UNIVERSIDAD REGIONAL AUTNOMA DE LOS NDES UNIANDES

VIRUS Y ANTIVIRUS

ALUMNO: JAVIER PANTOJA

NIVEL: OCTAVO SISTEMAS

2011 - 2012

Contenido: Virus Gusanos de Internet Un gusano de internet es aquel virus que se permite a travs de la red reproducirse y de esta forma destacarse por su gran expansin. Como otros gusanos, lo nico que busca este virus es replicarse e integrarse en nuevos sistemas o equipos a travs de los diferentes medios de expansin en Internet, ya sea el correo electrnico, FTP, IRC u otros puertos en el cual le brinden acceso. Actualmente la gran mayora de virus que se encuentran en Internet son stos, los virus gusanos de Internet ya que aprovechan la poca experiencia de usuarios y la capacidad de eludir ciertas seguridades, los medios mas usados en la actualidad para la insercin de viruses gusanos en un ordenador es la Ingeniera Social, cuyo mtodo es a travs de diferentes mtodos convencer al usuario del archivo que va a abrir es inofensivo cuando realmente es todo lo contrario. Virus MacroVirus No se transmiten a travs de archivos ejecutables, sino a travs de los documentos de las aplicaciones que poseen algn tipo de lenguaje de macros. Entre ellas encontramos todas las pertenecientes al paquete Office (Word, Excel, Power Point, Access) y tambin el Corel Draw. Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos, de forma que sean infectados todos los archivos que se abran o creen en el futuro. Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuracin del sistema operativo, borrar archivos, enviar e-mails, etc. Virus Residentes Cuando se ponen en marcha, la primera accin que realizan consiste en comprobar si se cumplen todas las condiciones para atacar (fecha, hora,... etc.). De no ser as, se colocan en una zona de la memoria principal, esperando que se ejecute algn programa. Si en alguna de las operaciones que realiza el sistema operativo se trabajase con un fichero ejecutable (programa) no infectado el virus lo infectar. Para ello, el virus se aadir al programa que infecta, aadiendo su cdigo al propio cdigo del fichero ejecutable (programa). Existen algunos virus residentes que nunca se disparan, que nunca llegan a afectar absolutamente nada en nuestro sistema. Pero son la minora. Los virus residentes de mantienen dentro de la memoria y esperan a que ocurra algn evento determinado para de esa forma poder disparar su accin destructiva. Suelen aadirse al programa o los programas que infecta, aadiendo su cdigo al propio cdigo del fichero ejecutable.

Virus Troyano Un troyano es similar a un virus, es un programa que busca propagarse y sobre todo a travs de aplicaciones de Internet como el EMAIL, ICQ y CHAT. La diferencia bsica de los troyanos con los virus es que los troyanos estn hechos para permitirles a otras personas tener acceso al contenido de la PC infectada ya sea para robar informacin, contraseas, documentos, datos, etc... (A travs de Internet u otra Red). Son muy peligrosos, porque pueden capturar y reenviar datos confidenciales a una direccin externa, abrir puertos de comunicaciones para que un intruso pueda entrar y salir de nuestro sistema las veces que se le antoje. Con un troyano nuestra privacidad se anula 100%. Otros tipos de troyanos: Troyanos recolectores de contraseas: Este tipo de troyanos buscan las contraseas almacenadas en el computador y/o simplemente actan esperando que alguna secuencia de caracteres escrita en el teclado que sea introducida en un campo tipo "contrasea" (secuencia visualizada con asteriscos en pantalla) aparezca, almacenndola en un archivo que luego es enviado por correo electrnico o copiado manualmente al atacante. En esta categora entran los troyanos que recolectan tarjetas de crdito y informacin relacionada con las mismas. Troyanos que modifican los privilegios de un usuario: Este tipo de troyanos es usado regularmente para engaar a los administradores de sistemas. Usualmente se anexan a una utilidad de sistema o pretender ser un programa inocuo y hasta til. Una vez que sea ejecutado, el troyano le dar ms privilegios al atacante y puede deshabilitar la(s) cuenta(s) de administrador en el sistema. En el peor de los casos, ni siquiera el administrador original tiene acceso al sistema atacado. Troyanos destructivos: Estos programas tienen como nica intencin daar el sistema comprometido. Pueden destruir discos duros completos, el sistema operativo, encriptar archivos o soltar y ejecutar virus para completar el oscuro panorama de sus vctimas. Programas Bromistas: Estos programas no son tan maliciosos; ellos simplemente estn diseados para hacer creer a la vctima que algo malo est ocurriendo en el computador como por ejemplo, formatear el disco duro, mostrar mensajes como "enviando todas las contraseas a XXX hacker", "su computador tiene software ilegal y estamos enviando sus datos al FBI" y cosas similares. Este tipo de acciones asusta mucho a los usuarios inexpertos. Virus Polimrficos Estos virus son tambin llamados "mutantes" . Los virus polimrficos trabajan de la siguiente manera: Se ocultan en un archivo y se cargan en memoria cuando el archivo infectado es ejecutado. Pero a diferencia de hacer una copia exacta de s mismos cuando infectan otro archivo, modifican esa copia para verse diferente cada vez que infectan un nuevo archivo. Valindose de estos "motores de mutacin", los virus polimrficos pueden generar miles de copias diferentes de s mismos. A causa de

