VIRUS INFORMTICO VIRUS INFORMTICO VIRUS INFORMTICO VIRUS INFORMTICOS SS S
Un virus es un Malware, que tiene por objetivo alterar el normal funcionamiento de la computadora sin el consentimiento del usuario. Los virus remplazan archivos ejecutables por otros infectados, borran y/o modifican otros, llegando a destruir los datos de una computadora. Adems se propagan de una computadora a otra, aprovechando la creciente conectividad de los sistemas informticos. Un malware debe cumplir bsicamente tres condiciones para ser considerado un virus: Ser dainos dainos dainos dainos. Un virus informtico siempre causa daos en el sistema que infecta. El dao puede ser implcito cuando lo que busca es destruir o alterar informacin, o pueden ser situaciones con efectos negativos para la computadora. Son autoreproductores autoreproductores autoreproductores autoreproductores. Esta es la caracterstica ms importante ya que este tipo de programas puede crear copias de s mismo y de ese modo propagarse. Son subrepticios subrepticios subrepticios subrepticios. Significa que utilizar varias tcnicas para evitar que el usuario no se de cuenta de su presencia. Puede llegar a manipular el resultado de peticiones al sistema operativo, modificar caractersticas de los archivos, etc.
Su origen Su origen Su origen Su origen En 1949, el matemtico estadounidense John Von Neumann plante la posibilidad terica de que un programa informtico se reprodujera a si mismo. En el ao 1959, en los laboratorios de la Bell Computer, tres jovenes programadores: crean un juego denominado CoreWar, inspirados en la teora de Von Neumann. CoreWar (el precursor de los virus informticos) es un juego en donde programas combaten entre si con el objetivo de ocupar toda la memoria de la maquina eliminando as a los oponentes El que se considera el primer virus propiamente dicho y que fue capaz de infectar maquinas IBM 360 a traves de una red ARPANET (el precedente de la Internet actual), fue el llamado Creeper, creado en 1972 por Robert Thomas Morris. Este parasito emita un mensaje en la pantalla peridicamente: Im a creepercatch me if you can! (Soy una enredadera, atrpame si puedes). Para eliminar a Creeper se creo un programa llamado Reaper (segadora) programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus. Sin embargo, el termino virus no se adoptara hasta 1984. Desde entonces los virus han tenido una gran expansin, desde los que atacan los sectores de arranque de disquetes hasta los que se adjuntan en el correo electrnico.
Cuando es nocivo: Cuando es nocivo: Cuando es nocivo: Cuando es nocivo: Cuando un virus lleva a cabo la accin para la que haba sido creado, se dice que se ejecuta la carga activa. Entonces pueden ser muy dainos e intentan producir un dao irreparable al ordenador personal destrozando archivos, desplazando/sobrescribiendo el sector de arranque principal, borrando los contenidos del disco duro o incluso escribiendo sobre la BIOS, dejando inutilizable el equipo. La mayora de los virus no borran todos los archivos del disco duro. La razn de esto es que una vez que el disco duro se borra, se eliminar el virus, terminando as el problema. Hay que tener en cuenta que para que se d la carga activa la computadora debe estar encendida. 6- Seguridad V 2.2 Prof. Marisol Hormaechea 49 Pero obviamente nadie va a ejecutar un virus en forma intencionada. Estos utilizan diferentes estrategias para acceder a la memoria de la computadora en forma clandestina.
Clasificacin de los virus Clasificacin de los virus Clasificacin de los virus Clasificacin de los virus Parsi Parsi Parsi Parsitos tos tos tos Tipo de virus informtico que se adhieren a archivos (especialmente ejecutables), como lo hara un parsito. Ese archivo ejecutable es denominado portador (o Host) y el virus lo utiliza para propagarse. Si el programa es ejecutado, lo primero que se ejecuta es el virus y luego, para no levantar sospechas, se ejecuta el programa original. Otras veces el virus parsito reemplaza parte del archivo portador destruyndolo, de este modo es ms difcil que sea detectado por un antivirus De arranque: De arranque: De arranque: De arranque: Tanto los discos rgidos como los disquetes contienen un Sector de Arranque, el cual contiene informacin especfica relativa al formato del disco y los datos almacenados en l. Adems, contiene un pequeo programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non-system Disk" o "Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disco infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rgido, infectando luego cada disco utilizado en la computadora. A pesar del riesgo que parecen esconder estos virus, son de una clase que est tendiendo a desaparecer, sobre todo desde la explosin de Internet, las redes y los sistemas operativos posteriores al DOS. Para erradicarlos, es necesario inicializar la Computadora desde un disquete sin infectar y proceder a removerlo con un antivirus, y en caso necesario reemplazar el sector infectado con el sector de arranque original. Multipa Multipa Multipa Multipartitos: rtitos: rtitos: rtitos: Los virus multipartitos combinan las capacidades de los virus parsitos y de sector de arranque inicial y pueden infectar tanto archivos ejecutables como sectores de arranque inicial de los discos. Acompaantes: Acompaantes: Acompaantes: Acompaantes: Son un tipo de virus de archivo clsico que no modifican al archivo anfitrin. En su lugar, crean un archivo infectado cuya copia contiene el virus y que toma el nombre del archivo de programa, ponindole al archivo de programa cualquier otro nombre. Cuando el usuario quiere ejecutar el archivo, el sistema operativo lo que hace es ejecutar el primero que encuentra con el nombre adecuado y en este caso va a ser el virus y no el archivo que el usuario quera Virus macro Virus macro Virus macro Virus macro Los Macro-virus representan una de las amenazas mas importantes para una red. Actualmente son los virus que mas se estn extendiendo por la Internet. Representan una amenaza tanto para las redes informticas como para los ordenadores independientes. Su mximo peligro esta en que son completamente independientes del sistema operativo o de la plataforma. Es mas, ni siquiera son programas ejecutables. Los Macro virus son pequeos programas escritos en el lenguaje propio (conocido como lenguaje scrip o macro-lenguaje) propio de un programa. As nos podemos encontrar con macro-virus para editores de texto, hojas de calculo y utilidades especializadas en la manipulacin de imgenes 6- Seguridad V 2.2 Prof. Marisol Hormaechea 50
