Virus Informticos Virus Residente Los virus residentes son aquellos que se ocultan en la RAM de una computadora y que
afecta a los programas y ficheros en el momento que comienzan su funcionamiento. Una vez ejecutado el programa portador del virus, se queda en la memoria de la computadora hasta que se apague la misma. Mientras tanto va infectando todos aquellos programas ejecutables que cargue. Se caracterizan por actuar segn unas pautas marcadas por el creador. Son los virus de archivo ms habituales, infecciosos y contagiosos. Tambin son llamados TSR [Terminate and Stay Resident) por tener la particularidad de terminar y permanecer indefinidamente residente en la memoria incluso despus de haber finalizado el programa portador del virus. A diferencia de los virus no residentes que una vez ejecutados, infectan programas que se encuentran en el disco duro. Algunos de los ejemplos de este tipo de virus son el Meve, Randex, MrKlunky y el CMJ. Algunos de estos virus desaparecen cuando la memoria RAM pierde su contenido una vez que la computadora ha sido apagada o reiniciada, pero otros, sin embargo, realizan cambios en el sistema para reinstalarse cada vez que se encienda el equipo. Muchas veces los virus residentes son divididos en dos categoras; una donde pueden infectar rpidamente y otra cuando infectan lento. Cuando un virus infecta rpido es porque estn diseados para infectar tantos archivos como sea posible, un ejemplo de esto seria cuando el virus puede infectar todos los archivos de acogida potencial que se tiene acceso. Una vez que estos virus se ponen en marcha la primera operacin que efectan es en verificar si se cumplen todas las condiciones para atacar, en caso de que no sea de esta manera, entonces se sitan en una zona de la memoria principal, esperando que se ejecute algn programa. El programa infectado no necesita estar ejecutndose, pues este virus permanece residente contaminando cada nuevo programa ejecutado y ejecutando su rutina de destruccin. Estos virus se mantienen dentro de la memoria esperando que ocurra algn determinado acontecimiento para de esa manera poder arrojar su destructiva accin. Si el Sistema Operativo comienza a trabajar con un fichero ejecutable que no est infectado; entonces el virus lo contagiar, as de esta manera el virus se incorporar al programa que est infectado, aadiendo su cdigo al propio cdigo programa. El programa infectado no necesita estar ejecutndose, el virus se aloja en la memoria. En ocasiones se puede dar la situacin de que existan algunos virus residentes que nunca llegan a afectar nada al sistema, pero son la gran minora. Su principal caracterstica es que se esconden tras la memoria RAM de una manera permanente. De manera que puedan controlar y obstaculizar todos los procedimientos llevadas a cabo por el sistema operativo, contagiando todos aquellos programas y ficheros que se hayan abierto, cerrado, renombrado, ejecutados, copiados, o cualquier otra operacin que se haya realizado con los mismos. Solamente atacan cuando se cumplen ciertas circunstancias que han sido previamente especificadas por su creador como es el caso de una fecha o una hora determinada, mientras tanto se encuentran ocultos en una parte de la memoria hasta que son descubiertos y eliminados por el usuario.
�Hijackers
Los hijackers son programas conocidos como "Secuestradores", ya que tienen como objetivo secuestrar el navegador, cambiando la pagina de inicio por una inyectada de forma directa por un pirata informatico o por un programa malicioso.
No obstante, los Hijackers tambien optan por secuestrar informacion del usuario, para despues advertirle que esta a sido encriptada y que necesita una llave especial para poder liberar tal informacion, sin restar que hay que llevar acabo un pago previo para la adquision de tal llave.
Los hijckers tienen un nivel de peligrosidad bajo, ya que por lo regular no son tomados en cuenta como un virus en su totalidad, no obstante los antivirus detectan a estos programas como virus por que no solo cambian la configuracion de la pagina de menu inicio, si no tambien la configuracion del archivo Hosts de windows.
Keylogger Un keylogger (registrador de teclas) es una herramienta de diagnstico utilizada en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y/o enviarlas a travs de internet.
El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario lo revisa) y al teclado mismo (que no se ven pero que se necesita algn conocimiento de como soldarlos). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a travs de un troyano o como parte de un virus informtico o gusano informtico. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que slo requiere clics del ratn. Sin embargo, la aplicaciones ms nuevas tambin registran pantallazos que anulan la seguridad de esta [Link] decir que esto podra ser falso ya que los eventos de mensajes del teclado deben ser enviados al programa externo para que se escriba el texto, por lo que cualquier keylogger podra registrar el texto escrito mediante un teclado virtual.