esto, los rastreadores convencionales han fallado en la deteccin de los mismos. De hecho, la mayora de las herramientas de rastreo utilizadas actualmente todava no pueden detectar estos virus. Hay algunos antivirus que pueden detectar virus polimrficos observando eventos caractersticos que los mismos deben realizar para sobrevivir y expandirse. Cualquier virus, sin importar sus caractersticas debe hacer ciertas cosas para sobrevivir. Por ejemplo, debe infectar otros archivos y residir en memoria. El polimorfismo es otra de las capacidades de los virus biolgicos aplicada a los virus informticos. Famosos escritores de virus, como el blgaro conocido con el alias de Dark Avenger, implementaron rutinas polimrficas en sus virus. El polimorfismo no es ms que la capacidad de hacer copias ms o menos distintas del virus original. Esta tcnica de programacin tiene como objetivo hacer ms difcil la deteccin de los virus, ya que los antivirus, a la fecha (finales de los 1980, principios de los 1990) buscaban patrones hexadecimales comunes para detectar a los virus; al encontrar a un virus polimrfico, no se poda computar fcilmente una rutina de localizacin, haciendo muy difcil la erradicacin de los virus. Bsicamente, el polimorfismo era logrado encriptando el cdigo principal del virus con una clave no constante, usando conjuntos aleatorios de desencripcin o usar cdigo ejecutable cambiante con cada ejecucin. Estas maneras de hacer cdigo polimrfico son las ms sencillas; sin embargo, existen tcnicas sumamente elaboradas y exticas. Hay toda clase de virus polimrficos: desde virus de sector de arranque hasta virus de macro. Virus Infector de Ejecutables Es el virus mas peligroso y con mas trayectoria, ya que posee la capacidad de infectar archivos .COM, .EXE, y .SRC. A diferencia de otros, este tipo de virus puede infectar todo el sistema operativo de forma dedejarlo completamente inutilizable a travs de su residencia tanto en memoria como en el registro de Windows. Al ejecutar un fichero infectado, tambin ser activado el virus. Estos virus pueden ser: - residentes en la memoria: pueden controlar el entero sistema e infectarlo en cualquier momento. - virus no-residentes, que son activados solamente cuando se inicia el programa-host. Ya que estos virus infectan ficheros ejecutables, pueden propagarse por cualquier tipo de soportes de almacenamiento o transferencia de datos: disquetes, CDs, mdems, redes. El virus se propaga al ejecutar el fichero host. Virus Gusanos La palabra "worm" en ingls, significa gusano. Los gusanos de computadoras son un trmino frecuentemente empleado, a nuestro criterio, sin sustento real y es nuestra intencin explicar este concepto. Recordemos que en 1984 el Dr. Fred Cohen clasific a los emergentes virus de computadoras en 3 categoras: caballos de troya, gusanos y virus. Emple el trmino "gusano" simplemente porque los consideraba programas "despreciables".

