Universidad Nacional ExperimentalFrancisco de Miranda

Área Ciencias de la EducaciónDpto. Informática y T. E.

U. C. Tópicos Especiales del Computador

VIR U S INFO R MATIC O S

Objetivo: Identificar el funcionamiento de los virus informáticos mediante los métodos de detección.

V IR U S IN F O R M A T IC O S

¿ Q U É E S U N V IR U S ?

Enfermedad Epidémica

Programa Malicioso

Bicho

Infección

¿ Q U É E S U N V IR U S ?

DEFINICION: Un virus es código informático que se adjunta a sí mismo a un programa o archivo para propagarse de un equipo a otro. Infecta a medida que se transmite. Los virus pueden dañar el software, el hardware y los archivos.

Alterar Datos y Archivos

Infectar Archivos

Infectar Archivos Eliminar Datos

Daños Hardware

Mostrar Mensajes

El potencial de daño de un virus no depende de su complejidad sino del entorno donde actúa (Software, Hardware o Archivos)

Finalidades

¿ Q U É c a r a c t e r ís t ic a t ie n e u n V IR U S in f o r m á t ic o ? Es Autoreproductor.

Re-orientan la lectura del disco para evitar ser detectado.

Modifican datos del directorio de archivos para evitar ser detectados.

Polimorfismo: Que mutan cambiando segmentos del código para parecer distintos en cada "nueva generación", lo que los hace muy difíciles de detectar y destruir.

Activados por un evento: puede ser el cambio de fecha, una determinada combinación de tecleo; un macro o la apertura de un programa asociado al virus (Troyanos).

Pueden poseer los siguientes módulos:

REPRODUCCIÓN:

Maneja rutinas de “parasitación de entidades ejecutables”. Toman el control del sistema para infectar otros programas propagándose así de un computador a otro a través de algunos de estos archivos.

ATAQUE:

Maneja rutinas específicas para causar daños adicionales.

Ejemplo: MICHELANGELO

(6 de Marzo: Vuelve inutilizable la información del D.D.)

DEFENSA:

Protege al virus para evitar la remoción del mismo así como su detección.

¿ c ó m o f u n c io n a u n v ir u s ?

Generalmente el usuario por desconocimiento ejecuta un programa que está infectado, donde el código del virus queda alojado en la RAM del computador, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del SO, infectando a los archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al del programa infectado y se graba en disco, con lo cual el proceso de replicado se completa.

¿ c ó m o s e p u e d e n c la s i f i c a r ?

Clasificación Básica

Acción Directa

Los que infectan a

Archivos Sector de Arranque(Boot)

Se clasifican en:

Residentes

Son activados al momento de ejecutar un fichero infectado y

no permanecen residente en memoria

Infectan a los demás programas a medida

que se van ejecutando ya que se

instalan en la memoria

Infectan a los demás programas a medida que se van ejecutando ya que

se instalan en la memoria. Infectan

sectores Boot Record, Master Boot, FAT y la

Tabla de Partición

¿ q u é e s u n g u s a n o ?

Para reproducirse hacen uso de algún medio de comunicación, como bien puede ser Internet (Correo Electrónico) o una red informática (Protocolos de Red).

Ejemplo: Sasser y Blaster

Se reproducen automáticamente y toman el control del equipo para transferir archivos haciendo copias completas de sí mismo para propagarse sin la intervención del usuario.

Suelen ocupar la memoria y poner lento el ordenador pero no se adhieren a otros archivos ejecutables.

GusanosJS/Qspace.APerl/Santy.AWin32/Hobot.CWin32/NanspyWin32/Protoride.VEntre otros....

Gusanos de InternetWin32/Sndog.ABagle.gen.zipBAT/Hobat.ABAT/KillAV.NJava/inqtana.BJS/TrojanDownloader.Tivso.CVBS/LoveLetterVBS/FreelinkVBS/Junkmail.AWin2K/CodeRedEntre otros....

¿ c ó m o s e p u e d e n c la s i f i c a r ?

Según la forma de actuar al momento de infectar pueden clasificarse en:

Gusanos Troyanos Macro Archivos Ejecutables

Polimórfico

ResidenteJokes Hoaxes

Cifrados

Mixtos

¿ q u é e s u n T R O YA N O ?

Programa informático que parece ser útil pero que realmente provoca daños haciendo creer al usuario que el contenido al que accede es genuino (salvapantallas, juegos, música, programas). Es decir, se activa a través de la apertura de un programa asociado al virus.

TroyanosBack OrificeBAT/Firewall.ADel System.EExploit/CodeBaseExeoHTML/Bankfraud.genJS/ToyanClicker.Agent.IJS/SeekerEntre Otros...

Puede existir combinaciones entre un Gusano y Troyano los cuales amenazan desarrollando capacidades de los gusanos con otras de los troyanos.

Ejemplo:

Gusanos y TroyanosWin32/Sohanad.NBO

Win32/Virut.O

¿ q u é e s u n M A C R O V IR U S ?Es un virus que se reproduce aprovechando la posibilidad de programación (macros), que tienen documentos de algunos programas.

Suelen alojarse en:• Documentos de Word,• Plantillas de Excel, • Presentaciones de PowerPoint, • Archivos de CorelDraw, entre otros.

Uno de los más famosos macrovirus fue el W97M/Melissa, un virus que, alojándose en documentos de Word, era capaz de reproducirse por correo electrónico.

