operativo

Dañinos

Autorre

producto

res

SUBREPTICIO

FUNCIONAMIENTO DE LOS VIRUS

Los virus se elaboran en un lenguaje de bajo nivel denominado Assembler

Esto le permite tener control total de la máquina -al igual que lo hace el SO- si logra cargarse antes de cualquier otro programa.

Para dañar y/o infectar un equipo el virus el virus primero se une a una entidad ejecutable para poder ser cargado en la memoria principal y luego ejecutarse, virusear otros archivos e incluso ocultarse.

ETAPAS DE LOS VIRUS INFORMÁTICOS

COMPONENTES DE UN VIRUS

Según sus características un virus puede contener tres módulos principales: Módulo de reproducción. Maneja las rutinas

para infectar entidades ejecutables que asegurarán la subsistencia del virus, no solo en otras entidades ejecutables sino también en otros computadores.

Módulo de ataque. Es el módulo que contiene las rutinas de daño adicional o implícito y se activa por distintos eventos del sistema.

Módulo de defensa. Su principal objetivo es proteger el cuerpo del virus, intentando parecer invisible a los ojos del usuario y del antivirus.

Ataque

Defensa

Reproducción

MÉTODOS DE INFECCIÓNPara infectar un equipo se utilizan los siguientes métodos:

Añadidura o empalme. Inserción Reorientación Polimorfismo Sustitución Tunneling

Información técnica adicional disponible aquí

CLASIFICACIÓN DE LOS VIRUS

Es variada, ya que se pueden agrupar por: Entidad que parasitan (sectores de arranque

o archivos ejecutables) Grado de dispersión a nivel mundial Comportamiento Agresividad Técnicas de ataque Forma de ocultarse entre otros

A continuación se verán por comportamiento

CABALLOS DE TROYA Es un programa que se

oculta en otro programa legítimo, y que ataca al ejecutarse en el momento oportuno.

Existen diferentes caballos de troya que se centrarán en distintos puntos de ataque

Su objetivo es generalmente el de robar las contraseñas de archivos o de acceso a redes, incluida Internet

Generalmente se autodestruyen

CAMALEONES Son similares a los

Caballos de Troya, pero actúan como otros programas comerciales, en los que el usuario confía (realizando todas sus funciones), mientras que en realidad y de manera oculta ante el usuario están haciendo algún tipo de daño (por ejemplo almacenando usuarios y contraseñas)

VIRUS POLIMORFOS O MUTANTES

Poseen la capacidad de encriptar el cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus.

Solo deja disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse.

La rutina de desencripción es diferente cada vez que se ejecuta.

Una vez desencriptado el virus se aloja en algún archivo del computador.

VIRUS SIGILOSO O STEALTH El virus intenta

permanecer oculto escondiendo todas las modificaciones que hace.

Envía información falsa de tamaño y lectura al Sistema Operativo.

Observa la forma en que el SO trabaja con los archivos y con el sector de booteo.

Subvirtiendo algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra la zona que infectada.

VIRUS LENTOS

Infectan solamente los archivos que el usuario hace ejecutar por el SO.

Simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan.

Ataca directamente al programa antivirus incluido en el computador.

Buscan el archivo de definición de virus y lo eliminan, imposibilitando al antivirus la identificación de sus enemigos

RETRO-VIRUS O VIRUS ANTIVIRUS

MULTIPARTITOS

Atacan a los sectores de arranque y a los ficheros ejecutables.

Su nombre está dado porque infectan las computadoras de varias formas.

No se limitan a infectar un tipo de archivo ni una zona de la unidad de disco rígido

Alteran el contenido de los archivos de forma indiscriminada.

Generalmente uno de estos virus sustituye el programa ejecutable por su propio código.

Son muy peligrosos porque se dedican a destruir completamente los datos que puedan encontrar.

VIRUS VORACES

CONEJO Se presentaba en

ambientes universitarios con procesamiento multiusuario a través de terminales con niveles de prioridad.

Los estudiantes tenían prioridad mínima, por lo crearon un programa que se colocaba en la cola de espera y cuando llegaba su turno se ejecutaba haciendo copias de sí mismo, hasta consumir toda la memoria del computador central

BOMBAS DE TIEMPO Son virus convencionales

y pueden tener una o más de las características de los demás tipos de virus, su diferencia está dada por el trigger de su módulo de ataque que se disparará en una fecha determinada.

No siempre pretenden crear un daño específico. Generalmente muestran mensajes en la pantalla

en alguna fecha importante para el programador, a excepción del virus Michel Angelo, que daña la tabla de particiones el 6 de marzo.

MACRO-VIRUS Son pequeños programas escritos en el

lenguaje propio (conocido como lenguaje script o macro‑lenguaje) de un programa

Los macro‑virus representan una de las amenazas más importantes para las redes y ordenadores. Son los virus que más se están extendiendo a través de Internet.

Su máximo peligro está en que son completamente independientes del sistema operativo o de la plataforma.

No son programas ejecutables.

