ACTIVIDADES TEMA 3 VIRUS

1. ¿Qué es un Firewall? Nombra

uno.

También llamado cortafuegos. Los

cortafuegos detectan y advierten
sobre los programas que quieren
conectarse a Internet para que el
usuario pueda negarle el acceso a la
Red si no le resulta conocido. El
sistema operativo Windows es el
más vulnerable a los ataques con
software malicioso.

EJEMPLO: PC
Tools Firewall
Plus [Link]

2. ¿Qué problemas ocasionan los programas espía?

Los espías (spyware) son programas que capturan los historiales de

navegación y hábitos del usuario para después bombardearle con
publicidad de acuerdo a su perfil. De repente, se le llena el correo
electrónico de spam, o comienzan a
saltar ventanas emergentes con
publicidad de todo tipo. Además de estas
molestias, cuando un ordenador se carga
de estos programas malvados su
funcionamiento comienza a ser mucho
más lento.

3. Nombra algunos antiespías.

 SuperAntiSpyware
Spyware Terminator AVG Anti-Spyware
Portable Scanner
[Link] [Link].3339
4.47.1000

Spy Sweeper 7.0 Ashampoo Anti-Malware

a-squared Free [Link]
1.2.1

SpyBot Search & Destroy

Spy Emergency 7 Windows Defender 1593
1.6.2

IObit Malware Fighter Malwarebytes Anti- SuperAntiSpyware

1.0 Beta Malware 1.50.1 4.47.1000
Ad-Aware Internet Security PC Tools Spyware Doctor 2011
[Link] Free 8.0

4. ¿Por qué la necesidad de antivirus no está clara para mucha gente?

Porque hay quienes piensan que con un

antiespia sobra para tener protegido un
ordenador, ya que se supone que se
encarga de filtrar de alguna manera la
información que recibimos de Internet y
de bloquear la que no es conveniente por
seguridad. De todas formas SIEMPRE
hay que tener un antivirus en el
ordenador.

5. Haz una pequeña lista de consejos para protegernos de las amenazas

del correo electrónico.

• No abrir ningún correo cuyo

remitente no conozcamos. Ésta es la
primera norma y la más importante.
No basta con reconocer el origen
del correo, hay que identificar el
titular que lo envía. Un correo
procedente de nuestro banco que
nos pida datos es con toda
 seguridad un correo de estafa que solicitará nuestra
contraseña bancaria mediante engaños.

• No abrir los mensajes en cadena. Muchos de los correos que

se reciben diario no tienen otra intención que la de colarse en
nuestra cuenta de correo, copiar las direcciones de los
contactos y enviarles publicidad no deseada (spam). Un caso
común es el de los mensajes en cadena, donde se envía un
asunto gracioso de correo en correo sin borrar el hilo de los
mensajes anteriores. De este modo se consigue recopilar
numerosas direcciones de correo electrónico procedentes de
los sucesivos reenvíos. Cuando el mensaje llega a una cuenta ya
infectada por un programa espía, éste reúne las nuevas
direcciones para enviarles spam. Así se extiende esta plaga
que consume buena parte del ancho de banda de Internet.

• No abrir los archivos adjuntos de los correos entrantes si el

sistema antivirus de la cuenta lo
desaconseja. Por muy sugerentes que
sean y por mucho que procedan de una
persona de confianza. El ordenador de
dicha persona puede estar infectado por
un programa que enviará correos
perniciosos de forma autónoma y sin su
conocimiento. Patrón idéntico al que
experimentan algunos virus que afectan a
programas de mensajería instantánea.

6. ¿Que es phishing? ¿Cómo funciona?

Phishing es un término informático que denomina un tipo de delito
encuadrado dentro del ámbito de las estafas cibernéticas, y que se
comete mediante el uso de un tipo
de ingeniería social caracterizado
por intentar adquirir información
confidencial de forma fraudulenta
(como puede ser una contraseña o
información detallada sobre tarjetas
de crédito u otra información
bancaria). El estafador, conocido
como phisher, se hace pasar por una
persona o empresa de confianza en
una aparente comunicación oficial
electrónica, por lo común un correo
electrónico, o algún sistema de
mensajería instantánea o incluso
utilizando también llamadas
telefónicas.

EN ESTA DIRECCION PODEMOS ENCONTRAR UN ÚLTIMO ATAQUE

DE ESTE TIPO CONTRA LA “DGT”

[Link]
[Link]

7. ¿Qué tipo de información no debe dejarse NUNCA en redes sociales

como Facebook o Tuenti? ¿Por qué?

La protección de los datos personales

en la Red no se puede descuidar,
puesto que la proliferación de
servicios y redes sociales en las que
participan numerosas personas pone
en juego su intimidad. Siempre que
alguien se apunta a una nueva red
social, o usa un determinado servicio
en la Red, se registra y deja sus
datos en manos de terceros. Se
confía en que las empresas a las que
les hacemos conocedoras de nuestra
identidad la guardarán según
establece la ley, pero son numerosas las ocasiones en las que los
usuarios no conocen a los responsables de dar a estos datos sólo los
usos permitidos.

8. Explica, como si se lo contaras a tu madre, unos consejos básicos

sobre como comprar online.

Cuanto más conocido y

prestigioso sea el comercio
on line en el que compremos,
menos riesgos correremos.
La inmensa mayor ía de los
comercios de la Red son
legales y seguros, y siguen
normas de comportamiento
estandarizadas. Esto es así
sobre todo en el ámbito de
la Unión Europea y los
Estados Unidos, donde este
margen de confianza se
acerca al 100%. Para evitar problemas cuando se compra en Internet,
siga estos consejos:

1. Recuerda siempre que como consumidor se te reconocen los mismos

derechos y deberes al comprar por Internet que al hacerlo en
una tienda tradicional. Por suerte, la ley en España busca paliar
la vulnerabilidad del consumidor.

2. Evita compras compulsivas. Recapacita sobre lo que vas a

comprar y no lo hagas en la primera web que encuentres, busca
y compara precios en otras páginas. Es esencial que te informes
de las condiciones (qué ocurre si tienes que devolver el producto,
quién corre con los gastos de
envío, si hay restricciones
geográficas en las entregas,
formas de pago, etc.)

3. Sé cauto con los datos que

ofreces. Asegúrate de que la
política de privacidad de la
empresa garantiza la
 confidencialidad. Es evidente que datos como tu nombre y
dirección son necesarios para la entrega, pero no contestes a
preguntas que consideres inoportunas porque tus respuestas
podrían utilizarse con fines comerciales.

4. Para saber si una web es segura debe llevar la letra S en la

barra de direcciones (https:). Otro indicador es la imagen de un
candado cerrado o una llave al pie de la página. El modo más
seguro es el pago contra reembolso, pero, de no existir esta
opción, se puede pagar con tarjeta o con sistemas de minipago
como el Pay Pal o el SafetyPay.

5. Por último, una vez hayas finalizado la compra, exige e imprime

un comprobante. Muchas páginas te enviarán un correo electrónico
de confirmación, guárdalo porque es indispensable en caso de que
tengas que hacer una reclamación.

9; Compara los distintos virus.

La clasificación correcta de los virus siempre resulta variada

según a quien se le pregunte. Podemos agruparlos por la entidad
que parasitan (sectores de arranque o archivos ejecutables), por
su grado de dispersión a nivel mundial, por su comportamiento, por
su agresividad, por sus técnicas de ataque o por como se oculta,
etc. Nuestra clasificación muestra como actúa cada uno de los
diferentes tipos según su comportamiento. En algunos casos un
virus puede incluirse en más de un tipo (un multipartito resulta ser
sigiloso).

• Caballos de
Troya

Los caballos de
Troya no llegan a
ser realmente virus
porque no tienen la
capacidad de
autorreproducirse.
Se esconden dentro
del código de
archivos ejecutables y no ejecutables pasando inadvertidos por los
controles de muchos antivirus. Posee subrutinas que permitirán que
se ejecute en el momento oportuno. Existen diferentes caballos de
Troya que se centrarán en distintos puntos de ataque. Su objetivo
será el de robar las contraseñas que el usuario tenga en sus
archivos o las contraseñas para el acceso a redes, incluyendo a
Internet. Después de que el virus obtenga la contraseña que
deseaba, la enviará por correo electrónico a la dirección que tenga
registrada como la de la persona que lo envió a realizar esa
tarea. Hoy en día se usan estos métodos para el robo de
contraseñas para el acceso a Internet de usuarios hogareños.
Un caballo de Troya que infecta la red de una empresa representa
un gran riesgo para la seguridad, ya que está facilitando
enormemente el acceso de los intrusos. Muchos caballos de Troya
utilizados para espionaje industrial están programados para
autodestruirse una vez que cumplan el objetivo para el que fueron
programados, destruyendo toda la evidencia.

• Camaleones

Son una variedad de similar a los Caballos de Troya, pero actúan

como otros programas comerciales, en los que el usuario confía,
mientras que en realidad están haciendo algún tipo de daño.
Cuando están
correctamente
programados, los
camaleones
pueden realizar
todas
las funciones de
los programas
legítimos a los que
sustituyen (actúan
como programas
de demostración
de productos, los
cuales son
simulaciones de
programas reales). Un software camaleón podría, por ejemplo,
emular un programa de acceso a sistemas remotos (rlogin, telnet)
realizando todas las acciones que ellos realizan, pero como tarea
adicional (y oculta a los usuarios) va almacenando en algún archivo
los diferentes logins y passwords para que posteriormente puedan
ser recuperados y utilizados ilegalmente por el creador del virus
camaleón.

• Virus polimorfos o mutantes

Los virus polimorfos poseen la capacidad de encriptar el cuerpo del

virus para que no pueda ser detectado fácilmente por un antivirus.
Solo deja disponibles unas cuantas rutinas que se encargaran de
desencriptar el virus para poder propagarse. Una vez
desencriptado el virus
intentará alojarse en algún
archivo de la
computadora.

En este punto tenemos un

virus que presenta otra
forma distinta a la
primera, su modo
desencriptado, en el que
puede infectar y hacer de
las suyas libremente. Pero
para que el
virus presente su
característica de cambio
de formas debe poseer
algunas rutinas especiales.
Si mantuviera siempre su estructura, esté encriptado o no,
cualquier antivirus podría reconocer ese patrón.

Para eso incluye un generador de códigos al

que se conoce como engine o motor de mutación. Este engine

utiliza un generador numérico aleatorio que, combinado con
un algoritmo matemático, modifica la firma del virus. Gracias a
este engine de mutación el virus podrá crear una rutina de
desencripción que será diferente cada vez que se ejecute.
Los métodos básicos de detección no pueden dar con este tipo de
virus. Muchas veces para virus polimorfos particulares existen
programas que se dedican especialmente a localizarlos y
eliminarlos. Algunos softwares que se pueden baja gratuitamente
de Internet se dedican solamente a erradicar los últimos virus que
han aparecido y que también son los más peligrosos. No los
fabrican empresas comerciales sino grupos de hackers que quieren
protegerse de otros grupos opuestos. En este ambiente el
presentar este tipo de soluciones es muchas veces una forma de
demostrar quien es superior o quien domina mejor las técnicas de
programación.

Las últimas versiones de los programas antivirus ya cuentan con

detectores de este tipo de virus.

• Virus sigiloso o stealth

El virus sigiloso posee un módulo de defensa bastante sofisticado.

Este intentará permanecer oculto tapando todas las modificaciones
que haga y observando cómo el sistema operativo trabaja con los
archivos y con el sector de booteo. Subvirtiendo algunas líneas de
código el virus logra apuntar el flujo de ejecución hacia donde se
encuentra la zona que infectada.