En 1984 al sustentar su tesis para un doctorado en ingeniera elctrica, en la Universidad del Sur de California, demostr cmo se podan crear virus, motivo por el cual es considerado como el primer autor auto-identificado de virus de computadoras. Ese mismo ao present su libro "Un pequeo curso de virus de computadoras", para posteriormente escribir y publicar "The Gospel according to Fred" (el Evangelio de acuerdo a Fred). Segn algunos estudiosos de los virus, "los gusanos de computadoras son aquellos programas malignos que se propagan a travs de Internet, en la modalidad de virus "companions", que no alteran archivos o sectores del disco. Estos programas toman control de la memoria, calculan las direcciones de las otras computadoras conectadas a la red y envan copias de s mismo". "Los gusanos no son virus en el sentido estricto de la palabra", afirma este concepto. Sin embargo no aclara que daos ocasionan los gusanos. Nosotros no estamos de acuerdo con ninguna de las teoras anteriores, debido a que el concepto de virus de computadoras ha cambiado a travs de los tiempos y ahora se les clasifican por sus diferentes e ingeniosas tcnicas de programacin. Todos los llamados virus, gusanos o caballos de troya, pueden hacer cualquier tipo de dao, sujetos a la intencin de sus desarrolladores. Habra que preguntarnos, qu virus de computadora, programado en los clsicos lenguajes, no puede tomar control de la memoria y e infectar, por ejemplo, el Sector de Boot, el Master Boot Record, el COMMAND.COM, inutilizar lgicamente o hasta formatear el disco duro, tomar control de la Libreta de Direcciones de MS Outlook y re-enviarse a si mismo a los usuarios registrados en ellas, etc.? Por ltimo, acaso los virus no se valen de otros archivos para poder ser difundidos? Esto es realizado con la obvia intencin de que su propagacin y contagio se realice en forma inadvertida. Sucede que los conceptos vertidos por el Dr. Fred Cohen quedaron como un precedente importante, por haber sido el primer investigador de esta materia. A pesar de ello, y sin desmerecer al Dr. Cohen, stos hoy da son obsoletos y sus obras han quedado en el olvido. El mismo no continu con sus investigaciones sobre virus y hoy dirige su propia corporacin denominada Fred Cohen & Associates, especializada en seguridad de la informacin. Al igual que toda expresin tecnolgica, cualquier persona o grupo de ellas se puede interesar en el tema y en forma repentina "surgir" como una supuesta autoridad en la materia, emitiendo libres conceptos, que fcilmente pueden ser rebatidos por lo anteriormente expuesto. Nosotros investigamos el fenmeno de los virus informticos desde 1986, hasta el da de hoy, habiendo desarrollado un software antivirus de gran aceptacin y prestigio en el mercado nacional e internacional. Continuamos investigando los virus informticos, ya que ellos constituyen materia exclusivo en nuestro trabajo. Por estas razones, podemos afirmar que nos consideramos calificados conocedores del tema. Virus de Arranque o Boot Infectan la zona de los discos en un ordenador: el sector de arranque en los disquetes y discos duros. Su nico modo de propagacin es de arrancar del disquete o disco infectado.

El acceso o la copia de informacin de un disco infectado no son operaciones peligrosas siempre cuando el sistema no se inicie de aquel disco. Los virus de boot residen en la memoria. Mientras que la mayora son escritos para DOS, estos virus no toman en cuenta los sistemas operativos, as que pueden infectar cualquier PC. Debido a la influencia de los medios de prensa, las palabras virus, gusanos o caballos de troya son empleadas con frecuencia, a manera de noticias, y lamentablemente nosotros nos vemos obligados a usar estos trminos para informar acerca de algunas nuevas especies virales, con la intencin de no confundir a los usuarios. Lo mismo ha sucedido con el concepto de "hacker", atribuido en forma genrica a los piratas de software, intrusos de la red, crackeadores, phreakers, y hasta delincuentes informticos.