MACRO-VIRUS Son escritos para que se extiendan dentro

de los documentos que crea el programa infectado.

Así, se pueden propagar a otros equipos cuando los usuarios intercambien documentos.

Alteran de tal forma la información de los documentos infectados que su recuperación resulta imposible

Los programas más afectados son los de Microsoft

GUSANOS O WORMS Es un conjunto de

programas, que tiene la capacidad de extender un segmento de él (Network Worms) o su propio cuerpo (Host Computer Worm) a otros computadores conectados a una red.

Dentro de los gusanos más famosos se encuentran: Internet Worm, Happy99, MELISSA VIRUS, Y Bubbleboy Worm

VIRUS ESPÍA El software espía, o spyware, es una

aplicación con una función visible (una barra de tareas, un juego) y otra oculta.

Recolecta sin consentimiento estadísticas de uso de la aplicación y de sitios visitados, y suele instalar nuevas aplicaciones sin autorización, que podrían ser dañinas para el equipo.

VIRUS FALSO O HOAXLos denominados virus falsos en

realidad no son virus, sino cadenas de mensajes distribuídas a través del correo electrónico y las redes

Estos mensajes normalmente informan acerca de peligros de infección de virus, los cuales mayormente son falsos y cuyo único objetivo es sobrecargar el flujo de información a través de las redes y el correo electrónico de todo el mundo. el equipo.

VIRUS DE ENLACE O DIRECTORIO

Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y como consecuencia no es posible localizarlos y trabajar con ellos.

SÍNTOMAS MÁS COMUNES DE VIRUS (I)

Incluso el mejor software antivirus puede fallar a la hora de detectar un virus. El conocimiento sobre cuáles son posibles síntomas de virus informáticos puede minimizar el problema:

Los programas comienzan a ocupar más espacio de lo habitual.

Aparecen o desaparecen archivos.

Cambia el tamaño de un programa o un objeto.

Aparecen mensajes u objetos extraños en la pantalla.

SÍNTOMAS MÁS COMUNES DE VIRUS (II)

El disco trabaja más de lo necesario.

Los objetos que se encuentran en la pantalla aparecen ligeramente distorsionados.

La cantidad de espacio libre del disco disminuye sin ningún tipo de explicación

Se modifican sin razón aparente el nombre de los ficheros.

No se puede acceder al disco duro.

¿CÓMO PROCEDER ANTE UNA INFECCIÓN?

Si el antivirus está actualizado y puede atacar el virus, se ejecuta solo y únicamente pide tomar una decisión.

Si es necesario hacerla de forma manual, es importante contar con el CD o DVD de inicio del sistema operativo limpio de virus para poder arrancar el computador e informarse bien sobre como eliminar el virus

PROGRAMAS ANTIVIRUS Son programas con fines comerciales que

combaten con cierta eficacia los virus que atacan los sistemas informáticos.

Deben adecuarse al sistema del usuario y estar correctamente configurado según los dispositivos de hardware que se tengan.

Si se tiene conexión a redes es necesario que el antivirus tenga la capacidad de detectar virus de redes.

FUNCIÓN DE LOS PROGRAMAS ANTIVIRUS (I)

Los antivirus reducen sensiblemente los riesgos de infección pero cabe reconocer que no son eficaces al 100% por lo que se deben utilizar acompañados de otras formas de prevención.

La función primordial del antivirus es detectar la presencia de un posible virus es decir es reconocer la presencia de un accionar virósico en el sistema de acuerdo a las características de los tipos de virus

FUNCIÓN DE LOS PROGRAMAS ANTIVIRUS (II)

La segunda función es Identificarlo, que consiste en poder reconocer qué tipo de virus es dentro de los cargados en la base de datos.

La última función que no siempre se puede realizar es la de eliminación o erradicación que implica extraer el código del archivo infectado y reparar de la mejor manera el daño causado en este.

ALGUNOS TIPOS DE VACUNAS CA Sólo detección:

Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.

CA Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos.

CA Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus

CB Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados.

CB Comparación de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo.

EJEMPLOS DE PROGRAMAS ANTIVIRUS

1. Avira 99,2%2. GData 99,1%3. Symantec 97,9%4. McAfee Enterprise

97,8%5. Avast 97,3%6. TrustPort 97,2%7. Kaspersky 95,1%8. AVG 94,3%9. ESET 93%

10. BitDefender 92,4%11. F-Secure 91,1%12. eScan 91%13. Sophos 90,1%14. Norman 88,5%15. Microsoft 84,6%16. McAfee Home

84,4%17. VBA32 71,9%

Gracia

s ….!!

!!

ENTIDADES EJECUTABLES

Entre las entidades ejecutables más importantes se destacan:Los sectores de arranque de los discos de

almacenamiento magnéticos, ópticos o magneto-ópticos (MBR, BR) (son fundamentales para garantizar que el virus será cargado cada vez que se encienda el computador)

Los archivos ejecutables de DOS (.exe, .com, entre otros)

Las librerías o módulos de programas (.dll, .lib, .ovl, .bin, .ovr).