Los Macrovirus forman el 80% de todos los virus y son los que han crecido rápidamente desde los últimos 5 años. Estos se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes, bajadas de Internet, transferencia de archivos y aplicaciones compartidas.

S abas í

Qu

?é

lo s h o a x e s y jo k e s

jo k e s

No son realmente virus, sino programas con distintas funciones, pero todas con un fin de diversión, nunca de destrucción, aunque pueden llegar a ser muy molestos.

H O A X E SSon llamados los virus falsos, Estos no son virus como tal sino mensajes con información falsa, normalmente son difundidos mediante el correo electrónico, a veces con fin de crear confusión entre la gente que recibe este tipo de mensajes o con un fin aún peor en el que quieren perjudicar a alguien o atacar al ordenador mediante ingeniería social.

Ejemplo de ellos son el mensaje de Carcinoma Cerebral de Jessica, Anabelle, entre otros, creados para producir congestionamiento en la web.

V IR U S D E A R C H IV O S Y E J E C U T A B L E S

Se activan cada vez que el archivo infectado es ejecutado, ejecutando primero su código malicioso y luego devuelve el control al programa infectado pudiendo permanecer residente en la memoria durante mucho tiempo después de ser activados. Un ejemplo de esto son los virus capaces de reproducirse en algunas versiones de Adobe Acrobat a través de archivos PDF.

VIRUS DE ARCHIVOS

Es el virus por excelencia; suelen infectar otros archivos ejecutables, como los .EXE, .COM y .SCR bajo Windows, incluyendo dentro del código original, las funcionalidades propias del virus. Entre ellos se pueden mencionar: Linux/Bi.A, Win32/Agent.ABS

VIRUS DE PROGRAMAS EJECUTABLES

A estos también se les conoce

como Virus de Programas

V ir u s m ix t o s y r e s id e n t e s

Por lo general son aquellos que infectan archivos con capacidades de gusanos y troyanos en mismo programa y son difundidos a través de la web.

Se mantiene en memoria cargándose desde el sector de arranque o como un servicio del sistema operativo. En muchos casos requieren que se reinicie el equipo con un disco de emergencia para evitar que se carguen en memoria.

m ix t o s r e s id e n t e s

Win32/Autorun.ABWin32/Mumawow.C

Win32/SpyWebmoner.NAM

JerusalemDiablo Boot

RipperStone, entre otros

V ir u s c i f r a d o s y p o l im ó r f ic o s

Sea más complicado su análisis y detección.

CIFRADOS

CIFRADO VARIABLECIFRADO FIJO

pueden hacer uso de

Misma Clave Clave Distinta

Cada copia cifrada se activa

Para que

Donde

Con una

p o l im ó r f ic o sEstos virus en su replicación producen una rutina de cifrado totalmente variable. Lo que realmente hace el virus es copiarse en memoria, se compila cambiando su estructura interna (nombres de variables, funciones, etc), y vuelve a compilarse, de manera que una vez creado nuevamente un espécimen del virus, es distinto del original. Los virus con polimorfismo avanzado son llamados metamórficos.

Ejemplo:

Win32/Bacalid

Win32/Evol.A.Gener1

Win32/Polip, entre otros...

¿ c ó m o p u e d e n s e r d e t e c t a d o s ?Actualmente la mejor forma de clasificar a todos los códigos malignos es con el nombre de malware o programas malignos, término que incluye virus, espías, troyanos, gusanos, spam, spyware, etc.

Por ello es necesario hacer uso de los antivirus para

detectarlos

Un antivirus es una aplicación o grupo de aplicaciones dedicadas a la prevención, búsqueda, detección y eliminación de programas malignos en los sistemas informáticos, notificando al usuario de

posibles incidencias de seguridad.

O t r o s m é t o d o s d e p r o t e c c ió n Filtros de Ficheros (Usando técnicas de Firewalls)

Copias de Seguridad

Reenvíos seguros de e-mails

Restauración Completa del sistema

Desconfiar en archivos desconocidos

Planificar los software a utilizar y programas utilitarios

Verificar las actualizaciones de los programas de protección instalados

Hacer uso de herramientas de seguridad informática como: Antivirus, cortafuegos, antiespías, antipop-ups, antispam

Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad

Evitar programas cuyo comportamiento respecto a la seguridad no sea idóneo

Mantener separación de Sistemas Operativos

AC TIVID AD D ID C TIC AÁ

¿Un Virus puede ser catalogado como un...?

Coloca tu Respuesta Aquí

Suelen infectar archivos de tipo *.COM o *.EXE

Coloca tu Respuesta Aquí

La herramienta más utilizada para la detección

de virus es:

Coloca tu Respuesta Aquí

Son aquellos que hacen uso del correo web y protocolos de red

para propagarse

Coloca tu Respuesta Aquí

• http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx

• http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico#column-one

• Manson, Marcelo. “¿Cómo nacieron los virus informáticos?” 1997. http://www.monografías.com/trabajos/estudiosvirus/estudiovirus.shtml. (Oct-2004)

• www.windowstimag.com/atrasados/2004/87-mail04/articulos/firma-3.asp

• http://mssimplex.com/gusanos.htm.

• http://www.enciclopediavirus.com/tipos/index.php

• http://www.monografias.com/trabajos5/virusinf/virusinf.shtml

C onsulta sobre e l te m a e n: