Informtica y electrnica

Ing: electrnica telecomunicaciones y redes

Seguridad de redes

Desarrollo de un virus y su medicina

Docente: Ing: Marcelo Donoso

Integrantes: Jonh Tene 23
Cristian Basquez 139
Daniel Paqui 167
Jorge Leon 220

Semestre: noveno A
Octubre 2016 - febrero 2017
Riobamaba-ecador

I.
II.

TEMA: DESARROLLO DE UN VIRUS Y SU MEDICINA

INTRODUCCIN

La informtica est presente hoy en da en todos los campos de la vida

moderna
facilitndonos
grandemente
nuestro
desempeo,
sistematizando tareas que antes realizbamos manualmente.
Este esparcimiento informtico no slo nos ha trado ventajas sino que
tambin problemas de gran importancia en la seguridad de los sistemas
de informacin en negocios, hogares, empresas, gobierno, en fin, en
todos los aspectos relacionados con la sociedad. Y entre los problemas
estn los virus informticos cuyo propsito es ocasionar perjuicios al
usuario de computadoras. Pueden ocasionar pequeos trastornos tales
como la aparicin de mensajes en pantalla hasta el formateo de los
discos duros del ordenador, y efectivamente este puede ser uno de los
mayores daos que un virus puede realizar a su ordenador.
Pero como para casi todas las cosas dainas hay un antdoto, para los
virus tambin lo hay: el antivirus, que como ms adelante se describe es
un programa que ayuda a eliminar los virus o al menos a asilarlos de los
dems archivos para que nos los contaminen.
III.

OBJETIVOS
A. GENERAL
Crear un virus y su respectiva medicina mediante codificacion y
conocer mas acerca de los daos, y el propsito de su desarrollo
B. ESPECIFICOS
Indagar los tipos de virus existentes en la linea tecnologicainformatica y su linea de codigo
Desarrollar un virus troyano mediante codificacion .bat en una
maquina virtual
Ejecutar el virus creado para verificar su funcionamiento y el
dao que produce para el area que fue desarrollado.
Crear la medicina mediante codificacin, para contrarestar el
virus troyano
Instalar el antivirus en la maquina infectada por el virus
desarrollado y comprobar su efectividad

IV.

MARCO CONCEPTUAL

A. VIRUS
Son programas de ordenador que se reproducen a s mismos e interfieren con
el hardware de una computadora o con su sistema operativo. Los virus estn
diseados para reproducirse y evitar su deteccin. Como cualquier otro
programa informtico, un virus debe ser ejecutado para que funcione: es decir,
el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus
instrucciones. Estas instrucciones se conocen como carga activa del virus. La
carga activa puede trastornar o modificar archivos de datos, presentar un
determinado mensaje o provocar fallos en el sistema operativo.

El virus une a un programa preexistente en el disco del ordenador una copia de

s mismo. Esto se conoce como "infectar" el programa y permite la difusin de
los virus.
Existen otros programas informticos nocivos similares a los virus, pero que no
cumplen ambos requisitos de reproducirse y eludir su deteccin. Estos
programas se dividen en tres categoras:
1. CABALLOS DE TROYA: Aparenta ser algo interesante e inocuo, por
ejemplo un juego, pero cuando se ejecuta puede tener efectos dainos.
2. BOMBAS LGICAS: libera su carga activa cuando se cumple una
condicin determinada, como cuando se alcanza una fecha u hora
determinada o cuando se teclea una combinacin de letras.
3. GUSANO: se limita a reproducirse, pero puede ocupar memoria de la
computadora y hacer que sus procesos vayan ms lentos.
B. QUIN LOS CREA?
Programadores expertos, por demostrar su capacidad o por el placer de hacer
dao. Tambin se especula que muchos virus sean creados en secreto por las
mismas empresas que comercializan los antivirus.
C. CARACTERISTICAS
1. SON PROGRAMAS DE COMPUTADORA: En informtica programa es
sinnimo de Software, es decir el conjunto de instrucciones que ejecuta
un ordenador o computadora.
2. ES DAINO: Un virus informtico siempre causa daos en el sistema
que infecta, pero vale aclarar que el hacer dao no significa que vaya a
romper algo.
3. ES AUTO REPRODUCTOR: La caracterstica ms importante de este
tipo de programas es la de crear copias de s mismos, cosa que ningn
otro programa convencional hace.
4. ES SUBREPTICIO: Esto significa que utilizar varias tcnicas para
evitar que el usuario se d cuenta de su presencia.

D. GENERALIDADES SOBRE LOS VIRUS

Son programas que debido a sus caractersticas particulares, son especiales.
Para hacer un virus de computadora, no se requiere capacitacin especial, ni
una genialidad significativa, sino conocimientos de lenguajes de programacin,
de algunos temas no difundidos para pblico en general y algunos

conocimientos puntuales sobre el ambiente de programacin y arquitectura de

las computadoras.
En la vida diaria, ms all de las especificaciones tcnicas, cuando un
programa invade inadvertidamente el sistema, se replica sin conocimiento del
usuario y produce daos, prdida de informacin o fallas del sistema. Para el
usuario se comportan como tales y funcionalmente lo son en realidad.
La clave de los virus radica justamente en que son programas. Un virus para
ser activado debe ser ejecutado y funcionar dentro del sistema al menos una
vez. Dems est decir que los virus no "surgen" de las computadoras
espontneamente, sino que ingresan al sistema inadvertidamente para el
usuario, y al ser ejecutados, se activan y actan con la computadora husped.

E. VIRUS MAS FUERTES

1. Sircam
2. Code Red
3. Nimda

5. Melissa

4. Magistr

7. LoveLetter

6. Klez

8.
F. COMO SE PRODUCEN LAS INFECCIONES?
9. Los virus difunden cuando las instrucciones o cdigo ejecutable que
hacen funcionar los programas pasan de un ordenador a otro. Una vez
que un virus est activado, puede reproducirse copindose en discos
flexibles, en el disco duro, en programas informticos legtimos o a travs
de redes informticas.
10. Los virus funcionan, se reproducen y liberan sus cargas activas slo
cuando se ejecutan. Por eso, si un ordenador est simplemente
conectado a una red informtica infectada o se limita a cargar un
programa
infectado,
no
se
infectar
necesariamente.
Algunos virus tienen la capacidad de adherirse a programas legtimos.
Esta adhesin puede producirse cuando se crea, abre o modifica el
programa legtimo.
11. Hay personas que piensan que con tan slo estar navegando en la
Internet no se van a contagiar porque no estn bajando archivos a sus
ordenadores, pero la verdad es que estn muy equivocados. Hay
algunas pginas en Internet que utilizan objetos ActiveX que son archivos
ejecutables que el navegador de Internet va ejecutar en nuestras
computadoras, si en el ActiveX se le codifica algn tipo de virus este va a
pasar a nuestra computadora con tan solo estar observando esa pgina.
12.
G. ESTRATEGIAS DE INFECCIN UTILIZADAS POR LOS VIRUS

13.
1. AADIDURA O EMPALME: El cdigo del virus se agrega al final del
archivo a infectar, modificando las estructuras de arranque del archivo de
manera que el control del programa pase por el virus antes de ejecutar el
archivo.
14.
2. INSERCIN: El cdigo del virus se aloja en zonas de cdigo no
utilizadas o en segmentos de datos para que el tamao del archivo no
vare. Para esto se requieren tcnicas muy avanzadas de programacin,
por lo que no es muy utilizado este mtodo.
15.
3. REORIENTACIN: Se introduce el cdigo principal del virus en zonas
fsicas del disco rgido que se marcan como defectuosas y en los
archivos se implantan pequeos trozos de cdigo que llaman al cdigo
principal al ejecutarse el archivo.
16.
4. POLIMORFISMO: Este es el mtodo ms avanzado de contagio. La
tcnica consiste en insertar el cdigo del virus en un archivo ejecutable,
pero para evitar el aumento de tamao del archivo infectado, el virus
compacta parte de su cdigo y del cdigo del archivo anfitrin, de
manera que la suma de ambos sea igual al tamao original del archivo.
17.
5. SUSTITUCIN: Es el mtodo ms tosco. Consiste en sustituir el cdigo
original del archivo por el del virus. Al ejecutar el archivo deseado, lo
nico que se ejecuta es el virus.
18.
19.
20.
H. CATEGORIAS DE VIRUS
1. PARASITOS: Infectan ficheros ejecutables o programas de la
computadora. No modifican el contenido del programa husped, pero se
adhieren al husped de tal forma que el cdigo del virus se ejecuta en
primer lugar. Estos virus pueden ser de accin directa o residentes.
2. SECTOR DE ARRANQUE INICIAL: Residen en la primera parte del
disco duro o flexible, conocida como sector de arranque inicial, y
sustituyen los programas que almacenan informacin sobre el contenido
del disco o los programas que arrancan el ordenador. Estos virus suelen
difundirse mediante el intercambio fsico de discos flexibles.
3. MULTIPARTITOS: Los virus multipartitos combinan las capacidades de
los virus parsitos y de sector de arranque inicial, y pueden infectar tanto
ficheros como sectores de arranque inicial.
4. ACOMPAANTES: No modifican los ficheros, sino que crean un nuevo
programa con el mismo nombre que un programa legtimo y engaan al
sistema operativo para que lo ejecute.
5. VINCULO: Modifican la forma en que el sistema operativo encuentra los
programas, y lo engaan para que ejecute primero el virus y luego el