TIPOS DE VIRUS
DEPENDIENDO DEL LUGAR EN DONDE SE ALOJAN:
VIRUS DE BOOT: utilizan el sector de arranque, el cual contiene

informacin sobre el tipo de disco, numero de pistas, sectores, caras, tamao de la FAT, sector de comienzo, etc. A todo ello hay que sumarle un pequeo programa de arranque que verifica si el disco puede cargar el sistema operativo. Los virus de BOOT utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco: En muchas ocasiones el virus marca los sectores donde guarda BOOT original como defectuosos; de esta forma impiden que sean borrados. En el caso de los discos duros pueden utilizar tambin la tabla de particiones como ubicacin suelen quedar residentes en memoria al hacer cualquier operacin en un disco infectado, ala espera de replicarse en otros , como ejemplo tenemos el BRAIN. VIRUS DE FICHERO: infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los ms afectados, aunque en estos momentos son los ficheros de documentos (DOC, XLS, SAM....) los que estn en boga gracias a los virus de macro. Normalmente insertan el cdigo del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que
Virus informtico Salvador Climent Serrano

contine de modo normal: El viernes trece es un ejemplo de virus de este

tipo. DENTRO DE LOS VIRUS DE FICHEROS: VIRUS DE ACCIN DIRECTA: son aquellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un fichero infectado VIRUS DE SOBREESCRITURA: corrompen el fichero donde se ubican al sobreescribirlo. VIRUS DE COMPAA: aprovecha una caracterstica del DOS, gracias a la cual si llamamos a un archivo para ejecutarlo sin indicar la extensin del sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica el programa original, sino que cuando encuentra un fichero EXE crea otro de igual nombre conteniendo el virus con extensin COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus y posteriormente ste pasara el control a la aplicacin original. VIRUS DE MACRO: estn programados usando el lenguaje de macros Word Basic, gracias al cual pueden infectar y replicarse a travs de los ficheros MS-Word (DOC). En la actualidad se han extendido a otras aplicaciones como Excel y a otros lenguajes de macros como es el caso de los ficheros SAM del procesador de textos de Lotus. Se ha de destacar que son multiplataforma en cuanto a sistemas operativos ya que dependen nicamente de la aplicacin. Un ejemplo de este virus es el Concep que lo incorporo accidentalmente en un CD la compaa Microsoft. VIRUS BAT: empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dainos como cualquier otro virus. VIRUS DE MIRC: vienen a formar parte de la nueva generacin Internet y demuestran que la red abre nuevas formas de infeccin. Consiste en un scrip para el cliente de IRC mirc. Cuando alguien accede a un canal de IRC donde se encuentra alguna persona infectada, recibe por DCC un archivo llamado scrip ini. Por defecto, el subdirectorio donde se descargan los ficheros es el mismo donde esta instalado el programa, C:\MIRC. Esto causa que el script". Ini original sea sobrescrito por el nuevo fichero maligno.
Virus informtico Salvador Climent Serrano

NUEVO SCRIPT: permite a los autores y a cualquier persona que conozca

su funcionamiento, desde desconectar el usuario infectado del IRC hasta

acceder a la informacin sensible de su ordenador. As, por ejemplo pueden abrir un FTP en la maquina de la vctima, acceder al archivo de claves de Windows 95 o bajarse el etc/pasword en el caso de que sea Linux VIRUS BENIGNOS: una buena utilizacin de las tcnicas que emplean los virus puede reportarnos beneficios y ser sumamente tiles. Por ejemplo para parchear sistemas a travs de extensas redes LAN. El programa se infecta de ordenador a ordenador modificando parte de un programa que causa fallos en el sistema, y una vez solucionado el error se autodestrulle.