Download Antivirus - My Computer System

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
Document related concepts
no text concepts found
Transcript 
Antivirus_wmarin_2010
¿Qué es un antivirus?
Son programas cuya función
es detectar y eliminar
Virus informáticos y otros
programas maliciosos (a
veces denominados
malware).
2
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Funcionamiento Básico
Compara el código de cada archivo
con una base de datos de los códigos
(también conocidos como firmas) de
los virus conocidos.
Es importante actualizarla
periódicamente a fin de evitar que un
virus nuevo no sea detectado.
3
Funcionamiento Avanzado
También se les ha agregado funciones
avanzadas, como la búsqueda de
comportamientos típicos de virus
(técnica conocida como Heurística)
4
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Método Heurístico
El término general implica funcionalidades
como detección a través de firmas
genéricas, reconocimiento del código
compilado, desensamblado,
desempaquetamiento, entre otros. Su
importancia radica en el hecho de ser la
única defensa posible frente a la aparición
de nuevos códigos maliciosos de los cuales
no se posean firmas.
5
Técnicas heurísticas
Firmas Genéricas
Muchos códigos maliciosos son modificados en forma
constante por sus autores para crear nuevas
versiones. Usualmente, estas variantes contienen
similitudes con los originales, lo cual se denomina
como una familia de virus. Gracias a las similitudes
dentro del código del virus, los antivirus pueden llegar
a reconocer a todos los miembros de la misma familia
a través de una única firma o vacuna genérica. Esto
permite que al momento de aparecer una nueva
versión de un virus ya conocido, aquellos antivirus
que implementan esta técnica puedan detectarlo sin
la necesidad de una actualización.
6
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Técnicas heurísticas (cont.)
Reconocimiento de código compilado
Cuando un programa es compilado para
poder convertirlo en un archivo ejecutable, la
codificación resultante representa
instrucciones que se le darán al sistema para
realizar ciertas acciones (payload). Las
implementaciones de heurística de algunos
antivirus utilizan técnicas para reconocer
instrucciones comúnmente aplicadas por los
códigos maliciosos, y así poder identificar si
un archivo ejecutable puede llegar a ser un
código malicioso..
7
Técnicas heurísticas (cont.)
Desensamblado
Todo archivo ejecutable puede ser
desensamblado con el objetivo de obtener el
código fuente del programa en lenguaje
ensamblador. La heurística de algunos
productos antivirus es capaz de analizar el
código fuente de los programas sospechosos
con el fin de reconocer en él técnicas de
desarrollo que normalmente sean usadas por
los programadores de virus y así reconocer
un código malicioso nuevo sin la necesidad
de una actualización.
8
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Técnicas heurísticas (cont.)
Desempaquetamiento
Los programadores de códigos
maliciosos suelen usar
empaquetadores o
encubridores de archivos
con el fin de modificar la
"apariencia" del virus a los
ojos del análisis antivirus.
Empaquetadores como UPX,
o Themida son ampliamente
utilizados para esto. Para
evitar ser engañado, el
antivirus analiza el código
real del programa, y no el
empaquetado.
9
Otros componentes
Normalmente un antivirus tiene un
componente que se carga en memoria y
permanece en ella para verificar todos los
archivos abiertos, creados, modificados y
ejecutados en tiempo real. Es muy común
que tengan componentes que revisen los
adjuntos de los correos electrónicos
salientes y entrantes, así como los scripts y
programas que pueden ejecutarse en un
navegador web (ActiveX, Java, JavaScript).
10
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Vacunas
Programa especialmente encargado
de encontrar la presencia de un virus
específico o de un tipo es particular
de virus.
11
Tipos de vacunas
SOLO DETECCION: son vacunas que solo detectan
archivos infectados sin embargo no pueden
eliminarlos o desinfectarlos.
DETECCIÓN Y DESINFECCIÓN: son vacunas que
detectan archivos infectados y que pueden
desinfectarlos.
DETECCIÓN Y ABORTO DE LA ACCIÓN: son
vacunas que detectan archivos infectados y detienen
las acciones que causa el virus.
DETECCIÓN Y ELIMINACION DE
ARCHIVO/OBJETO: son vacunas que detectan
archivos infectados y eliminan el archivo u objeto que
tenga infección.
12
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Funcionamiento de vacunas
COMPARCIÓN DIRECTA: son vacunas que
comparan directamente los archivos para
revisar si alguno esta infectado
COMPARACION POR FIRMA: son vacunas
comparan las firma de archivos sospechosos
para saber si están infectados.
POR MÉTODOS HEURÍSTICOS: son
vacunas que usan métodos heurísticos para
comparar el comportamiento típico del
malware específico.
13
¿Taxonomía de Malware?
Al contrario de los virus biológicos, no existe
una forma “estándar” para nombrar el
malware.
Algunos Sitios de colaboración de
desarrolladores de antivirus:
http://www.wildlist.org
http://www.virusbtn.com
Computer AntiVirus Research
Organization (Caro)
European Institute for Computer AntiVirus Research (EICAR-WG2)
www.ie.itcr.ac.cr/marin
14
Antivirus_wmarin_2010
Taxonomía del Malware (cont)
Muchos desarrolladores utilizan su
propia convención de nombres la
mayoría variantes de CARO:
[<type>://][<platform>/]<family>[.<group>]
[.<length>].<variant>[<modifiers>][!<comment>]
W32/Agobot!4A55..
VBS/LoveLetter
TR/Zlob.36864
15
Buenas Prácticas.
Utilizar un Firewall para detener por
defecto todas las conexiones
entrantes.
Utilizar contraseñas seguras
Que el usuario regular del equipo
tenga el nivel más bajo de privilegios.
Deshabilitar la autoejecución
automática de medios extraíbles
(Autorun-Autoplay)
16
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Buenas Prácticas (cont)
Deshabilitar la compartición de
archivos. De requerirse, no utilizar
contraseñas débiles en recursos
compartidos ni permitir el acceso
anónimo. Complementar con Listas de
Control de Acceso.
Deshabilitar servicios no necesarios
del sistema operativo, ésto minimiza la
cantidad de posibles ataques o
exploits.
17
Buenas Prácticas (cont).
Mantener parches de seguridad (Patch
tuesday) al día y las bases de firmas
de antivirus actualizados,
especialmente en equipos que
publiquen servicios (Servidores HTTP,
FTP, DNS, etc)
Bloquear en el servidor de correos los
adjuntos ejecutables; de no ser
posible instruir al usuario para que no
los ejecute (exe, bat, vbs, scr, pif, com,
18
reg, msi)
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Buenas prácticas (cont)
Aislar computadores infectados de la
red, y de ser necesario, restaurar el
sistema solo de medios de
almacenamiento confiables.
Profilaxis.
19
Firewalls
Un cortafuegos (o firewall) es un
elemento de hardware o software
utilizado en una red de computadoras
para controlar las comunicaciones,
permitiéndolas o prohibiéndolas
según las políticas de red que haya
definido la organización responsable
de la red.
20
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Protección del usuario
Desde el punto de vista del usuario,
es recomendable contar con un
Firewall por software.
Windows Firewall
Zone Alarm.
Lavasoft adaware
21
Otros tipos de anti-malware
Otros programas, se encargan de
buscar y remover otros tipos de
malware que no son virus puros
(modelo D.A.S).
Ejemplos:
Windows defender (Microsoft)
Spybot Search and destroy (spybsd)
22
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Smitfraud
Smitfraud es un programa spyware que
infecta el archivo de Windows WININET.DLL
con el virus detectado como W32/
Smitfraud.A.
Es capaz de registrar las páginas web
visitadas por el usuario y enviar la
información a un servidor, así como
descargar y ejecutar un archivo que instala
un supuesto programa antispyware, de
forma oculta y sin consentimiento del
usuario.
24
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Smitfraud (cont.)
cambia el Escritorio de Windows por
una imagen que simula un error fatal
de Windows, advirtiendo a los
usuarios que han sido afectados por
un spyware, engañando a los
usuarios para que compren la versión
completa del falso programa
antispyware.
25
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Falso Positivo
Un falso positivo es un error por el
cual un software antivirus reporta que
un archivo o área de sistema está
infectada, cuando en realidad el objeto
está limpio de virus.
28
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Falso negativo
Un falso negativo es un error mediante
el cual el software falla en detectar un
archivo o área del sistema que está
realmente infectada.
29
Click to add title
Tanto los falsos positivos como los falsos
negativos se pueden producir debido a que el
antivirus empleado no contiene los micro
códigos o firma exacta del virus, que no
necesariamente se encuentran en una misma y
única "cadena" o se trata de una nueva variante
de la especie viral. Los métodos heurísticos que
no tengan una buena técnica de programación o
al ser compilados no hayan sido probados a
fondo son susceptibles de reportar falsos
positivos o falsos negativos.
30
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
Payload
En términos de virus informáticos, payload es el o los
efectos nocivos que ocasiona cualquier malware a los
sistemas de los equipos que infectan.
El objetivo de un desarrollador de malware, es
generar un payload, no solamente dañino, sino que
además genere efectos secundarios nocivos (daño de
archivos, borrado formateo de discos, propagación a
través de otros servicios de Internet, deshabilitar
antivirus, firewalls, y hasta herramientas de sistema,
mensajes o cajas de diálogo en pantalla)
Toda expresión y/o daño que la mente de los
creadores de virus puedan crear y desarrollar.
31
Malware para memorias
flash usb
32
www.ie.itcr.ac.cr/marin
Antivirus_wmarin_2010
autorun.inf
Mostrar archivos ocultos.
Mostrar archivos de sistema.
Mostrar extensiones para tipos de
archivo conocidos
33
La instrucción open=
command=
y
;l2J3k12nL7Sjkd0ofjjwdAas22wLA4kr4wiw3Lr1d
[AutoRun]
;Dc
open=oufddh.exe
;4kLKDlJ
shell\open\Command=oufddh.exe
;
ksroaqp5ioALqL49idDKjAdK3w25s81LeA2L0747qoifs44kDk3swosqJipDDwwpsi
ak0CKw3aaaF28rimkorkDwaUa462wkk
shell\open\Default=1
;
CSkkdsl2Z42j3KjL2lJkLf00d17Ss9UoaAs0irXi14kJ32so4KLidwD93KJjlDe7ae3jo
do9KOipnaadwK4Zq6HiqfkswK1qwwwDj3oA0ia531i
shell\explore\Command=oufddh.exe
;
34
3aDd52iK2sod8fA34rsr3HrDp2KJlde3sl3KkSkskiw9K4dk40eLi5Laf4La5i0Ls30k
wU2k5oiqrqqkdawLjkrkDaJK4ZwjDd2jjsc50kLaws
www.ie.itcr.ac.cr/marin
Related documents
La heurística en Los virus
La heurística en Los virus
Análisis Heurístico: detectando malware desconocido
Análisis Heurístico: detectando malware desconocido
Descarga - Angie paola Palacios Marquez
Descarga - Angie paola Palacios Marquez
Que no es malware
Que no es malware
f) Investiga en Internet el término: Hijacker. Cómo puedes eliminar el
f) Investiga en Internet el término: Hijacker. Cómo puedes eliminar el
Los antivirus - Diagramasde.com
Los antivirus - Diagramasde.com
Descarga
Descarga
Seguridad en Windows 7
Seguridad en Windows 7
TRABAJO DE ELECTRONICA ALEXANDRA SEPULVEDA RINCON
TRABAJO DE ELECTRONICA ALEXANDRA SEPULVEDA RINCON
virus. - portafolio de evidencias yam
virus. - portafolio de evidencias yam
Diapositiva 1 - IHMC Public Cmaps
Diapositiva 1 - IHMC Public Cmaps
Tesis 9150 - Repositorio Digital IPN
Tesis 9150 - Repositorio Digital IPN
Un virus puede bloquear el acceso a Internet desde el 9 de julio
Un virus puede bloquear el acceso a Internet desde el 9 de julio