Otros malware que no llegan a ser virus Otros malware que no llegan a ser virus Otros malware que no llegan a ser virus Otros malware que no llegan a ser virus Troyanos Troyanos Troyanos Troyanos Es un Software malicioso que se presenta al usuario como un programa aparentemente legtimo e inofensivo pero al ejecutarlo ocasiona daos. Pueden realizar diferentes tareas y en la mayora de los casos crean una puerta trasera que permite la administracin remota del ordenador a un usuario no autorizado. No propagan la infeccin a otros sistemas por si mismos. Gusanos Gusanos Gusanos Gusanos Malware cuya caracterstica fundamental es la de duplicarse a si mismo. stos utilizan las partes automticas del un sistema operativo que generalmente estn ocultas al usuario para replicarse en forma descontrolada. Es algo usual detectar un gusano cuando debido a su incontrolada replicacin, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse. Casi siempre causan problemas en la red (aunque sea simplemente consumiendo el ancho de banda). Su principal medio de propagacin es a travs de las unidades de almacenamiento extrables (USB). No se los considera virus porque no se ocultan. Bombas lgicas o de tiempo: Bombas lgicas o de tiempo: Bombas lgicas o de tiempo: Bombas lgicas o de tiempo: Son programas que se activan al producirse un acontecimiento determinado. La condicin suele ser una fecha (Bombas de Tiempo), una combinacin de teclas, o ciertas condiciones tcnicas (Bombas Lgicas). Es entonces cuando ejecutan la accin para la que fueron programados. Si no se produce la condicin permanece oculto al usuario. Keylogger Keylogger Keylogger Keylogger: Se encarga de registrar las pulsaciones que se realizan en el teclado, para almacenarlas en un archivo y/o enviarlas a travs de Internet. De ste modo permite que otros usuarios tengan acceso a contraseas importantes, como los nmeros de una tarjeta de crdito, u otro tipo de informacin privada que se quiera obtener. El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software.) Ransomware Ransomware Ransomware Ransomware (Son programas que encriptan los archivos importantes para el usuario, hacindolos inaccesibles, y piden que se pague un "rescate" para poder recibir la contrasea que permite recuperar los archivos.) Spyware Spyware Spyware Spyware (es un programa, dentro de la categora malware, que se instala furtivamente en un ordenador para recopilar informacin sobre las actividades realizadas en ste. Dado que el spyware usa normalmente la conexin de una computadora a Internet para transmitir informacin, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a la red) Los antivirus Los antivirus Los antivirus Los antivirus Es un programa creado para prevenir o evitar la activacin de los virus as como su prolongacin y contagio. Cuenta adems con rutinas de detencin, eliminacin y reconstruccin de los archivos y las reas infectadas del sistema. Un antivirus tiene 3 principales funciones: VACUNA: es un programa instalado que residente en la memoria, acta como filtro de programas que son ejecutados abiertos para ser ledos o copiados en tiempo real. DETECTOR: es un programa que examina todos los archivos existentes en el disco o en los que se le indique en una determinada ruta o path. Tiene funciones de control y 6- Seguridad V 2.2 Prof. Marisol Hormaechea 51 reconocimiento exacto de los cdigos virales que permiten capturar sus pares seguidamente registrados en forma sumamente rpida que desarman su estructura. ELIMINADOR: es un programa que una vez desactivada la estructura del virus, procede eliminarlo e inmediatamente despus preparar o reconstruir los archivos y reas afectadas.
Estrategias de bsqueda: Un antivirus compara el cdigo de cada archivo con una de los cdigos de los virus conocidos, por lo que es importante actualizarla peridicamente a fin de evitar que un virus nuevo no sea detectado. Tambin se les ha agregado funciones avanzadas, como la bsqueda de comportamientos tpicos de virus o la verificacin contra virus en redes de computadores. Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Es muy comn que tengan componentes que revisen los adjuntos de los correos electrnicos salientes y entrantes, as como los scripts y programas que pueden ejecutarse en un navegador web.
Un antivirus compara el cdigo de cada archivo con una Base de datos de los cdigos de los virus conocidos, por lo que es importante actualizarla peridicamente a fin de evitar que un virus nuevo no sea detectado. (Tcnica de Scanning) Los desarrolladores de programas antivirus han dotado a sus creaciones de mtodos para bsquedas de virus informticos (y de sus actividades), que no identifican especficamente al virus sino a algunas de sus caractersticas generales y comportamientos universalizados. Este tipo de mtodo rastrea rutinas de alteracin de informacin que no puedan ser controladas por el usuario, modificacin de sectores crticos de las unidades de almacenamiento. Otra forma de detectar la presencia de un virus informtico en un sistema consiste en monitorear las actividades de la PC sealando si algn proceso intenta modificar los sectores crticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad.