VIRUS y AntivirusPor: Lina María Pérez Charry William Javier Montealegre

• Es un programa que se copia automáticamente y tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario, los virus se replican y ejecutan por sí mismos reemplazando archivos ejecutables por otros infectados con el código de este, pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos.

¿Qué es un virus?¿Qué es un virus?

Hacia finales de los años 60, Douglas McIlory, Victor Vysottsky y Robert Morris idearon un juego al que llamaron Core War (Guerra en lo Central, aludiendo a la memoria de la computadora), que se convirtió en el pasatiempo de algunos de los programadores de los laboratorios Bell.

• El juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo. A partir de una señal, cada programa intentaba forzar al otro a efectuar una instrucción inválida, ganando el primero que lo consiguiera.

• Al término del juego, se borraba de la memoria, ya que estas actividades eran severamente sancionadas por los jefes. De esta manera surgieron los programas destinados a dañar en la escena de la computación.

HISTORIAHISTORIA

TIPOS DE VIRUS• Bomba Lógica (Son virus que permanecen ocultos (residentes)

en memoria .

• Gusano o Worm (Su objetivo es ir consumiendo la memoria del sistema.

• Virus de Acción Directa (Al ejecutarse, el virus trata crear copias de sí mismo)

• Virus de Sobreescritura (dañar la información contenida en los archivos que infecta, haciendo que estos queden inservibles posteriormente)

• Virus Residentes (comprobar si se cumplen todas las condiciones para atacar (fecha, hora,... etc.)

• Troyanos (suelen ser los más peligrosos, ya que no hay muchas maneras de eliminarlos. Funcionan de modo similar al caballo de Troya; ayudan al atacante a entrar al sistema infectado, haciéndose pasar como contenido genuino (salvapantallas, juegos, música).

CLASIFICACION DE LOS CLASIFICACION DE LOS VIRUSVIRUS

Los virus se clasifican por el modo en que actúan infectando

la computadora:

• Programa: Infectan archivos ejecutables tales

como .com / .exe / .ovl / .drv / .sys / .bin

• Boot: Infectan los sectores Boot Record, Master Boot, FAT

y la Tabla de Partición.

• Múltiples: Infectan programas y sectores de "booteo".

• Bios: Atacan al Bios para desde allí reescribir los discos

duros.

• Hoax: Se distribuyen por e-mail y la única forma de

eliminarlos es el uso del sentido común.

CARACTERÍSTICAS DE LOS VIRUSCARACTERÍSTICAS DE LOS VIRUS• El virus re-orienta la lectura del disco para evitar ser El virus re-orienta la lectura del disco para evitar ser

detectado. detectado. • Los datos sobre el tamaño del directorio infectado son Los datos sobre el tamaño del directorio infectado son

modificados en la FAT, para evitar que se descubran bytes modificados en la FAT, para evitar que se descubran bytes extra que aporta el virus.extra que aporta el virus.

• encriptamiento: el virus se encripta en símbolos sin sentido encriptamiento: el virus se encripta en símbolos sin sentido para no ser detectado, pero para destruir o replicarse DEBE para no ser detectado, pero para destruir o replicarse DEBE desencriptarse siendo entonces detectable;desencriptarse siendo entonces detectable;

• polimorfismo: mutan cambiando segmentos del código para polimorfismo: mutan cambiando segmentos del código para parecer distintos en cada "nueva generación", lo que los hace parecer distintos en cada "nueva generación", lo que los hace muy difíciles de detectar y destruir; muy difíciles de detectar y destruir;

• Gatillables: se relaciona con un evento que puede ser el Gatillables: se relaciona con un evento que puede ser el cambio de fecha, una determinada combinación de tecleo; un cambio de fecha, una determinada combinación de tecleo; un macro o la apertura de un programa asociado al virus.macro o la apertura de un programa asociado al virus.

Según sus características un Según sus características un virus puede contener tres virus puede contener tres

módulos principalesmódulos principales

•Módulo de reproducciónMódulo de reproducción. .

•Módulo de ataqueMódulo de ataque. .