programa deseado. Un virus de vnculo puede infectar todo un directorio

(seccin) de una computadora, y cualquier programa ejecutable al que
se acceda en dicho directorio desencadena el virus. Otros virus infectan
programas que contienen lenguajes de macros potentes (lenguajes de
programacin que permiten al usuario crear nuevas caractersticas y
herramientas) que pueden abrir, manipular y cerrar ficheros de datos.
6. FICHEROS DE DATOS: Estn escritos en lenguajes de macros y se
ejecutan automticamente cuando se abre el programa legtimo. Son
independientes de la mquina y del sistema operativo.
21.
I. CLASIFICACIN
22.
1. VIRUS POR SU DESTINO DE INFECCIN
a. INFECTORES DE ARCHIVOS EJECUTABLES: Estos tambin residen
en la memoria de la computadora e infectan archivos ejecutables de
extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl. A su vez,
comparten con los virus de rea de boot el estar en vas de extincin
desde la llegada de sistemas operativos que reemplazan al viejo DOS.
b. INFECTORES DIRECTOS: El programa infectado tiene que estar
ejecutndose para que el virus pueda funcionar.
c. INFECTORES RESIDENTES EN MEMORIAS: El programa infectado no
necesita estar ejecutndose, el virus se aloja en la memoria y
permanece residente infectando cada nuevo programa ejecutado y
ejecutando su rutina de destruccin.
d. INFECTORES DEL SECTOR DE ARRANQUE: La computadora se
infecta con un virus de sector de arranque al intentar bootear desde un
disquete infectado. En este momento el virus se ejecuta e infecta el
sector de arranque del disco rgido, infectando luego cada disquete
utilizado en la computadora.
e. MACROVIRUS: Son los virus ms populares de la actualidad.
23.

El ciclo completo de infeccin de un Macro-Virus sera as:

Se abre el archivo infectado, con lo cual se activa en

memoria.

Infecta sin que el usuario se d cuenta al

normal.dot, con eso se asegura que el usuario sea un reproductor
del virus sin sospecharlo.

Si est programado para eso, busca dentro de la

Computadora los archivos de Word, Excel, etc., que puedan ser
infectados y los infecta.

Si est programado, verifica un evento de

activacin, que puede ser una fecha, y genera el problema dentro
de la computadora (borrar archivos, destruir informacin, etc.)

