virus modelo
DESCRIPTION
VirusTRANSCRIPT
Y.M.S 1
VIRUS
I.I.I.I. CONCEPTO: CONCEPTO: CONCEPTO: CONCEPTO:
Programa de computador que se reproduce
a sí mismo e interfiere con el hardware, el
software de una computadora o con su sistema
operativo. Los virus están diseñados para
reproducirse y evitar su detección.
II.II.II.II. . FUNCIONAMIENTO. FUNCIONAMIENTO. FUNCIONAMIENTO. FUNCIONAMIENTO
Como cualquier otro programa informático, un virus debe ser ejecutado para que
funcione: es decir, el computador debe cargar el virus desde la memoria del ordenador
y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del
virus. La carga activa puede trastornar o modificar archivos de datos, presentar un
determinado mensaje o provocar fallos en el sistema operativo.
Existen otros programas informáticos nocivos similares a los virus, pero que no
cumplen ambos requisitos de reproducirse y eludir su detección. Estos programas se
dividen en tres categorías:
!"caballos de Troya
!"bombas lógicas
!"y gusanos
Un caballo de Troya aparenta ser algo interesante e inocuo, por ejemplo un
juego, pero cuando se ejecuta puede tener efectos dañinos.
2
VIRUS
Una bomba lógica libera su carga activa cuando se cumple una condición
determinada, como cuando se alcanza una fecha u hora determinada o cuando se
teclea una combinación de letras.
Un gusano se limita a reproducirse, pero puede ocupar memoria de la
computadora y hacer que sus procesos vayan más lentos.
III.III.III.III. CÓMO SE PRODUCEN LASCÓMO SE PRODUCEN LASCÓMO SE PRODUCEN LASCÓMO SE PRODUCEN LAS INFECCIONES INFECCIONES INFECCIONES INFECCIONES
Los virus informáticos se difunden cuando las
instrucciones —o código ejecutable— que hacen
funcionar los programas pasan de un computador a
otro. Una vez que un virus está activado, puede
reproducirse copiándose en discos flexibles, en
el disco duro, en programas informáticos
legítimos o a través de redes informáticas. Estas
infecciones son mucho más frecuentes en PC que en sistemas
profesionales de grandes computadoras, porque los programas de los PC se
intercambian fundamentalmente a través de discos flexibles o de redes informáticas
no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se
ejecutan. Por eso, si un computador está simplemente conectado a una red
informática infectada o se limita a cargar un programa infectado, no se infectará
necesariamente; sin embargo, los virus engañan frecuentemente al sistema operativo
de la computadora o al usuario informático para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta
adhesión puede producirse cuando se crea, abre o modifica el programa legítimo.
Cuando se ejecuta dicho programa, lo mismo ocurre con el virus. Los virus también
pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema
operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan
Y.M.S 3
VIRUS
automáticamente. En las redes informáticas, algunos virus se ocultan en el software
que permite al usuario conectarse al sistema.
IV.IV.IV.IV. ESPECIES DE VIRUS ESPECIES DE VIRUS ESPECIES DE VIRUS ESPECIES DE VIRUS
Existen seis categorías de virus:
1. LOS VIRUS PARÁSITOS:
Infectan ficheros ejecutables o programas de la computadora. No
modifican el contenido del programa huésped, pero se adhieren al
huésped de tal forma que el código del virus se ejecuta en primer lugar.
Estos virus pueden ser de acción directa o residentes. Un virus de acción
directa selecciona uno o más programas para infectar cada vez que se
ejecuta. Un virus residente se oculta en la memoria del ordenador e
infecta un programa determinado cuando se ejecuta dicho programa.
2. Los virus del sector de arranque:
Inicial residen en la primera parte del disco duro o flexible, conocida como
sector de arranque inicial, y sustituyen los programas que almacenan
información sobre el contenido del disco o los programas que arrancan el
ordenador. Estos virus suelen difundirse mediante el intercambio físico de
discos flexibles.
3. Los virus multipartitos:
Combinan las capacidades de los virus parásitos y de sector de arranque
inicial, y pueden infectar tanto ficheros como sectores de arranque inicial.
4. Los virus acompañantes:
4
VIRUS
No modifican los ficheros, sino que crean un nuevo programa con el
mismo nombre que un programa legítimo y engañan al sistema operativo
para que lo ejecute.
5. Los virus de vínculo
Modifican la forma en que el sistema operativo encuentra los programas, y
lo engañan para que ejecute primero el virus y luego el programa
deseado. Un virus de vínculo puede infectar todo un directorio (sección)
de una computadora, y cualquier programa ejecutable al que se acceda
en dicho directorio desencadena el virus.
6. Virus de ficheros de datos:
Infectan programas que contienen lenguajes de macros potentes
(lenguajes de programación que permiten al usuario crear nuevas
características y herramientas) que pueden abrir, manipular y cerrar
ficheros de datos, están escritos en lenguajes de macros y se ejecutan
automáticamente cuando se abre el programa legítimo. Son
independientes de la máquina y del sistema operativo.
V.V.V.V. TÁCTICTÁCTICTÁCTICTÁCTICAS ANTIVÍRICAS QUE SAS ANTIVÍRICAS QUE SAS ANTIVÍRICAS QUE SAS ANTIVÍRICAS QUE SE PUEDEN EMPLEARE PUEDEN EMPLEARE PUEDEN EMPLEARE PUEDEN EMPLEAR
1.- Preparación y prevención
Los usuarios pueden prepararse frente a
una infección viral creando regularmente
copias de seguridad del software original
legítimo y de los ficheros de datos
(BackUps), para poder recuperar el
sistema informático en caso necesario.
2.- Detección de virus (Antivirus)
Y.M.S 5
VIRUS
Para detectar la presencia de un virus pueden emplearse varios tipos de
programas antivírus, los cuales se pueden clasificar de la siguiente manera:
TIPOS DE PROGRAMAS ANTIVÍRUS Antivirus
Rastreadores: Antivirus de
Comprobación de Suma:
Antivirus Vigilantes:
Los Antivirus de rastreo pueden reconocer las características del código informático de un virus y buscar estas características en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los Antivirus de rastreo deben ser actualizados periódicamente para resultar eficaces. Algunos programas de rastreo buscan características habituales de los programas virales; suelen ser menos fiables.
Los únicos programas que detectan todos los virus son los de comprobación de suma, que emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y después de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado. Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca.
Los Antivirus de vigilancia detectan actividades potencialmente nocivas, como la sobreescritura de ficheros informáticos o el formateo del disco duro de la computadora. Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad se efectúa automáticamente una comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten.
Actualmente en el mercado peruano podemos encontrar Antivirus que combinan
varias de estas formas de detección de virus, ellos son:
!"The Hacker
!"PER ANTIVIRUS
!"MScAsfve
!"Scan
!"PANDA ANTIVIRUS
!"PC CLEAN
6
VIRUS
VI.VI.VI.VI. ESTRATEGIAS QUE EMPLESTRATEGIAS QUE EMPLESTRATEGIAS QUE EMPLESTRATEGIAS QUE EMPLEAN LOS PROGRAMADOREEAN LOS PROGRAMADOREEAN LOS PROGRAMADOREEAN LOS PROGRAMADORES DE S DE S DE S DE VIRUS VIRUS VIRUS VIRUS
Los autores de un virus cuentan con varias estrategias para escapar de los
programas antivirus y propagar sus creaciones con más eficacia. Así podemos
encontrar a:
1. Virus polimórficos o mutantes.-
Efectúan variaciones en las copias de sí mismos para evitar su
detección por los programas de rastreo.
2. Virus sigilosos.-
Se ocultan del sistema operativo cuando éste comprueba el lugar
en que reside el virus, simulando los resultados que
proporcionaría un sistema no infectado.
3. Virus infectores rápidos
No sólo infectan los programas que se ejecutan sino también los
que simplemente se abren. Esto hace que la ejecución de
programas de rastreo antivírico en un computador infectado por
este tipo de virus pueda llevar a la infección de todos los
programas del ordenador.
4. Virus infectores lentos
Infectan los archivos sólo cuando se modifican, por lo que los
programas de comprobación de suma interpretan que el cambio
de suma es legítimo.
5. Virus infectores escasos
Sólo infectan en algunas ocasiones: por ejemplo, pueden infectar
un programa de cada 10 que se ejecutan. Esta estrategia hace
más difícil detectar el virus.
6. Virus suicidas
Estos virus luego de infectar el sistema informático o algunos
archivos se autoeliminan para poder evitar la descodificación o
Y.M.S 7
VIRUS
identificaciòn de su código fuente o del mismo virus. Esta
estrategia hace más difícil aún detectar el virus.
VII.VII.VII.VII. CONTENCIÓN Y RECUPERCONTENCIÓN Y RECUPERCONTENCIÓN Y RECUPERCONTENCIÓN Y RECUPERACIÓN ACIÓN ACIÓN ACIÓN
Una vez detectada una infección viral, ésta puede contenerse aislando
inmediatamente los computadores de la red, deteniendo el intercambio de ficheros y
empleando sólo discos protegidos contra escritura. Para que un sistema informático
se recupere de una infección viral, primero hay que eliminar el virus. Algunos
programas antivirus intentan eliminar los virus detectados, pero a veces los resultados
no son satisfactorios. Se obtienen resultados más fiables desconectando la
computadora infectada, arrancándola de nuevo desde un disco flexible protegido
contra escritura, borrando los ficheros infectados y sustituyéndolos por copias de
seguridad de ficheros legítimos y borrando los virus que pueda haber en el sector de
arranque inicial.
VIII.VIII.VIII.VIII. ALGUNOS VIRUS CONOALGUNOS VIRUS CONOALGUNOS VIRUS CONOALGUNOS VIRUS CONOCIDOS CIDOS CIDOS CIDOS
1. Troyanos/Espias/BackDoors (6):
BackDoor-G.srv16, BackDoor-G.cli16, backDoor-G.cfg16,
BackDoor-G.dll16, Fono.troyano
2. Virus de Windows 32 bits:
Estos virus funcionan en plataforma de 32bits: Windows 95,
Windows 98 Windows NT, Windows 3.x con el subsistema
Win32s. Encontramos a: Beast.a, Emotion.4096.A, Maya.4153,
Spit, Undertaker.4883.
3. Virus de Windows 95/98 (4):
Estos virus infectan archivos ejecutables de 32bits (*.exe, *.scr,
*.dll, etc0) en Ambiente Windows 95 y Windows 98.
8
VIRUS
Desde la aparición del primer virus para Windows 95, el famoso,
Win95/Boza, los virus para esta plataforma han ido aumentando
su nivel de sofisticación. Desde Agosto/1998 se ha producido un
considerable incremento en el número de virus nuevos para estos
sistemas. Los nuevos virus cuentan con diversas capacidades:
Residencia bajo Windows (Ring0 y Ring3), estabilidad (no se
"cuelgan"), independencia de versión (funcionan en Windows 95,
OSR2, FAT32, Win98, etc), polimórfismo, stealth, envío
automático vía Internet, etc.
IX.IX.IX.IX. MACROVIRUS DE WORD 9MACROVIRUS DE WORD 9MACROVIRUS DE WORD 9MACROVIRUS DE WORD 95, 97, EXCEL 95/97/25, 97, EXCEL 95/97/25, 97, EXCEL 95/97/25, 97, EXCEL 95/97/2000:000:000:000:
Un macro virus es un virus que es escrito en un lenguaje-macro de una
aplicación y explota la habilidad de ejecutar macros automáticamente ante
cualquier evento como abrir, cerrar un documento, imprimir un archivo, enviar un
fax, etc.
A la fecha existen macro virus para las siguientes aplicaciones:
MS Word (más de 1800 virus en todo el mundo).
MS Excel (36 virus).
MS Access (3 virus)
Ami Pro (1 virus: AmiPro.GreenStripe)
Los macro virus más populares son los de MS WORD, estos virus
están escritos en el poderoso macro lenguaje WordBasic y se
mueven de PC en PC a través de documentos en cualquier
plataforma: Word para Windows 6.x y 7.x, Word para Macintosh,
Windows 95 y ambiente NT.
A diferencia de los virus comunes que trabajan bajo un sistema
operativo específico (DOS, WINDOWS 95, etc), los macrovirus
pueden infectar diversas plataformas como Dos, Windows 95,
MAC.
El hábitat de estos virus es ciertamente MSWord y no el sistema
operativo.
Y.M.S 9
VIRUS
A la fecha existen más de 700 macro virus Word en todo el
mundo.
Felizmente solamente 30/40 macro virus se han propagado por
todo el planeta.
Los Macro virus más comunes son: CAP, Wazzu, Npad, Concept,
Johnny, Goldfish, Appder, Wazzu.Claudia.
Las acciones que puede realizar un macro virus son numerosas,
existiendo ya macrovirus dañinos que borran los archivos del
sistema (Io.sys, Msdos.sys, Command.com), interrumpen los
procesos de impresión, cargan virus normales que afectan
archivos EXE, COM, y MBR, BOOT, colocan claves de acceso a
los documentos del usuario, etc.
Los síntomas comunes que presenta un sistema infectado con un macro virus Word son :
No se puede grabar el documento con otro formato. El documento tiene el atributo "Plantilla de documento (*.dot)" predefinido y no puede ser modificado. Es imposible salvar el documento en cualquier otro subdirectorio o disco usando el comando "Guardar como" o "Save as".
Algunos otros Macro virus son: Beast.A, Confused.B, Ded.B,
Ded.C, Ded.D, Fabi.15930.A, Git.A, Hopper.N, Hopper.O,
Hopper.Q, IIS.C, IIS.F, IIS.H, Jerk.B, MVSCS.Kit, Marker.D,
NSI.A, Poc.A, Proteced.A, Turn.A, VMPCK1.V, VMPCK1.BG,
Vacuity.intd, Walker.A, War.Troyano, ZMK.U, Confused.A.Intd,
Confused.B, Flyaway.A, Hopper.N, Hopper.O, Jerk.B, Laroux.CF,
Laroux.EA, Laroux.HJ, Laroux.HO, War.B.
X.X.X.X. VIRUS DE DOSVIRUS DE DOSVIRUS DE DOSVIRUS DE DOS
Entre ellos tenemos a:
ARIES.A 1530/hackerII, ADV-96, AIDS, Al Bondy, Anticmos,
Angelina, Antiexe Bad Sectors, Bootexe, Brain, Boza, ByWay,
Caco, Chernobyl, Crema Virus, Dark II, DelCemos, Diablo,
Diciembre 30, Empire, Format III, Helloween, Hi, IsraeliBoot,
10
VIRUS
Jerusalen, Junio 1530, Michel Angelo, Monkey, Narcosis, natas,
Noviembre 17, One Half, Predator, Stoned Espejo, tabulero,
Tecla, tequila, vacsinia, Wolfman, etc.
Y.M.S 11
VIRUS
TABLA DE CONTENIDO
I. CONCEPTO:_________________________________________________________________1 II. FUNCIONAMIENTO__________________________________________________________1 III. CÓMO SE PRODUCEN LAS INFECCIONES______________________________________2 IV. ESPECIES DE VIRUS _________________________________________________________3 V. TÁCTICAS ANTIVÍRICAS QUE SE PUEDEN EMPLEAR ___________________________4 VI. ESTRATEGIAS QUE EMPLEAN LOS PROGRAMADORES DE VIRUS ________________6 VII. CONTENCIÓN Y RECUPERACIÓN _____________________________________________7 VIII. ALGUNOS VIRUS CONOCIDOS _______________________________________________7 IX. MACROVIRUS DE WORD 95, 97, EXCEL 95/97/2000: ______________________________8 X. VIRUS DE DOS ______________________________________________________________9