•Módulo de defensaMódulo de defensa. .

DAÑOS DE LOS VIRUS• DAÑOS TRIVIALES: Virus FORM (En el día 18 de cada

mes cualquier tecla que presionemos hace sonar el beep.

• DAÑOS MENORES :JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente.

• DAÑOS MAYORES: DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase (Eddie vive … en algún lugar del tiempo).

• DAÑOS ILIMITADOS: Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero.. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.

VIRUS PARA SERVIDORESVIRUS PARA SERVIDORES

Win32.SQLSlammerWin32.SQLSlammer•Este gusano afecta a servidores que ejecuten Microsoft SQL Server o Microsoft Este gusano afecta a servidores que ejecuten Microsoft SQL Server o Microsoft SQL Desktop Engine (MSDE).Utiliza en su propagación paquetes de 376 bytes SQL Desktop Engine (MSDE).Utiliza en su propagación paquetes de 376 bytes enviados al puerto 1434 UDP (SQL Server Resolution Service).enviados al puerto 1434 UDP (SQL Server Resolution Service).

Permite a los sistemas afectados, enviar el paquete dañino a otras máquinas con Permite a los sistemas afectados, enviar el paquete dañino a otras máquinas con SQL Server causando la ralentización, o incluso la caída, de la red afectada.SQL Server causando la ralentización, o incluso la caída, de la red afectada. SOLUCIONSOLUCION•Es conveniente bloquear el puerto 1434 UDP donde no haga falta, de esta forma Es conveniente bloquear el puerto 1434 UDP donde no haga falta, de esta forma se evita la propagación de la infección. se evita la propagación de la infección.

Si se tiene un sistema con SQL Server o MSDE afectado por la vulnerabilidad Si se tiene un sistema con SQL Server o MSDE afectado por la vulnerabilidad debe parchearlo urgentemente.debe parchearlo urgentemente.

SCOB y su ataque a servidores de SCOB y su ataque a servidores de InternetInternet

• Pequeño archivo conteniendo un código en JavaScript para infectar Pequeño archivo conteniendo un código en JavaScript para infectar estos sitios, alterando la configuración de los servidores para que los estos sitios, alterando la configuración de los servidores para que los mismos agreguen dicho script a todas los archivos que son solicitados mismos agreguen dicho script a todas los archivos que son solicitados por los usuarios (HTML, CSS, GIF, JPG, etc.).por los usuarios (HTML, CSS, GIF, JPG, etc.).

• Las instrucciones del Javascript descargan y ejecutan desde otro sitio Las instrucciones del Javascript descargan y ejecutan desde otro sitio de Internet, ubicado en Rusia.de Internet, ubicado en Rusia.

• El código en javascript utiliza una vulnerabilidad conocida del Microsoft El código en javascript utiliza una vulnerabilidad conocida del Microsoft Internet Explorer para descargarlos y ejecutarlos, sin que ninguna Internet Explorer para descargarlos y ejecutarlos, sin que ninguna advertencia sea mostrada al usuario.advertencia sea mostrada al usuario.

•

SÍNTOMAS TÍPICOS DE UNA INFECCIÓN

• El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.

• El tamaño del programa cambia sin razón aparente. • El disco duro se queda sin espacio o reporta falta de espacio sin que

esto sea necesariamente así. • En Windows aparece "32 bit error". • La luz del disco duro en la CPU continua parpadeando aunque no se

este trabajando ni haya protectores de pantalla activados. • No se puede "bootear" desde el Drive A, ni siquiera con los discos de

rescate. • Aparecen archivos de la nada o con nombres y extensiones extrañas. • Suena "clicks" en el teclado.• En la pantalla del monitor pueden aparecen mensajes absurdos tales

como "Tengo hambre. Introduce un Big Mac en el Drive A".

Métodos de contagio• Existen dos grandes clases de contagio. El usuario, en un

momento dado, ejecuta o acepta de forma inadvertida la instalación del virus. El programa malicioso actúa replicándose a través de las redes.

• Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:

• Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto).

• Ingeniería social, mensajes como ejecute este programa y gane un premio.

• Entrada de información en discos de otros usuarios infectados.

• Instalación de software pirata o de baja calidad.

Reglas para proteger los equipos y conexionesReglas para proteger los equipos y conexiones

1.- Instale un cortafuegos: un cortafuegos o 'firewall' es un software destinado a garantizar la seguridad en sus comunicaciones vía Internet. El cortafuegos bloquea las entradas sin autorización a su ordenador y restringe la salida de información. Instale un software de este tipo antes de conectar su equipo a Internet o a otras redes.

2.- Use el Antivirus: antes de conectar su ordenador a Internet, compruebe que cuenta con un antivirus instalado. Este antivirus puede estar incluido en las aplicaciones propias de su PC, o ser un servicio más de su proveedor de Internet.

3.- Haga copias de seguridad. Es la medida más sensata para asegurarse que no pierde información que pueda verse afectada por algún virus.

4.- Actualice su sistema operativo y el software: compruebe Actualice su sistema operativo y el software: compruebe que el sistema operativo que instale en su ordenador es la que el sistema operativo que instale en su ordenador es la última versión del mismo, de tal forma que incluya todas las última versión del mismo, de tal forma que incluya todas las aplicaciones de seguridad previstas. aplicaciones de seguridad previstas.

5.-Tenga cuidado con los mensajes que le soliciten 5.-Tenga cuidado con los mensajes que le soliciten contraseñas y nombres de usuario. El 2004 ha registrado un contraseñas y nombres de usuario. El 2004 ha registrado un importante incremento de los casos de 'phising' (envíos en importante incremento de los casos de 'phising' (envíos en forma de correo electrónico que le piden sus claves o forma de correo electrónico que le piden sus claves o contraseñas para acceder de forma fraudulenta a su cuenta contraseñas para acceder de forma fraudulenta a su cuenta bancaria). Hay que tener en cuenta que ninguna entidad bancaria). Hay que tener en cuenta que ninguna entidad bancaria emplea ese método. bancaria emplea ese método.

6.- Utilice software legal: es seguro, en tanto que las copias 6.- Utilice software legal: es seguro, en tanto que las copias piratas tienen grandes riesgos ante problemas de piratas tienen grandes riesgos ante problemas de seguridad. seguridad.

7. 7. Vigile su correo electrónico:Vigile su correo electrónico: desconfíe de aquellos correos desconfíe de aquellos correos que le lleguen en otros idiomas. Desconfíe de los correos de que le lleguen en otros idiomas. Desconfíe de los correos de procedencia desconocida, o que ofrecen productos mágicos, procedencia desconocida, o que ofrecen productos mágicos, vacaciones gratuitas, o fotos que no debe dejar de ver. vacaciones gratuitas, o fotos que no debe dejar de ver. Verifique el origen de los correos electrónicos: es habitual en Verifique el origen de los correos electrónicos: es habitual en los virus actuales 'robar' la libreta de correo de algún amigo los virus actuales 'robar' la libreta de correo de algún amigo suyo. Si recibe un mensaje de un conocido con un 'Asunto' suyo. Si recibe un mensaje de un conocido con un 'Asunto' poco habitual en él, compruebe su procedencia real antes de poco habitual en él, compruebe su procedencia real antes de abrirlo. abrirlo.

8. 8. Desconfíe de los mensajes repetidos:Desconfíe de los mensajes repetidos: si recibe dos o más si recibe dos o más correos con remites diferentes y un mismo asunto, puede correos con remites diferentes y un mismo asunto, puede tratarse de un virus que disimula su origen. tratarse de un virus que disimula su origen.

9. 9. Evite las ventanas indeseadas:Evite las ventanas indeseadas: si no desea ver las si no desea ver las ventanas publicitarias emergentes que en ocasiones se ventanas publicitarias emergentes que en ocasiones se disparan al navegar por Internet,.disparan al navegar por Internet,.

10.- Compras a través del comercio electrónico: Lo más recomendable a la hora de utilizar el comercio electrónico es que la web donde se realicen las compras online esté dotada de medidas de seguridad certificadas y reconocidas. El Centro de Alerta sugiere utilizar una única tarjeta para comprar en Internet y mantenerla con el saldo mínimo necesario. Es importante informarse periódicamente de los movimientos bancarios registrados en las cuentas.

11.- Manténgase informado: la información es la mejor vacuna. Esté atento a los medios de comunicación y visite las páginas del Centro de Alerta Antivirus de forma habitual.

ANTIVIRUS

La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora.

Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva.

Actualización de Antivirus

Los programas y aplicaciones antivirus actualizan constantemente sus ficheros de definición de virus con el fin de ser capaces de proteger los sistemas de las últimas amenazas víricas identificadas.

Lo más usual (y aconsejable), es activar la opción de actualización automática que poseen la gran mayoría de los antivirus, de modo que podamos despreocuparnos de si tenemos o no el último fichero de definición de virus en nuestra aplicación.

¿Cómo ayudan los ¿Cómo ayudan los antivirus a proteger un antivirus a proteger un

equipo?equipo?

• Los antivirus examinan el correo electrónico y otros archivos, en busca de virus. Si se detecta alguno de estos elementos, el programa antivirus lo pone en cuarentena o lo elimina totalmente antes de que pueda dañar el equipo y los archivos.

TECNICAS DE DETECCION

• SCANNING: Esta técnica consiste en revisar el código de todos los archivos contenidos en la unidad de almacenamiento-fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de código que puedan pertenecer a un virus informático. Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de búsqueda.

• POSTERIORI

• HEURISTICA: Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc.

• Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchisimas cosas que no son virus.

• CHEQUEADORES DE INTEGRIDAD: consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables

MODELO ANTIVIRUS

• La estructura de un programa antivirus, está compuesta por dos módulos principales:

• Módulo de control: Posee la técnica verificación de integridad que posibilita el registro de cambios en los archivos ejecutables y las zonas críticas de un disco rígido. Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas.

• El módulo de control también posee una administración de recursos para efectuar un monitoreo de las rutinas a través de las cuales se accede al hardware de la computadora .

• Módulo de respuesta: la función alarma se encuentra incluida en todos los programas antivirus y consiste en detener la acción del sistema ante la sospecha de la presencia de un virus informático, e informar la situación a través de un aviso en pantalla.

ANTIVIRUSDirección electrónica: support@sophos.com Admite el envío de

ficheros tanto originales como comprimidos. Ofrece un servicio rápido y eficiente.

Dirección electrónica: soporte@persystems.com El envío se realiza mediante un formulario en el navegador (enlace accesible desde el icono), al que se debe anexar el fichero infectado en formato .zip.

Dirección electrónica: virus_doctor@trendmicro.es Analiza ficheros sospechosos ejecutables, de Office o correos electrónicos; que hay que remitir en formato .zip y protegidos con la contraseña "virus".

Dirección electrónica: virus@pandasoftware.es Se realiza el envío de los ficheros sospechosos en cualquier formato (original o comprimido).

Dirección electrónica: ayuda@nod32-es.com Se realiza el envío de los ficheros sospechosos en cualquier formato (original o comprimido).

Dirección electrónica: soporte@bitdefender-es.com Se realiza el envío de los ficheros sospechosos en cualquier formato (original o comprimido).

ANTIVIRUSDirección electrónica: virus_research@nai.com Requiere el envío del fichero

en formato .zip, protegido con la contraseña "INFECTED". Buen servicio. Antivirus

Dirección electrónica: samples@f-secure.com Requiere el envío del fichero en formato .zip, protegido con una contraseña elegida por el usuario, que enviará a esa misma dirección en el mismo o en otro mensaje para que el archivo pueda ser analizado. Muy rápido y eficiente.

Dirección electrónica: esafe.virus@eAladdin.com Se crea un directorio llamado virus, que luego se comprime y se protege con una contraseña que hay que indicar en el cuerpo del correo. A este mensaje que se anexa el fichero virus.zip que contiene el virus a analizar. Rápido y preciso.

Dirección electrónica: virus@ca.com Se comprime el fichero sospechoso con zip y se protege con la contraseña "virus". El fichero comprimido se anexa al correo a enviar a la dirección indicada.

Dirección electrónica: analysis@norman.no El fichero se debe enviar en formato comprimido .zip, protegido, bien con PGP, o con una contraseña que se debe enviar a esa misma dirección, en un correo con el mismo asunto.La clave pública necesaria para el envío de ficheros a este fabricante, se puede ver en la página web asociada al icono.

Dirección electrónica: submit_virus@research.sybari.com Requiere el envío del fichero en formato .zip, protegido con la contraseña "infected". Solicita además alguna información del sistema como la plataforma sobre la que se ejecuta, herramienta antivirus que detectó el problema,... (ver enlace accesible desde el icono).

Dirección electrónica: a través de formulario en el navegador. El icono asociado, da acceso a una página que muestra un formulario. En él, tras indicar un nombre, una dirección de correo electrónico y el fichero a analizar, se realiza el envío de las solicitud de análisis del archivo.

Dirección electrónica: No procede. El envío se realiza mediante sus propias herramientas.

Licenciamiento de software

QUE ES? La licencia de software es, la autorización que el autor o autores, que son quienes ostentan el derecho intelectual exclusivo de su obra, conceden a otros para utilizar sus obras, en este caso los programas.

Los autores, pueden otorgar distinto tipo de licencia, pueden sólo autorizar su uso, pueden autorizar su modificación o distribución, etc.

Vamos a ver los tipos de licencia de software más comunes que podemos encontrar:

•Freeware: Son Programas gratuitos, sin limites ni en el tiempo ni en la funcionalidad del programa. En ocasiones podremos encontrarnos programas que son freeware para uso personal, pero no podremos utilizar en el ámbito comercial.

•Shareware y Trial: El autor crea un software y lo distribuye a través de diferentes medios, para que el usuario pueda evaluar de forma gratuita el producto, normalmente por un tiempo especificado, aunque a veces el programa limita las opciones. Una vez el periodo de prueba termina, bien se abona el programa o bien se desinstala.Estos programas los podemos utilizar de forma gratuita, normalmente por un tiempo limitado. Una vez el periodo de prueba termina, tendremos que comprar el programa o bien lo desinstalamos, porque el programa dejará de funcionar.

Evaluación y Demo: Casi igual que el Shareware, pero en la mayoría de los casos el periodo de prueba y las funcionalidades, suelen ser más limitadas.Adware: suelen ser programas shareware que de forma automática nos muestra o nos descarga publicidad a nuestro PC, a veces sólo cuando lo ejecutamos, otras simplemente cuando lo instalamos. Cuando compramos la versión registrada o la licencia, normalmente se eliminan los anuncios. Hay que estar atentos a la hora de instalarlos, pues a veces dan opción para evitar la instalación de publicidad.Software libre: aquí el autor deja libertad a los usuarios, por tanto, el programa puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Pero eso no quiere decir que tenga que ser obligatoriamente gratis, podemos encontrarnos programas bajo esta licencia que son de pago, aunque suelen ser muy económicos.

Tipos de sistemas operativosMicrosoft LINUX Mac os/x Solarys UNIX Dos ANDROID

3.1 Fedora Lion Solaris 11 AIX CMO Icen cream sanwich

3.11 Ubuntu Sheeta Solaris 10 A/UX QDOS Honey comb

95 Suse hera Solaris 9 IRIX MS-DOS Gingerbread

98 Debían Puma Solaris 8 HP/UX PC-DOS Jelly bean

98 segunda ver Ret hat Jaguar Solaris 7   DR-DOS  

Milenium Mind Tiger Solaris 2.6   Novell DOS   

xp Mandriva Leopard Solaris 2.5.1   FreeDOS  

2000 mandrake Show leopard Solaris 2.5   DOSBox

 

 

2000 server   Mountain lion Solaris 2.4   Apple DOS

 

 

Vista   Mavericks Solaris 2.3      

2003 server   Yosemite Solaris 2.2      

Seven   Panther Solaris 2.1      

2010 server   kodiak Solaris 2.0      

8            

2013 server