Académique Documents
Professionnel Documents
Culture Documents
PRESENTADO POR:
JOHANA CEBALLOS
KELLY CORDOBA
GRADO: 11-9
PC: 21.
1
VIRUS INFORMATICOS
PRESENTADO POR:
JOHANA CEBALLOS
KELLY CORDOBA
PRESENTADO A:
ROCIO PAREDES
GRADO: 11-9
PC: 21.
2
TABLA DE CONTENIDO
0. Introducción
1. Que son los virus y su historia
2. Funcionamiento de los virus
3. Algunos métodos de infección
4. Fases de infección de un virus
5. Tipos de virus informáticos
6. ¿que es un antivirus?
7. Recomendaciones
8. Conclusiones
9. Web grafía
3
INTRODUCCIÓN
Este trabajo se lo a realizado con el fin de dar a conocer que son los virus
informaticos, su historia, como empieza a desarrollarse que causas y efectos
produce a su computador, que tipos de virus hay, entre otros y que se debe hacer
para combatirlos.
4
QUE SON LOS VIRUS Y SU HISTORIA
5
HISTORIA
El primer virus atacó a una máquina IBM Serie 360 (y reconocido como tal). Fue
llamado Creeper, creado en 1972. Este programa emitía periódicamente en la
pantalla el mensaje: «I'm a creeper... catch me if you can!» (¡Soy una
enredadera... agárrame si tú puedes!). Para eliminar este problema se creó el
primer programa antivirus denominado Reaper (cortadora).
Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían
desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro
programadores (H. Douglas Mellory, Robert Morris, Victor Vysottsky y Ken
Thompson) desarrollaron un juego llamado Core War, el cual consistía en ocupar
toda la memoria RAM del equipo contrario en el menor tiempo posible.
Después de 1984, los virus han tenido una gran expansión, desde los que atacan
los sectores de arranque de disquetes hasta los que se adjuntan en un correo
electrónico.
6
FUNCIONAMIENTO DE LOS VIRUS
Sabiendo esto, el virus puede tener control total de la máquina -al igual que lo
hace el SO- si logra cargarse antes que nadie. La necesidad de tener que
"asociarse" a una entidad ejecutable viene de que, como cualquier otro programa
de computadora, necesita ser ejecutado y teniendo en cuenta que ningún usuario
en su sano juicio lo hará, se vale de otros métodos furtivos. Ahora que marcamos
la importancia para un virus el ser ejecutado, podemos decir que un virus puede
encontrarse en una computadora sin haber infectado realmente algo. Es el caso
de personas que pueden coleccionar virus en archivos comprimidos o encriptados.
7
delimitaciones de cada partición, su tamaño y cuál es la partición activa desde
donde se cargará el SO. Vemos que en este punto el procesador empieza a
ejecutar de la memoria RAM, dando la posibilidad a que un virus tome partida.
Hasta acá el SO todavía no fue cargado y en consecuencia tampoco el antivirus.
El accionar típico del virus sería copiar el MBR en un sector alternativo y tomar su
posición. Así, cada vez que se inicie el sistema el virus logrará cargarse antes que
el SO y luego, respetando su deseo por permanecer oculto hará ejecutar las
instrucciones del MBR.
Con la información del MBR sabremos qué partición es la activa y en que sector
se encuentra su sector de booteo (boot record o BR). El BR contiene una
subrutina que se ocupará de cargar los archivos de arranque del SO. Los demás
pasos de la carga del SO son irrelevantes, pero es importante recordar que el SO
es el último en cargarse en la secuencia de booteo antes de que el usuario pueda
introducir comandos en la shell. El antivirus es cargado por los archivos de
configuración del SO personalizables por el usuario.Cuando un virus infecta un
archivo ejecutable .EXE, por ejemplo, intenta rastrear en el códigolos puntos de
entrada y salida del programa. El primer punto señalado es en donde, dentro del
archivo, se iniciará la ejecución de instrucciones. El segundo punto resulta ser lo
opuesto. Cuando un virus localiza ambos puntos escribe su propio código antes de
cada uno. Según el tipo de virus, este código cargará el virus en memoria –si es
que no lo estaba- y apuntará a esa zona infectada con el virus. A partir de ahí el
programa virósico determinará cuáles son las acciones a seguir: puede continuar
infectando archivos que sean cargados en memoria, ocultarse si es que detecta la
presencia de un antivirus o ejecutar el contenido de su módulo de ataque. El virus
puede infectar también las copias de los archivos cargados en memoria que están
en la unidad de almacenamiento. Así se asegura que ante un eventual apagado
de la computadora su código igualmente se encuentra en los archivos de la
unidad.
8
entidades sean trasladadas a otras computadoras se asegura la dispersión del
virus.