f. DE ACTIVES AGENTS Y JAVA APPLETS: Estos pequeos programas

se graban en el disco rgido del usuario cuando est conectado a
Internet y se ejecutan cuando la pgina Web sobre la que se navega lo
requiere, siendo una forma de ejecutar rutinas sin tener que consumir
ancho de banda.
g. DE HTML: Con solo conectarse a Internet, cualquier archivo HTML de
una pgina Web puede contener y ejecutar un virus.
h. TROYANOS: Los troyanos son programas que imitan programas tiles o
ejecutan algn tipo de accin aparentemente inofensiva, pero que de
forma
oculta
al
usuario
ejecutan
el
cdigo
daino.
Los troyanos no cumplen con la funcin de auto reproduccin, sino que
generalmente son diseados de forma que por su contenido sea el
mismo usuario el encargado de realizar la tarea de difusin del virus.
(Generalmente son enviados por e-mail). Pueden ser programados de tal
forma que una vez logre su objetivo se autodestruya dejando todo como
si nunca nada hubiese ocurrido.
24.
2. VIRUS POR SUS ACCIONES O MODOS DE ACTIVACIN
a. BOMBAS: Se denomina as a los virus que ejecutan su accin
daina como si fuesen una bomba.
25.
b. RETRO VIRUS: Son los virus que atacan directamente al antivirus
que est en la computadora.
c. VIRUS LENTOS: Los virus de tipo lento hacen honor a su nombre
infectando solamente los archivos que el usuario hace ejecutar por el
sistema operativo, simplemente siguen la corriente y aprovechan
cada una de las cosas que se ejecutan.
d. VIRUS VORACES:
indiscriminadamente.

Alteran

el

contenido

de

los

archivos

e. SIGILOSOS O STEALTH: Este virus cuenta con un mdulo de

defensa sofisticado. Trabaja a la par con el sistema operativo viendo
como este hace las cosas y tapando y ocultando todo lo que va
editando a su paso.
f. POLIMORFOS O MUTANTES: Encripta todas sus instrucciones para
que no pueda ser detectado fcilmente. Solamente deja sin encriptar
aquellas instrucciones necesarias para ejecutar el virus.
g. CAMALEONES: Son una variedad de virus similares a los caballos
de Troya que actan como otros programas parecidos, en los que el
usuario confa, mientras que en realidad estn haciendo algn tipo de
dao.

h. REPRODUCTORES: Los reproductores se reproducen en forma

constante una vez que son ejecutados hasta agotar totalmente el
espacio de disco o memoria del sistema.
i. GUSANOS: Los gusanos son programas que constantemente viajan
a travs de un sistema informtico interconectado, de computadora
en computadora, sin daar necesariamente el hardware o el software
de los sistemas que visitan.
j. BLACKDOORS: Son tambin conocidos como herramientas de
administracin remotas ocultas. Son programas que permiten
controlar remotamente la computadora infectada.
k. BUG- WARE: Son programas que en realidad no fueron pensados
para ser virus, sino para realizar funciones concretas dentro del
sistema, pero debido a una deficiente comprobacin de errores por
parte del programador, o por una programacin confusa que ha
tornado desordenado al cdigo final, provocan daos al hardware o
al software del sistema.
l. MIRC: Son una nueva generacin de programas que infectan las
computadoras, aprovechando las ventajas proporcionadas por
Internet y los millones de usuarios conectados.
26.
m. VIRUS FALSOS: Un ltimo grupo, que decididamente no puede ser
considerado virus. Se trata de las cadenas de e-mails que
generalmente anuncian la amenaza de algn virus y son ejecutados
por el usuario.
27.
J. CMO SABER SI TENEMOS UN VIRUS?
28.
La mejor forma de detectar un virus es, obviamente con un
antivirus, pero en ocasiones los antivirus pueden fallar en la deteccin.
Puede ser que no detectemos nada y an seguir con problemas. En esos
casos "difciles", entramos en terreno delicado y ya es conveniente la
presencia de un tcnico programador. Muchas veces las fallas atribuidas
a virus son en realidad fallas de hardware y es muy importante que la
persona que verifique el equipo tenga profundos conocimientos de
arquitectura de equipos, software, virus, placas de hardware, conflictos de
hardware, conflictos de programas entre s y bugs o fallas conocidas de
los programas o por lo menos de los programas ms importantes.
K. SINTOMAS POSIBLES
1. REDUCCIN DEL ESPACIO EN LA MEMORIA RAM: Un virus, al entrar
al sistema, se sita en la memoria RAM, ocupando una porcin de ella.
2. LAS OPERACIONES RUTINARIAS SE REALIZAN CON MS
LENTITUD: Obviamente los virus son programas, y como tales
requieren de recursos del sistema para funcionar.