El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de software: Keylogger con hardware:
�Son dispositivos disponibles en el mercado que vienen en tres tipos: 1. Adaptadores en lnea que se intercalan en la conexin del teclado, tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fcilmente con una revisin visual detallada. 2. Dispositivos que se pueden instalar dentro de los teclados estndares, requiere de habilidad para soldar y de tener acceso al teclado que se modificar. No son detectables a menos que se abra el cuerpo del teclado. 3. Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a menos que se les busque especficamente.
Keylogger con software: Contrariamente a las creencias populares, el cdigo de un keylogger por software es simple de escribir, con un conocimiento bsico de la API proporcionada por el sistema operativo objetivo. Los keyloggers de software se dividen en: 1. Basado en ncleo: este mtodo es el ms difcil de escribir, y tambin de combatir. Tales keyloggers residen en el nivel del ncleo y son as prcticamente invisibles. Derriban el ncleo del sistema operativo y tienen casi siempre el acceso autorizado al hardware que los hace de gran alcance. Un keylogger que usa este mtodo puede actuar como driver del teclado por ejemplo, y accede as a cualquier informacin registrada en el teclado mientras que va al sistema operativo. 2. Enganchados: estos keyloggers registran las pulsacines de las teclas del teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo activa el keylogger en cualquier momento en que se presione una tecla, y realiza el registro. 3. Mtodos creativos: aqu el programador utiliza funciones como GetAsyncKeyState, GetForegroundWindow, etc. stos son los ms fciles de escribir, pero como requieren la revisin el estado de cada tecla varias veces por segundo, pueden causar un aumento sensible en uso de la CPU y pueden ocasionalmente dejar escapar algunas pulsaciones del teclado.
ZOMBIE Los ordenadores zombi, controlados a distancia sin que su usuario lo sepa, son utilizados por las redes de ciberdelitos. En todo el mundo se calcula que existen unos 100 millones de equipos comprometidos. Mediante virus informticos que sirven de llave a programas creados con tal propsito, el computador director se infiltra secretamente en el computador de su vctima y lo usa para actividades ilegales. El usuario normalmente no sabe que su computador est comprometido y lo puede seguir usando, aunque pueda notar que su rendimiento ha bajado considerablemente. Se alquila a otros delincuentes o empresas poco escrupulosas. Los directores viven cmodamente gracias a los ingresos que obtienen con el alquiler de su red de esclavos a otros ciberdelincuentes. Para extender su alcance, pueden esconder virus de tipo troyano en archivos atractivos en redes P2P o portales de descarga directa gratuitos, por ejemplo.
�El computador zombie comienza a enviar una gran cantidad de mensajes spam o ataques a pginas Web y se convierte en punto central de investigaciones de posibles actividades ilegales. El usuario puede encontrar que su ISP (proveedor de servicios de Internet) ha cancelado su conexin a la red o puede estar siendo investigado por la polica especializada en delitos informticos, lo que, sin embargo, no significa una gran prdida para un director en el caso de tener varios computadores disponibles. Por lo menos en un caso una investigacin consigui averiguar que un solo hacker haba conseguido el control de un milln y medio de ordenadores, utilizndolos como plataforma para sus ataques. Grupos organizados pueden llegar a controlar grupos de decenas de miles de computadores infectados, que pueden usar para generar grandes cantidades de trfico proveniente de multitud de fuentes en Internet, dirigido a una sola red o servidor. Esto genera lo que se conoce como un Distributed Denial of Service o DDoS por sus siglas, lo que suele ser usado para chantajear a las vctimas, que deben pagar una suerte de peaje para mantener sus servicios en la red. Otro uso frecuente de los zombies es el envo de spam. Lo coordinado del envo que puede observarse en el que una mquina sucede a la otra en los intentos de entrega con pocos segundos de diferencia, sugiere la existencia de sofisticadas estructuras de comando y control informticos gobernando la operacin de estos equipos. Virus de Sobreescritura stos son probablemente los virus ms peligrosos. Si bien, la sobreescritura significa: reemplazar un archivo con otro nuevo, sto quiere decir que, destruyen los archivos infectados enseguida que son ejecutados y a su vez, son reemplazados por otros archivos, que al abrir aparecen en blanco Aunque la desinfeccin es posible, no existe posibilidad de recuperar los archivos infectados, siendo la nica alternativa posible la eliminacin de stos. Este tipo de virus puede ser considerado como virus de archivo. Una caracterstica interesante es que los archivos infectados por virus de sobreescritura, no aumentan de tamao, a no ser que el virus ocupe ms espacio que el propio archivo infectado. Esto es debido a que dicho tipo de virus se coloca encima del contenido del archivo infectado, no se incluye de forma adicional en una seccin del mismo.
Virus Boot
Tanto los discos rgidos como los disquetes contienen un Sector de Arranque, el cual contiene informacin especfica relativa al formato del disco y los datos almacenados en l. Adems, contiene un pequeo programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el
�sector de arranque del disco rgido, infectando luego cada disquete utilizado en el PC. Es importante destacar que como cada disco posee un sector de arranque, es posible infectar el PC con un disquete que contenga solo datos, este virus va 5 veces la velocidad de sonido atacan el disco duro sin detectarlo. Virus Macro Un macro virus se puede reproducir anexndose a correos electrnicos, discos, redes, memorias USB y por Internet y son especialmente difciles de detectar. Los documentos no infectados contienen macros normales. Los macros maliciosos arrancar automticamente cuando un documento se abre o se cierra. Una forma comn de que un macro infecte una computadora es reemplazando los macros normales con el virus en documentos y/o plantillas existentes o futuras, todo esto sin que el usuario lo note. Este tipo de virus tambin puede corromper otras partes del sistema ya que depende de los recursos a los que el virus tiene acceso al ejecutarse. Como los documentos infectados son compartidos con otros usuarios y sistemas, el virus se distribuye. Los macro virus tambin son famosos por instalar software sin autorizacin del usuario que es usado para mostrar anuncios, descargar otros programas o abrir pginas. Virus enlace o directorio Los ficheros son los documentos que contienen la informacin real en la que se ha trabajado (textos, bases de datos, hojas de clculo, imgenes, sonido, etc.) o programas (extensiones EXE y COM) y otros tipos de "elementos" que hacen posible la ejecucin de stos. Cuando hablamos de un fichero, podemos emplear indistintamente ste trmino, o el de documento, o el de archivo. Para organizar toda esta informacin, se crean directorios o carpetas que son quienes contienen a los ficheros, pudiendo contener tambin otras carpetas o directorios (subcarpetas o subdirectorios).
De esta forma, la estructura de un disco se puede ver como una gran carpeta clasificadora en la que los ficheros son guardados en determinadas secciones (directorios o carpetas). Otra forma diferente de presentar este concepto es pensar que el disco es una mesa de despacho en la que tenemos cajones. Estos cajones son los directorios, dentro de los cuales guardamos hojas (que representaran a los documentos, ficheros o archivos), pero que tambin pueden contener subsecciones (subcarpetas o subdirectorios). En definitiva el documento, fichero o archivos es el contenido y las carpetas o directorios son el continente que alberga dicho contenido.
Pues bien, el sistema informtico deber conocer en todo momento informacin sobre un determinado fichero, como el nombre que tiene y el lugar (carpeta o directorio) en el que se encuentra (en el que se ha guardado). Para ello le asignar una direccin a la que se debera acceder en caso de desear utilizar ese determinado fichero.
�Los virus de enlace o directorio se encargan de alterar estas direcciones para provocar la infeccin de un determinado fichero. Si un programa (fichero EXE o COM) se encuentra en una direccin concreta, para ejecutarlo habr que acceder a dicha direccin. Sin embargo, el virus la habr modificado con anterioridad. Lo que hace es alterar esta direccin para que apunte al lugar en el que se encuentra el virus, guardando en otro lugar la direccin de acceso correcta. De esta forma, cuando se pretenda ejecutar el fichero, lo que se har realmente es ejecutar el virus.
Ya que este tipo de virus puede modificar las direcciones donde se encuentran todos los ficheros del disco (disco duro), su capacidad para infectar TODOS stos es real. De este modo, los virus de enlace o directorio pueden infectar toda la informacin contenida en un disco, pero les es imposible realizar infecciones en unidades de red o agregarse a los ficheros infectados. En caso de realizar un anlisis del disco en busca de errores (mediante programas como SCANDISK o CHKDSK), se detectarn grandes cantidades de errores que identifican todos los enlaces a los ficheros que el virus ha modificado.