9
ALGUNOS MÉTODOS DE INFECCIÓN
Añadidura o empalme. Por este método el código del virus se agrega al final del
archivo ejecutable a infectar, modificando las estructurasde arranque del archivo
anfitrión de manera que el control del programa pase primero al virus cuando se
quiera ejecutar el archivo. Este cambio de secuencia permite al virus realizar sus
tareas específicas y luego pasar el control al programa para que este se ejecute
normalmente. La principal desventaja de este método es que el tamaño del
archivo infectado es mayor al original, lo que permite una fácil detección.
Inserción. Los virus que utilizan el método de inserción buscan alojarse en zonas
de código no utilizadas o en segmentos de datosdentro de los archivos que
contagian, de esta manera la longitud total del archivo infectado no varía. Este
método, parecido al de empalme, exige mayores técnicas de programación de los
virus para poder detectar las zonas posibles de contagio dentro de un ejecutable,
por lo que generalmente no es muy utilizada por los programadores de virus
informáticos.
Reorientación. Este método es una variante interesante del anterior. Bajo este
esquema se introducen centrales virósicas (los códigos principales del virus) en
zonas físicas del disco rígido marcadas como defectuosas o en archivos ocultos
del sistema. Estos códigos virales, al ejecutarse, implantan pequeños trozos de
código en los archivos ejecutables que infectan, que luego actúan como
llamadores de las centrales virósicas. La principal ventaja de este método es que
el cuerpo del virus, al no estar inserto en el archivo infectado sino en otro sitio
oculto, puede tener un tamaño bastante grande, aumentando así su funcionalidad.
La desventaja más fuerte es que la eliminación de este tipo de infecciones es
bastante sencilla. Basta con borrar archivos ocultos sospechosos o reescribir las
zonas del disco marcadas como defectuosas.
10
único que actúa es el virus, que cumple con sus tareas de contagiar otros archivos
y luego termina la ejecución del programa reportando algún tipo de error. Esta
técnica tiene sus ventajas, ya que en cada infección se eliminan archivos de
programas válidos, los cuales son reemplazados por nuevas copias del virus.
Los virus utilizan el tunneling para protegerse de los módulos residentes de los
antivirus que monitorean todo lo que sucede en la máquina para interceptar todas
las actividades "típicas" de los virus.
Para entender como funciona esta técnica basta saber como trabaja este tipo de
antivirus. El módulo residente queda colgado de todas las interrupciones
usualmente usadas por los virus (INT 21, INT 13, a veces INT 25 Y 26) y entonces
cuando el virus intenta llamar a INT 21, por ejemplo, para abrir un ejecutable para
lectura / escritura (y luego infectarlo), el antivirus emite una alerta, pues los
ejecutables no son normalmente abiertos, ni menos para escritura. Y así con todas
las llamadas típicas de los virus.
La segunda, hacer un simple y llano scanning del código, byte a byte, hasta hallar
el address. Se usa en pocos virus, pero es la que usa Kohntark en su célebre
Kohntark Recursive Tunneling Toolkit.
11
Problemas Generales del Tunneling.
Pero el problema principal del tunneling es que aún teniendo éxito en obtener la
INT 21 posta, se pueden tener problemas si hay algún residente importante y uno
lo esta pasando por debajo. Es famoso ya el caso del Predator II y el
DoubleSpace. El predator II tuneleaba por debajo del DoubleSpace y trataba de
acceder al disco directamente por MS-DOS. Esto produjo que destruyera el
contenido de varios discos rígidos. En definitiva, esto es contrario a las intenciones
del tunneling.
12
FASES DE INFECCIÓN DE UN VIRUS
Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema
cuando son ejecutados o atacando el
sector de arranque del disco duro.
De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendrá el sector de arranque del disco, y los archivos del
sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra
escritura, dichos discos quedan infectados y listos para pasar el virus a otro
computador e infectar el sistema.
La mayoría de los virus se activan mediante el reloj del sistema para comprobar la
fecha y activar el virus, dependiendo de la fecha u hora del sistema o mediante
alguna condición y por último atacan, el daño que causan depende de su autor.
13
TIPOS DE VIRUS INFORMÁTICOS
Todos los virus tiene en comun una caracteristica, y es que crean efectos
perniciosos. A continuación te presentamos la clasificacion de los virus
informaticos, basada en el daño que causan y efectos que provocan.
Caballo de Troya:
Es un programa dañino que se oculta en otro programa legítimo, y que produce
sus efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de
infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente,
en la mayoría de las ocasiones, para causar su efecto destructivo.
Gusano o Worm:
Es un programa cuya única finalidad es la de ir consumiendo la memoria del
sistema, se copia asi mismo sucesivamente, hasta que desborda la RAM, siendo
ésta su única acción maligna.
Virus de macros:
Un macro es una secuencia de oredenes de teclado y mouse asignadas a una
sola tecla, símbolo o comando. Son muy utiles cuando este grupo de instrucciones
se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas
que los contienen, haciendose pasar por una macro y actuaran hasta que el
archivo se abra o utilice.
Virus de sobreescritura:
Sobreescriben en el interior de los archivos atacados, haciendo que se pierda el
contenido de los mismos.
Virus de Programa:
Comúnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV,
.BIN, .DLL, y .SYS., los dos primeros son atacados más frecuentemente por que
se utilizan mas.
Virus de Boot:
Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y
el sector de arranque maestro (Master Boot Record) de los discos duros; también
pueden infectar las tablas de particiones de los discos.
Virus Residentes:
Se colocan automáticamente en la memoria de la computadora y desde ella
esperan la ejecución de algún programa o la utilización de algún archivo.
14
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los
archivos existentes, y como consecuencia no es posible localizarlos y trabajar con
ellos.
Virus Múltiples:
Son virus que infectan archivos ejecutables y sectores de booteo
simultáneamente, combinando en ellos la acción de los virus de programa y de los
virus de sector de arranque.
15
¿QUE ES UN ANTIVIRUS?
Es un programa creado para prevenir o evitar la activación de los virus, así como
su propagación y contagio. Cuenta además con rutinas de detención, eliminación y
reconstrucción de los archivos y las áreas infectadas del sistema.
16
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus
informáticos, cuando había pocos y su producción era pequeña. Este
relativamente pequeño volumen de virus informáticos permitía que los
desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus,
extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de
datos del programa para lanzar una nueva versión. Sin embargo, la obsolescencia
de este mecanismo de identificación como una solución antivirus completa se
encontró en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solución a
posteriori: es necesario que un virus informático alcance un grado de dispersión
considerable para que sea enviado (por usuarios capacitados, especialistas o
distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán,
extraerán el trozo de código que lo identificará, y lo incluirán en la próxima versión
de su programa antivirus. Este proceso puede demorar meses a partir del
momento en que el virus comienza a tener una dispersión considerable, lapso en
el cual puede causar graves daños sin que pueda ser identificado.
17
muchisimas cosas que no son virus. Esto hace necesario que el usuario que lo
utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de
poseer herramientas que le faciliten una discriminación de cualquier falsa alarma
generada por un método heurístico.
Algunos de los antivirus de esta clase son: F-Prot, Norton Anti Virus y Dr.
Solomon's Toolkit. Ahora bien, otra forma de detectar la presencia de un virus
informático en un sistema consiste en monitorear las actividades de la PC
señalando si algún proceso intenta modificar los sectores críticos de los
dispositivos de almacenamiento o los archivos ejecutables. Los programas que
realizan esta tarea se denominan chequeadores de integridad. Sobre la base de
estas consideraciones, podemos consignar que un buen sistema antivirus debe
estar compuesto por un programa detector de virus, que siempre esté residente en
memoria y un programa que verifique la integridad de los sectores críticos del
disco rígido y sus archivos ejecutables. Existen productos antivirus que cubren los
dos aspectos, o bien pueden combinarse productos diferentes configurados de
forma que no se produzcan conflictos entre ellos.
Modelo de Antivirus
La estructura de un programa antivirus, está compuesta por dos módulos
principales: el primero denominado de control y el segundo denominado de
respuesta. A su vez, cada uno de ellos se divide en varias partes:
18
en pantalla. Algunos programas antivirus ofrecen, una vez detectado un virus
informático, la posibilidad de erradicarlo. Por consiguiente, la función reparar se
utiliza como una solución momentánea para mantener la operatividad del sistema
hasta que pueda instrumentarse una solución adecuada. Por otra parte, existen
dos técnicas para evitar el contagio de entidades ejecutables: evitar que se
contagie todo el programa o prevenir que la infección se expanda más allá de un
ámbito fijo. Aunque la primera opción es la más adecuada, plantea grandes
problemas de implementación
19
RECOMENDACIONES
- Compras a través del comercio electrónico: Se sugiere utilizar una única tarjeta
para comprar en Internet y mantenerla con el saldo mínimo necesario. Es
importante informarse periódicamente de los movimientos bancarios registrados
en las cuentas.
- Los usuarios más jóvenes que estrenan ordenador o que utilizan Internet por
primera vez deben de estar acompañados por sus progenitores. El portal
www.chaval.es de Red.es es una guía que inicia al menor de forma segura y
pedagógica.
20
CONCLUSIONES
21
WEB GRAFIA
22