Download Los virus informáticos

page
1
page
2
page
3
page
4
page
5
page
6
Document related concepts
no text concepts found
Transcript 
Entorno nuclear
LOS VIRUS INFORMÁTICOS
Por
Ing.
Armando
López
Miranda
(alm@nuclear.inin.mx) y M.C. José Luis Angeles
Vargas (jav@nuclear.inin.mx)
Introducción
Por muchos años, nuestro grupo de trabajo
de servicio a bienes informáticos ha brindado
mantenimiento a los equipos personales de
cómputo y sus periféricos, tanto software como
hardware. Ante la proliferación de virus
informáticos se ha incrementado la cantidad
de servicios derivados de la actividad de estos
códigos maliciosos; por tal razón, en este artículo se explican la actividad y el comportamiento de estos códigos y sus diversas técnicas de programación o modalidades de propagación, tales como gusanos, troyanos y
backdoors de control remoto, transmitidos a
través de mensajes de correo electrónico, canales de Chat, redes de archivos compartidos
Peer to Peer, como Kazaa, Morpheous,
BearShare, FTP, HTTP, Telnet, servicios de
mensajería instantánea tales como MSN
Messenger, Yahoo Messenger, Netscape o AOL
Messenger, ICQ u otros medios.
¿Qué son los virus?
Son programas o códigos que han sido diseñados y desarrollados con el propósito de infiltrarse en un sistema de cómputo, para infectar archivos y programas del equipo cada vez
que se activa el virus. Estos códigos maliciosos tienen la característica inherente de pro3 6 Contacto
Nuclear
pagar copias de sí mismos y, en ocasiones, se
ocultan en otras aplicaciones o archivos. Son
programas que ejecutan una acción que puede resultar una broma o una rutina que causa
daño.
Usualmente el daño se limita a borrar y alterar
archivos. En algunos casos puede borrar el
disco duro, y en otros, corromper el FLASH BIOS
e inutilizar la máquina hasta que se restaure
esa memoria. Aunque en ocasiones se reciben
mensajes que hablan de un virus que destruye
el disco duro o algo así, hoy día no hay
virus que causen daños físicos a las
computadoras.
Para que un virus infecte un sistema, se debe
ejecutar. No puede infectar un sistema si sólo
se ha copiado. En el caso de los virus de macro
(Word y Excel) el sistema avisa, ya que pregunta si se desea ejecutar la macro, que desgraciadamente puede ser un programa inofensivo o un virus. Además, usualmente lo primero que hacen es desactivar ese aviso. Actualmente existe una nueva generación de virus
en los mensajes de correo HTML, que bajo
Windows pueden activarse al ver el correo
dentro de Outlook.
Caballos de Troya
Existe otro tipo de programas, llamados también virus, aunque en realidad funcionan de
una manera distinta. Sin embargo muchas veces están asociados con los virus. Entre ellos
X
están son los llamados «troyanos» debido a
que, por lo general, vienen ocultos dentro de
un programa. Picture.exe y Show.exe son dos
ejemplos claros pues se pueden confundir con
juegos, pero liberan el troyano, que sin darse
uno cuenta, se introduce al sistema. El propósito de los troyanos es muy variado: tomar
control de una máquina, robar passwords,
enviar correo, espiar, utilizar la máquina para
atacar un sistema de cómputo. Su uso está
libre a la imaginación del autor. Para los especialistas, éstos no son realmente virus puesto que no se reproducen por sí solos, ni infectan archivos. Algunos virus son portadores de
troyanos.
Gusanos
Otra variante de estos programas son los llamados gusanos (worms, en inglés), que son
programas que se introducen en los sistemas
de cómputo, pero no infectan archivos. Pueden permanecer ocultos y responder a algunas acciones de parte del usuario o esperar a
cierta fecha para ejecutar alguna acción. Actualmente, los virus más recientes son mezcla
de virus y gusanos, lo que muchas veces causa controversia entre los especialistas sobre
como clasificarlos.
Engaños
Cada año aparecen miles de virus reales y
también cientos de virus imaginarios, descritos en correos que siempre incluyen una frase
invitando a alertar a sus conocidos. Estos
mensajes de engaño (hoax) tienen el propósito de generar pánico. Es importante no caer
en el juego y no distribuir dichos avisos porque son aprovechados para vulnerar la seguridad y recolectar direcciones de los
manejadores de correo electrónico. Usualmen-
te al reenviarse una y otra vez, los correos
pueden conservar las direcciones de todas las
personas que los han enviado. Estas direcciones pueden usarse para producir correo spam
(anuncios no solicitados) o para realizar ataques por programadores de virus.
La mayoría de estos mensajes son fáciles de
identificar ya que tienen un tono alarmista y
dicen que el virus destruirá su computadora
en cuanto el mensaje es leído. Esto último es
muy importante, ya que a pesar de que ya
existen algunos virus como “bubbleboy” que
pueden infectar con sólo leer el correo, el 99.9%
de todos los virus, troyanos y gusanos, sólo
pueden actuar si se activa el ejecutable, que
es usualmente un archivo adjunto en el correo. La gran mayoría son virus de macro que
pueden venir en los archivos de Word. La
mejor protección ante estos casos, es que, si
usted recibe un archivo COM .EXE .DOC .HLP
y no sabe qué contiene o quien lo envió, no lo
abra a menos que tenga un antivirus actualizado que examine primero el archivo.
Muchos de los hoax anuncian que Norton,
McAfee, Microsoft o alguna otra empresa ha
lanzado el aviso. Sin embargo, es poco probable que estas corporaciones hagan notificaciones por correo. Ante la duda, refiérase a
la página Web de dicha compañía antes que
enviar los correos. Otros de estos engaños
hacen declaraciones técnicamente imposibles
como: destruir la tarjeta de audio, formatear el
teclado, borrar los disquetes que estén cerca
de la computadora, esconderse en la memoria de la computadora o destruir el disco duro.
Así que si recibe algún mensaje con estos temas, por favor, léalo, ríase, bórrelo, y no los
envíe... por lo menos, no a sus amigos.
X
Contacto Nuclear 37
¿Qué son los antivirus?
Son programas creados para prevenir o evitar
la activación de los virus, así como su propagación y contagio. Cuentan además con rutinas de detección, eliminación y reconstrucción
de los archivos y las áreas infectadas del sistema.
Un antivirus tiene tres principales funciones y
componentes:
5 Vacuna: Es el componente del
antivirus que se activa y permanece
en la memoria, actúa como «filtro»
de los archivos que son movidos para
ser leídos o copiados, esta función se
realiza en tiempo real.
5 Detector: Es el programa que examina todos los archivos existentes en el
disco o en las partes de éste que se
les indique en una determinada ruta.
Tiene instrucciones de control y reconocimiento exacto de los códigos que
identifican a los virus registrados y
rápidamente desarman su estructura.
5 Eliminador: Es el programa que una
vez desactivada la estructura del virus procede a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas afectadas.
Es importante aclarar que todo antivirus es un
programa y que como todo programa, sólo
funcionará correctamente si es adecuado y está
bien configurado. Cualquier antivirus es una
herramienta eficiente para el usuario en la
ayuda contra ataques de virus, aunque ninguno de ellos es efectivo al 100% ni es capaz
de proteger contra un virus en particular, de
forma definitiva, ya que la velocidad de apari3 8 Contacto
Nuclear
ción de nuevos virus o variantes es muy acelerada.
La función de un programa antivirus es detectar la presencia o el accionar de un virus
informático en la computadora. Este es el aspecto más importante, independientemente de
las prestaciones adicionales que pueda ofrecer, ya que detectar la posible presencia de un
virus informático, detener su trabajo y tomar
las medidas necesarias es suficiente para atacar un buen porcentaje de los daños posibles.
Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una
entidad infectada.
La función básica de detección e identificación se realiza mediante tres técnicas básicas:
el escaneo de códigos, el escaneo heurístico y
el monitoreo de actividad maliciosa.
Escaneo de códigos
La primera técnica que se popularizó para la
detección de virus informáticos y que se sigue
utilizando (aunque cada vez con menos frecuencia), es la técnica de escaneo. Consiste en
revisar el contenido binario de los archivos,
principalmente en los archivos ejecutables, en
busca de porciones de código que puedan ser
un virus informático. La detección se realiza a
partir de la comparación acelerada entre el
contenido del archivo y una base de datos que
contiene porciones de código representativos
de cada virus conocido. Resultaba eficiente
cuando la cantidad de virus era pequeña y la
velocidad de aparición y complejidad, permitía a los desarrolladores de antivirus, analizar
el virus, extraer el pequeño trozo de código
que lo iba a identificar y agregarlo a la base
de datos del programa para lanzar una actualización. Sin embargo, este mecanismo de
X
identificación se ha hecho menos eficiente en
virtud de que la cantidad de virus crece día
con día a una velocidad impresionante y los
códigos se vuelven más complejos, por lo que
el modelo de reacción representa una debilidad ya que se ofrecen soluciones con posterioridad a la propagación. La respuesta puede demorar cierto tiempo, suficiente para ocasionar un daño en el sistema antes de que se
identifique. Finalmente, este modelo consiste
en una sucesión infinita de soluciones parciales y momentáneas, cuya sumatoria jamás
constituirá una solución definitiva, ya que deben actualizarse periódicamente debido a la
aparición de nuevos virus. Una firma de seguridad que usa esta técnica es MCAfee.
Escaneo heurístico
En virtud del agotamiento técnico del escaneo
de códigos, los desarrolladores de programas
de antivirus han dotado a sus creaciones de
otros métodos para búsquedas de virus y de
la actividad que realizan, ya que no identifican específicamente al virus sino a algunas
de sus características generales y comportamientos generalizados. Este método rastrea
rutinas de alteración de información que no
puedan ser controladas por el usuario, modificación de sectores críticos de las unidades
de almacenamiento: master boot record, boot
sector y FAT, entre otras. Un ejemplo de este
tipo de métodos es el que utiliza algoritmos
heurísticos. Mediante esta técnica, se orienta
la búsqueda de manera muy eficiente en archivos, de instrucciones que puedan pertenecer a un virus informático. Los antivirus basados en esta técnica son altamente efectivos en
la detección de virus conocidos y apropiados
para la detección de nuevos virus. Un inconveniente de los algoritmos, radica en que la
sospecha de virus puede recaer en otras co-
sas que no son virus. Esto hace necesario que
el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin
de poseer herramientas que le faciliten una
discriminación de cualquier falsa alarma generada por un método heurístico. Algunos de
los antivirus de esta clase son: F-Prot, Norton
Anti Virus y Dr. Solomon’s Toolkit.
Monitoreo de actividad maliciosa
La última técnica para detectar la presencia
de un virus informático consiste en monitorear
la actividad del sistema, alertando si algún
proceso intenta modificar los sectores críticos
de los dispositivos de almacenamiento o archivos ejecutables. Los programas que realizan esta tarea se denominan verificadores de
integridad. Sobre la base de estas consideraciones podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus, que siempre esté residente en memoria y un programa que verifique la integridad de los sectores críticos del
disco duro y sus archivos ejecutables. Existen
productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.
¿Que es pop-up y pop-up killer?
Una de las plagas que más irrita a los usuarios de Internet es la aparición de ventanas
emergentes no solicitadas (pop-up windows)
cuando se navega por Internet. Su aparición
es tal que la mayoría de los habituados a
navegar por Internet han desarrollado unos
buenos reflejos para cerrar estas ventanas.
En general, las ventanas emergentes no deseadas se caracterizan por lo siguiente:
X
Contacto Nuclear 39
a) Se abre una ventana sin que el usuario lo solicite
b) Normalmente no contienen controles de navegación, su tamaño es reducido y su intención es publicitaria.
En ocasiones son sólo una molestia, basta con
cerrarlas y no aparecen más mientras se navega en un sitio. A veces son un poco más
insidiosas y aparecen cada vez que cambiamos de página. En ocasiones se aterriza en
un sitio Web diseñado con pocos escrúpulos,
que abre ventana tras ventana. Algunos casos extremos son aquellas que se encadenan
con otras hasta llenar el escritorio de ventanas. Se agota la memoria de la PC, haciéndola tan lenta que resulta imposible navegar (saturación).
Tras descubrir que los anuncios publicitarios
incrustados en sus páginas Web no funcionaban tan bien como se había previsto, muchas
empresas de Internet que necesitaban financiar las grandes inversiones que acarrea ofrecer un servicio gratuito, eligieron colocar popups en sus páginas de entrada. Para evitarlas,
existen multitud de programas que anulan la
aparición de estas molestas ventanas, llamados «Mata Emergentes» (Pop-up Killers), los
hay de uso libre y a la venta como producto
comercial.
Para detener las ventanas emergentes hay dos
estrategias básicas a seguir:
a) No ejecutar el código que las abre,
lo que significa evitar hacer clic en
botones o ligas que se desconoce
qué activan.
b) Reconocer la ventana emergente y
cerrarla sin hacer el intento por ver
más allá de las ligas que presenta.
4 0 Contacto
Nuclear
¿Qué es un firewall?
Un firewall es una aplicación que restringe las
conexiones a nivel de direccionamiento TCP/
IP que puede iniciar o recibir una computadora conectada a una red. Hay varios tipos de
firewalls. Los más comunes son los perimetrales
que hacen de compuerta entre una red local
de una organización e Internet. Dejan entrar y
salir sólo el tráfico que defina el administrador
de la red, escaneando el tráfico en busca de
paquetes con las direcciones restringidas. Cuando esto sucede, bloquean el paso en ambos
sentidos.
Al generalizarse el acceso doméstico a Internet
han aparecido los firewalls personales. En general, están pensados para instalarse en una
PC doméstica (o de un negocio pequeño) conectada directamente a Internet. Son especialmente recomendables para conexiones con
dirección IP fija. A diferencia de uno corporativo, comprueba qué programas son los que
acceden o reciben conexiones de Internet. El
control de las conexiones entrantes o salientes
es necesario para evitar que programas espías
o troyanos puedan enviar información a Internet
sin el consentimiento del usuario. El control de
las conexiones entrantes sirve para impedir que
los servicios de la PC sean visibles en Internet,
como el compartir archivos de Windows. Además, suelen descartar todo el tráfico no deseado, haciendo a la PC invisible a barridos
aleatorios de hackers. También es habitual que
incorporen un modo de aprendizaje, en el que
preguntan al usuario cada vez que se inicia
una conexión no reconocida si debe permitirse o no.
Cabe señalar que el sistema operativo de
Microsoft, Windows XP, incorpora un firewall,
X
junto con la característica de compartir la conexión a Internet. Aunque se limita a bloquear
puertos, resulta efectivo para la mayoría de
los usuarios. Un inconveniente de este componente de Windows XP es que la configuración debe realizarse manualmente.
Conclusión
Los llamados virus informáticos se reconocen
de tres tipos: Los virus en si, los troyanos y los
gusanos. Cada uno presenta características
particulares, no obstante, el daño que produGlosario
BIOS. Acrónimo de Basic input - Output System.
Son rutinas esenciales que prueban y soportan
la transferencia de datos entre los diferentes componentes del hardware.
BOOT SECTOR. El sector de Boot es el primer
sector absoluto (Track 0, head 0, sector 1) de una
unidad de disco, ya sea diskette o disco duro en
una PC, y está compuesto por los primeros 512
bytes. En ellos se almacenan los archivos «ocultos» (hidden files) del sistema de Inicio del Sistema Operativo, tanto en el MS-DOS como en
Windows 95/98, Millenium, NT, 2000 XP.
FAT. Es el sistema de archivos más simple que
admite Windows NT. El sistema de archivos FAT
se caracteriza por la tabla de asignación de archivos (FAT, File Allocation Table), que es realmente una tabla que se halla al «principio» del
volumen. Para proteger el volumen, se conservan dos copias de la tabla FAT por si una se
daña. Además, las tablas FAT y el directorio raíz
deben estar almacenados en una ubicación fija
para que se puedan encontrar correctamente los
archivos de inicio del sistema.
FLASH BIOS. En la actualidad se utiliza un tipo
de memoria no volátil «flash» (Flash BIOS) que
cen en las computadoras es similar. La manera de evitarlo es instalar un antivirus que permita identificar, aislar el virus y reconstruir la
información dañada. Los mas recomendables
son aquellos diseñados con base en escaneo
heurístico y que cuenten con una aplicación
de monitoreo en tiempo real. Las Ventanas
emergentes pueden ser evitadas si se incorpora un pop-up killer de los que existen para
uso libre. Finalmente, se recomienda ampliamente el uso de firewall personal en los equipos, particularmente los que se usan en casa
y que tienen acceso a Internet. Œ
puede ser regrabada sin utilizar ningún dispositivo de borrado o grabación especial, lo que permite actualizarla muy cómodamente. Por lo general, solo es necesario «bajar» de Internet la
versión adecuada (normalmente del sitio del fabricante de la placa base) y seguir las instrucciones que acompañan al programa.
HTML. Acrónimo de Hyper Text Mark-up Language. Lenguaje de programación para armar
páginas web.
IP. Acrónimo de Internet Protocol. Dentro de él
se dirige la separación de los datos de los mensajes en paquetes para su transmisión, el
enrutamiento entre emisario y destinatario y el
ensamblaje de los paquetes en el mensaje original, al ser recibidos.
MASTER BOOT RECORD (MBR). Es un pequeño programa que es ejecutado en cada Inicio
del sistema operativo.
OUT LOOK. Administrador de correo electrónico.
Forma parte de Windows.
TCP/IP: Acrónimo de Transfer Control Protocol /
Internet Protocol. Se le llama TCP/IP a la familia
de protocolos que nos permite estar conectados
a la red Internet
Referencias
www.fprot.com,
www.pandasoftware.com.
www.vsantivirus.com,
www.free-av.com,
www.download.zonelabs.com,
www.hacksoft.com,
www.antivirus-china.org.cn
Contacto Nuclear 41
Related documents
norton antivirus - hola, este es el servidor de chacharas el nido
norton antivirus - hola, este es el servidor de chacharas el nido
Presentación de PowerPoint
Presentación de PowerPoint
Es un programa de computadora que tiene la
Es un programa de computadora que tiene la
Que no es malware
Que no es malware
Avast Free Antivirus: uno de los mejores antivirus gratuitos de la
Avast Free Antivirus: uno de los mejores antivirus gratuitos de la
Telefónica de España
Telefónica de España
TRABAJO DE ELECTRONICA ALEXANDRA SEPULVEDA RINCON
TRABAJO DE ELECTRONICA ALEXANDRA SEPULVEDA RINCON
LOS ANTIVIRUS Y SUS TENDENCIAS FUTURAS ANGELICA
LOS ANTIVIRUS Y SUS TENDENCIAS FUTURAS ANGELICA
Descargar todo el àrticulo AQUI.
Descargar todo el àrticulo AQUI.
LECTURA COMPLEMENTARIA (TRABAJO INDEPENDIENTE
LECTURA COMPLEMENTARIA (TRABAJO INDEPENDIENTE
virus. - portafolio de evidencias yam
virus. - portafolio de evidencias yam
Virus informáticos
Virus informáticos
wilson quemba pedraza
wilson quemba pedraza
actualidad temor a los virus informaticos
actualidad temor a los virus informaticos
Inicie la sesión! ¡Aprende más! Rechazar, Eliminar, Razones
Inicie la sesión! ¡Aprende más! Rechazar, Eliminar, Razones
Un gusano informático que se extiende utilizando
Un gusano informático que se extiende utilizando