3. APARICIN DE PROGRAMAS RESIDENTES EN MEMORIA

DESCONOCIDOS: El cdigo viral, como ya dijimos, ocupa parte de la
RAM y debe quedar "colgado" de la memoria para activarse cuando sea
necesario.
4. TIEMPOS DE CARGA MAYORES: Corresponde al enlentecimiento
global del sistema, en el cual todas las operaciones se demoran ms de
lo habitual.
5. APARICIN DE MENSAJES DE ERROR NO COMUNES: En mayor o
menor medida, todos los virus, al igual que programas residentes
comunes, tienen una tendencia a "colisionar" con otras aplicaciones.
6. FALLOS EN LA EJECUCIN DE LOS PROGRAMAS: Programas que
normalmente funcionaban bien, comienzan a fallar y generar errores
durante la sesin.
29.
L. MEDIDAS DE PROTECCIN
30.
Adquirir un antivirus, mantenerlo actualizado y tratar de
mantenerse informado sobre las nuevas tcnicas de proteccin y
programacin de virus. Gracias a Internet es posible mantenerse al tanto
a travs de servicios gratuitos y pagos de informacin y seguridad. Hay
innumerables boletines electrnicos de alerta y seguridad que advierten
sobre posibles infecciones de mejor o menor calidad.
M. FORMAS DE PREVENCIN Y ELIMINACIN DE CUALQUIER VIRUS
1. COPIAS DE SEGURIDAD: Realice copias de seguridad de sus datos.
2. COPIAS DE PROGRAMAS ORIGINALES:
31. No instale los programas desde los disquetes originales. Haga
copia de los discos y utilcelos para realizar las instalaciones.
32. No acepte copias de origen dudoso
3. ANTIVIRUS: Tenga siempre instalado un antivirus en su
computadora, como medida general analice todos los discos que
desee instalar
33.
N. ANTIVIRUS
34. Nacieron como una herramienta simple cuyo objetivo fuera detectar y
eliminar virus informticos. El funcionamiento de un antivirus vara de
uno a otro, aunque su comportamiento normal se basa en contar con una
lista de virus conocidos y sus formas de reconocerlos (las llamadas
firmas o vacunas), y analizar contra esa lista los archivos almacenados o
transmitidos desde y hacia un ordenador.

35. Usualmente, un antivirus tiene un (o varios) componente residente en

memoria que se encarga de analizar y verificar todos los archivos
abiertos, creados, modificados, ejecutados y transmitidos en tiempo real,
es decir, mientras el ordenador est en uso. Asimismo, cuentan con un
componente de anlisis bajo demando (los conocidos scanners,
exploradores, etc), y mdulos de proteccin de correo electrnico,
Internet, etc.
36. El objetivo primordial de cualquier antivirus actual es
detectar la mayor cantidad de amenazas informticas que puedan
afectar un ordenador y bloquearlas antes de que la misma pueda
infectar un equipo, o poder eliminarla tras la infeccin.
37. Es conveniente disponer de una licencia activa de antivirus. Dicha
licencia se emplear para la generacin de discos de recuperacin y
emergencia. Sin embargo no se recomienda en una red el uso continuo
de antivirus. El motivo radica en la cantidad de recursos que dichos
programas obtienen del sistema, reduciendo el valor de las inversiones
en hardware realizadas.
38. FUNCIONAMIENTO DEL ANTIVIRUS
39. Un antivirus es creado con una lista de cdigos maliciosos en lo que lleva
al antivirus a examinar en la base de datos de un archivo, si en la lista de
cdigos maliciosos hay un cdigo en el que est en un archivo, este ser
reconocido como un virus informtico.
40. Pero se logr porque si el antivirus tiene esa lista de cdigos, y se trata
de examinar el mismo antivirus, debera reconocerse que es un virus
informtico
41. Pero podra haber otros datos en el antivirus y poder reconocerlo como
una prueba de cdigos para el mismo funcionamiento del antivirus... en
pocas palabras: que el antivirus no se detecte como un virus debido a la
lista de cdigos maliciosos que tiene para detectar los virus en los datos,
habran otros datos de funcionamiento en el antivirus que impediran el
acceso a examinar la lista de cdigos (no impedir examinar, sino darle
una excepcin al mismo antivirus para hacer el trabajo del mismo).
O. TIPOS DE VACUNAS
1. SLO DETECCIN: Son vacunas que solo detectan archivos infectados
sin embargo no pueden eliminarlos o desinfectarlos
2. DETECCIN Y DESINFECCION: son vacunas que detectan archivos
infectados y que pueden desinfectan

P. SISTEMAS DE OPERACIN MS ATACADOS

42. Las plataformas ms atacadas por virus informticos son la lnea de
sistemas operativos Windows de Microsoft. Respecto a los sistemas
derivados de Unix como GNU/Linux, BSD, Solaris, MacOS, stos han
corrido con mejor suerte debido en parte al sistema de permisos.
43. No obstante en las plataformas derivadas de Unix han existido algunos
intentos que ms que presentarse como amenazas reales no han
logrado el grado de dao que causa un virus en plataformas Windows.
44.
Q. ANTIVIRUS COMERCIALES
45. En el mundo de la informtica existen varias empresas que se dedican a
la fabricacin de antivirus. Dichas empresas desde sus comienzos han
tratado de crear unos sistemas estables que le brinden seguridad y
tranquilidad a los usuarios. Da a da ellas tienen la encomienda de
reconocer nuevos virus y crear los antdotos y vacunas para que la
infeccin no se propague como plagas en el mundo de las
telecomunicaciones.
Entre los antivirus existentes en el mercado se pueden mencionar:
Panda Antivirus

Esafe

Norton Antivirus

F-Prot

McAfee VirusScan

IBM Antivirus

Dr. Solomons Tool Kit

PcCillin

Si se tiene la capacidad de invertir una cantidad de dinero se deben tener

por lo menos dos antivirus. Uno que yo recomiendo mucho es el Norton
Antivirus que al unirlo con el F-Prot y una buena poltica sobre virus me
ha resuelto grandemente los problemas en la universidad.
Entre los virus que ms fuerte han azotado a la universidad en los
ltimos dos aos puedo mencionar:
Sircam

Melissa

Code Red

Klez

Nimda

LoveLetter

Magistr


Afortunadamente, las infecciones informticas pueden ser prevenibles
por el usuario. Con una buena combinacin de sentido comn unido a un
buen antivirus se puede precaver a gran escala. Adems se debe
concienciar a los usuarios con polticas de seguridad en el uso del correo
electrnico y otros programas que se bajan de Internet. La poltica de
seguridad del correo electrnico debe incluir algn prrafo informativo
para
adiestrar
al
usuario
como
el
siguiente:
Los archivos adjuntos es la forma ms comn que es afectado un
sistema de informacin. Hay que ejercer un cuidado extremo cuando se
est abriendo un archivo que acabamos de recibir. Nunca se debe abrir
un archivo si no se sabe el lugar de procedencia y mucho menos si no
tiene que ver con el trabajo. Antes de abrir el archivo se tiene que
verificar con el antivirus. Si tiene alguna duda con respecto al archivo que
le enviaron debe comunicarse con el personal de sistemas de
informacin. Tambin la poltica debe incluir adiestramiento a los usuarios
como medida preventiva a las infecciones. Los adiestramientos pueden
ser secciones grupales, recordatorios de procesos o parte del
adiestramiento, material de referencia. Los adiestramientos deben ser
cortos, al grano e interactivos donde se promulgue la participacin por
parte de los usuarios e inquietarlos y concienciarlos con respectos al
dao que ocasionan los virus. Los recordatorios deben ser memos
enviados por el correo electrnico describiendo las mejores prcticas
para combatir los virus. Enviando documentos de los virus nuevos sus
estragos y la forma de erradicarlo del sistema. Por ltimo el material de
referencia puede ser informacin para actualizar el antivirus o
comunicados que sacan las empresas creadoras de antivirus. En las
medianas empresas se requiere por lo menos dos tipos de antivirus, uno
para el correo electrnico y otro para los clientes y servidores. Una
buena prctica es tener dos antivirus distintos ya que trabajan de
distintas maneras. Tal vez mientras uno es bueno detectando nuevos
virus el otro es bueno enviado actualizaciones recientes. En las
empresas de muchas computadoras quizs cientos el antivirus debe
estar centralizado para facilitar el trabajo de actualizaciones y de control
de los virus que llegan al servidor manteniendo una bitcora de todo lo
que
ocurre
en
la
red.

V. DESARROLLO
VI.
BIBLIOGRAFIA
VII.
ANEXOS