Es difícil que un antivirus se de cuenta de estas modificaciones

por lo que será im<perativo que el virus se encuentre ejecutándose
en memoria en el
momento justo en que el
antivirus corre. Los
antivirus de hoy en día
cuentan con la técnica
de verificación de
integridad para detectar
los cambios realizados en
las entidades
ejecutables.

El virus Brain de MS-

DOS es un ejemplo de
este tipo de virus. Se
aloja en el sector de arranque de los disquetes e intercepta
cualquier operación de entrada / salida que se intente hacer a esa
zona. Una vez hecho esto redirigía la operación a otra zona del
disquete donde había copiado previamente el verdadero sector de
booteo.

Este tipo de virus también tiene la capacidad de engañar al

sistema operativo. Un virus se adiciona a un archivo y en
consecuencia, el tamaño de este aumenta. Está es una clara señal
de que un virus lo infectó. La técnica stealth de ocultamiento de
tamaño captura las interrupciones del sistema operativo que
solicitan ver los atributos del archivo y, el virus le devuelve la
información que poseía el archivo antes de ser infectado y no las
reales. Algo similar pasa con la técnica stealth de lectura. Cuando
el SO solicita leer una posición del archivo, el virus devuelve los
valores que debería tener ahí y no los que tiene actualmente.

Este tipo de virus es muy fácil de vencer. La mayoría de los

programas antivirus estándar los detectan y eliminan.

• Virus lentos

Los virus de tipo lento hacen honor a su nombre infectando

solamente los archivos que el usuario hace ejecutar por el SO,
simplemente siguen la corriente y aprovechan cada una de las
cosas que se ejecutan.

Por ejemplo, un virus lento

únicamente podrá infectar
el sector de arranque de un
disquete cuando se use el
comando FORMAT o SYS
para escribir algo en dicho
sector. De los archivos que
pretende infectar realiza
una copia que infecta,
dejando al original intacto.

Su eliminación resulta
bastante complicada.
Cuando el verificador de
integridad encuentra nuevos
archivos avisa al usuario, que por lo general no presta
demasiada atención y decide agregarlo al registro del verificador.
Así, esa técnica resultaría inútil.

La mayoría de las herramientas creadas para luchar contra este

tipo de virus son programas residentes en memoria que vigilan
constantemente la creación de cualquier archivo y validan cada uno
de los pasos que se dan en dicho proceso. Otro método es el que
se conoce como Decoy launching. Se crean varios archivos .EXE
y .COM cuyo contenido conoce el antivirus. Los ejecuta y revisa
para ver si se han modificado sin su conocimiento.

• Retro-virus o Virus antivirus

Un retro-virus intenta como método de defensa atacar

directamente al programa antivirus incluido en la computadora.

Para los programadores de virus esta no es una información difícil

de obtener ya que pueden conseguir cualquier copia de antivirus
que hay en elmercado. Con un poco de tiempo pueden descubrir
cuáles son los puntos
débiles del programa
y buscar una buena
forma de
aprovecharse de ello.

Generalmente los
retro-virus buscan el
archivo de definición
de virus y lo eliminan,
imposibilitando al
antivirus la
identificación de sus
enemigos. Suelen hacer lo mismo con el registro del comprobador
de integridad.

Otros retro-virus detectan al programa antivirus en memoria y

tratan de ocultarse o inician una rutina destructiva antes de que
el antivirus logre encontrarlos. Algunos incluso modifican el
entorno de tal manera que termina por afectar el funcionamiento
del antivirus.

• Virus multipartitos

Los virus multipartitos atacan

a los sectores de arranque y a
los ficheros ejecutables. Su
nombre está dado porque
infectan las computadoras de
varias formas. No se limitan a
infectar un tipo de archivo ni
una zona de la unidad de disco
rígido. Cuando se ejecuta
una aplicación infectada con
uno de estos virus, éste
infecta el sector de arranque. La próxima vez que arranque la
computadora, el virus atacará a cualquier programa que se
ejecute.

• Virus voraces

Estos virus alteran el contenido de los archivos de forma

indiscriminada. Generalmente uno de estos virus sustituirá el
programa ejecutable por su propio código. Son muy peligrosos
porque se dedican a destruir completamente los datos que puedan
encontrar.

• Bombas de tiempo

Son virus convencionales y pueden tener una o más de las

características de los demás tipos de virus pero la diferencia está
dada por el trigger de su módulo de
ataque que se disparará en una
fecha determinada. No siempre
pretenden crear un daño específico.
Por lo general muestran mensajes en
la pantalla en alguna fecha que
representa un evento importante
para el programador. El virus Michel
Angelo sí causa un daño grande eliminando toda la información de
la tabla de particiones el día 6 de marzo.

• Conejo

Cuando los ordenadores de tipo medio estaban extendidos

especialmente en ambientes
universitarios, funcionaban como
multiusuario, múltiples usuarios se
conectaban simultáneamente a ellos
mediante terminales con un nivel
de prioridad. El ordenador
ejecutaba los programas de cada
usuario dependiendo de su
prioridad y tiempo de espera. Si se estaba ejecutando un
programa y llegaba otro de prioridad superior, atendía al
recién llegado y al acabar continuaba con lo que hacia con
anterioridad. Como por regla general, los estudiantes tenían
prioridad mínima, a alguno de ellos se le ocurrió la idea de
crear este virus. El programa se colocaba en la cola de espera
y cuando llegaba su turno se ejecutaba haciendo una copia de sí
mismo, agregándola también en la cola de espera. Los procesos
a ser ejecutados iban multiplicándose hasta consumir toda la
memoria de la computadora central interrumpiendo todos los
procesamientos.

Macro-virus

Los macro-virus representan una de las amenazas más importantes

para una red. Actualmente son los virus que más se están
extendiendo a través de Internet. Representan una amenaza tanto
para las redes
informáticas como para
los ordenadores
independientes. Su
máximo peligro está en
que son completamente
independientes del
sistema operativo o de la plataforma. Es más, ni siquiera son
programas ejecutables.

Los macro-virus son pequeños programas escritos en el

lenguaje propio (conocido como lenguaje script o macro-lenguaje)
propio de un programa. Así nos podemos encontrar con macro-
virus para editores de texto, hojas de cálculo y utilidades
especializadas en la manipulación de imágenes.

En Octubre de 1996 había menos de 100 tipos de macro-virus. En

Mayo de 1997 el número hab ía aumentado a 700.

Sus autores los escriben para que se extiendan dentro de

los documentos que crea el programa infectado. De esta forma se
pueden propagar a otros ordenadores siempre que los usuarios
intercambien documentos. Este tipo de virus alteran de tal forma
la información de los documentos infectados que su recuperación
resulta imposible. Tan solo se ejecutan en aquellas plataformas
que tengan la aplicación para la que fueron creados y que
comprenda el lenguaje con el que fueron programados. Este
método hace que este tipo de virus no dependa de ningún sistema
operativo.

El lenguaje de programación interno de ciertas aplicaciones se ha

convertido en una poderosa herramienta de trabajo. Pueden
borrar archivos, modificar
sus nombres y (como no)
modificar el contenido de
los ficheros ya existentes.
Los macro-virus escritos en
dichos lenguajes pueden
efectuar las mismas
acciones.

Al día de hoy, la mayoría

de virus conocidos se han
escrito en WordBasic
de Microsoft, o incluso en
la última versión de Visual
Basic para Aplicaciones
(VBA), también de Microsoft. WordBasic es el lenguaje de
programaci ón interno de Word para Windows (utilizado a partir
de la versión 6.0) y Word 6.0 para Macintosh. Como VBA se
ejecuta cada vez que un usuario utiliza cualquier programa de
Microsoft Office, los macro-virus escritos en dicho lenguaje de
programación representan un riesgo muy serio. En otras palabras,
un macro-virus escrito en VBA puede infectar un documento
de Excel, de Access o de PowerPoint. Como estas aplicaciones
adquieren más y más importancia cada día, la presencia de los
macro-virus parece que está asegurada.