Virus Encriptacin o cifrado La encriptacin es un arma de doble filo en el mundo actual de TI. Los individuos y negocios lo utilizan para proteger sus medios de comunicacin legtima, mientras que los creadores de virus codifican los programas maliciosos para esconderlos de los productos antivirus. Los mtodos modernos de cifrado legtimo requieren que tanto el remitente como el receptor tengan claves compatibles: ya sea una clave compartida entre dos o ms personas o una clave pblica para todos los remitentes y una clave privada para el receptor. Los creadores de virus utilizan el cifrado para confundir el cdigo, para dificultar que los escneres antivirus lo detecten. En este caso, como el receptor no tiene una clave para descifrar el virus, el algoritmo de descifrado se incluye en el cdigo del virus. Virus polimrficos Los virus polimrficos tratan de evadir la deteccin cambiando su patrn de byte con cada infeccin, as que no existe una secuencia de bytes constante que un programa antivirus pueda buscar. Algunos virus polimrficos utilizan distintas tcnicas de cifrado para cada infeccin. El trmino polimrfico viene del griego (polis, muchos; morph, forma), de 'muchas formas', y se aplica a los virus desde comienzos de los noventa, cuando aparecieron los primeros virus polimrficos. Los creadores de virus aplican hoy en da el polimorfismo, generalmente en los gusanos y correo electrnico de texto dinmico y, con menos frecuencia, en los virus clsicos.
�Virus Multipartes Estos virus primero se dividen, se encriptan, se polimrfica y al final se pierde toda la informacin, Sin duda alguna, ste tipo de virus es el ms destructor de todos. Multi-parte hace referencia a una combinacin de todos los virus existentes en uno slo
No son Virus Gusanos (Worms)
Los gusanos utilizan las redes de comunicaciones para expandirse de sistema en sistema. Es decir, una vez que un gusano entra a un sistema examina las tablas de ruta, correo u otra informacin sobre otros sistemas, a fin de copiarse en todos aquellos sistemas sobre los cuales encontr informacin. Este mtodo de propagacin presenta un crecimiento exponencial con lo que puede infectar en muy corto tiempo a una red completa. Existen bsicamente 3 mtodos de propagacin en los gusanos: 1 - Correo electrnico - El gusano enva una copia de s mismo a todos los usuarios que aparecen en las libretas de direcciones que encuentra en el ordenador dnde se ha instalado. 2 - Mecanismos basados en RPC (Remote Procedure Call) - El gusano ejecuta una copia de s mismo en todos los sistemas que aparecen en la tabla de rutas(rcopy y rexecute). 3 - Mecanismos basados en RLOGIN - El gusano se conecta como usuario en otros sistemas y una vez en ellos, se copia y ejecuta de un sistema a otro.
Caballos de Troya
Los troyanos son programas que imitan programas tiles o ejecutan algn tipo de accin aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el cdigo daino.
Los troyanos no cumplen con la funcin de autorreproduccin, sino que generalmente son diseados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusin del virus. (Generalmente son enviados por e-mail).
Bombas
�Se denominan as a los virus que ejecutan su accin daina como si fuesen una bomba. Esto significa que se activan segundos despus de verse el sistema infectado o despus de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condicin lgica del equipo. (bombas lgicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lgicas son los virus que se activan cuando al disco rgido solo le queda el 10% sin uso, una secuencia de teclas o comandos, etc. Ejemplos de este tipo de programas son virus como Viernes 13 o el virus Miguel Angel. Virus Legales Los virus legales son aquellos que Microsoft descarga al computador es decir si se tiene un Windows y no es legal se descargan los virus al igual que si se tiene un antivirus no legal tambin descargara virus, Microsoft y las compaas de antivirus hacen acuerdos para que cada persona que use sus productos no originales o legales se les descarguen virus al computador y estos virus si ponen lento el computador.
Los Virus informticos Un virus informtico es un programa de computacin que se reproduce a s mismo y es diseado de forma intencionada para alterar el funcionamiento del sistema sin permiso del usuario y sin su conocimiento. Los virus estn creados para reproducirse y evitar su deteccin. Para replicarse, el virus hace copias de s mismo, la que adjunta a otros archivos.
Funcionamiento de los virus Como cualquier otro programa informtico, los virus tienen que ser ejecutados para que funcionen, es decir, la computadora debe cargar el virus desde la memoria y seguir sus instrucciones. A estas instrucciones se les suele llamar carga activa del virus. La carga activa puede trastornar, modificar o daar archivos de datos y aplicaciones, presentar un determinado mensaje o provocar comportamientos irregulares y fallos en el sistema operativo. Los virus son activados cuando se ejecuta un programa que est infectado, cuando el sistema arranca desde un disco daado o cuando se abre un documento infectado. Si una hoja de clculo contiene un virus, por ejemplo, ste se activa cuando se ejecuta el programa. Si el programa se encuentra en memoria regularmente infecta a todos los programas que se ejecutan, incluidos los programas de red (si el usuario tiene permisos para modificar las carpetas o los discos de la red). Cada virus puede tener distintas formas de comportamiento. Algunos permanecen activos en la memoria hasta que el equipo se apaga, en tanto que otros se activan en el momento en que el programa infectado se ejecuta. Si se apaga el equipo o se sale del programa, el virus desaparecer de la memoria, permaneciendo en el archivo o
�disco infectado donde reside. Si el virus se encuentra en un archivo del sistema operativo, se activa cada vez que se arranque el equipo desde el disco infectado. Infecciones: la expansin de un virus Los virus informticos se difunden cuando las instrucciones que los hacen funcionar pasan de una computadora a otra. Una vez que un virus est activado, puede reproducirse copindose en discos flexibles, un pendrive, en el disco duro, en programas informticos o a travs de redes informticas. Estas infecciones son mucho ms frecuentes en los computadores personales porque los programas que utilizan se intercambian mediante discos flexibles o redes de computadoras no reguladas. Los virus funcionan, se reproducen y liberan sus cargas activas slo cuando se ejecutan. Es por esto, que si una computadora simplemente est conectada a una red informtica infectada, no se infectar necesariamente. Un usuario no ejecutara conscientemente un cdigo informtico potencialmente nocivo, es por esto que los virus se disean para tratar de engaar al sistema operativo de la computadora o al usuario para que ejecute el programa viral.
Vas de infeccin Internet y el correo electrnico han llegado a ser herramientas imprescindibles para todas las personas en cualquier mbito de su vida, al representar una manera de acceso y difusin rpida y verstil. Pero al mismo tiempo, los virus evolucionan usando estas mismas vas para difundirse de forma masiva. Con el fin de cerrar el paso en cada una de las principales vas usadas por los virus para ingresar en las computadoras, se debe tener presente algunas precauciones especficas segn sea el caso.
Correo Electrnico No confiar la direccin de correo a desconocidos No abrir archivos adjuntos en mensajes de origen desconocido. Utilizar un sistema de proteccin antivirus capaz de detectar virus en tiempo real antes que ser copiados al disco duro
Internet Utilizar conexiones Web seguras para navegar. Restringir en el servidor Proxy el acceso a las pginas que puedan ser peligrosas. Evitar las conexiones individuales por mdem o asegrese que el proveedor brinda servicios de seguridad. Utilizar sistemas antivirus actualizados. CDs, discos Evitar el ingreso de Revisar los contenidos Utilizar soluciones flexibles y medios con contenido desconocido a las de los medios con el antivirus antes antivirus que traten todo tipo pendrives computadoras. de usarlos. de virus.
�Especies virales Al tratar de agrupar los virus segn algunas caractersticas ms especficas, se obtienen seis categoras de virus: parsitos, del sector de arranque inicial, multipartitos, acompaantes, de vnculo y de archivos de datos. a. Los virus parsitos, infectan archivos ejecutables o programas de la computadora. No modifican el contenido del programa husped, pero se adhieren al husped de tal forma, que el cdigo del virus se ejecuta en primer lugar. Estos virus pueden dividirse, en los de accin directa o los residentes. Un virus de accin directa, selecciona uno o ms programas para infectar cada vez que se ejecuta. Un virus residente, se oculta en la memoria del ordenador e infecta un programa determinado cuando ste se ejecuta. b. Los virus del sector de arranque inicial, residen en la primera parte del disco duro o flexible, conocida como sector de arranque inicial y sustituyen los programas que almacenan informacin sobre el contenido del disco o los programas que arrancan la computadora. Estos virus suelen difundirse por el intercambio de discos flexibles. c. Los virus multipartitos, combinan las capacidades de los virus parsitos y de sector de arranque inicial, pueden infectar tanto ficheros como sectores de arranque inicial. mismo ejecute.
d. Los virus acompaantes, no modifican los ficheros, sino que crean un nuevo programa con el nombre que un programa legtimo y engaan al sistema operativo para que lo
e. Los virus de vnculo, modifican la forma en que el sistema operativo encuentra los programas y lo engaan para que ejecute primero el virus y luego el programa deseado. Un virus de vnculo, puede infectar todo un directorio de una computadora y cualquier programa ejecutable al que se acceda en dicho directorio, desencadena el virus.
f. Otros virus, infectan programas que contienen lenguajes de macros potentes que pueden abrir, manipular y cerrar ficheros de datos. Estos virus, llamados virus de archivos de datos, estn escritos en lenguajes de macros y se ejecutan automticamente cuando se abre el programa legtimo. Son independientes de la mquina y del sistema operativo. ANTIVIRUS PARA SMARTPHONE
[Link]
[Link]
