Algunos Virus


Virus Informáticos
 


Forma de actuar de un virus informático :
Para su programación, los virus suelen requerir que los usuarios desprevenidos los comparten o los envían inadvertidamente. Algunos virus sofisticados como los gusanos pueden reproducirse y enviarse automáticamente a otros computadores cuando consiguen controlar determinados programas como algunas aplicaciones de correo electrónico. Otros tipos de virus, pueden presentarse como programas aparentemente beneficiosos para que los usuarios lo descarguen. 

 Los cibercriminales siguen aprovechándose de las actualizaciones no instaladas en los navegadores y sus componentes para infectar ordenadores. En este sentido, el análisis de G Data SecurityLabs muestra que las brechas de seguridad no parcheadas de los plug-in de los navegadores están de moda entre las mafias online, como evidencia el análisis del malware en el mes de mayo de 2011.

Sólo en el último mes, cuatro de las 10 amenazas más repetidas, iban dirigidas contra agujeros de seguridad de Java para los que Oracle ha ofrecido actualizaciones desde marzo de 2010. Además, el fabricante alemán de software de seguridad ha detectado un incremento del malware que instala adware (muestran anuncios publicitarios) o anima a los usuarios a instalar falsos programas antivirus.
Estos son los cinco ´malware´ más letales:

1.Java.Trojan.Downloader.OpenConnection.AO
Este troyano con funciones de 'downloader' llega en applets manipulados de Java y embebidos en una página web. Cuando el applet es descargado, se genera una URL que el troyano utiliza para descargar y ejecutar un archivo malicioso. El programa aprovecha la vulnerabilidad CVE-2010-0840 para y es capaz de escribir datos en el sistema de la víctima.

2.Trojan.Wimad.Gen.1
Este troyano pretender hacerse pasar por un archivo de audio .wma tradicional aunque sólo se puede reproducir después de instalar un códec/decoder especial. Si se ejecuta el archivo, el atacante podrá instalar malware de cualquier tipo en el ordenador de la víctima. El archivo infectado se distribuye principalmente vía P2P.

3.Gen:Variant.Adware.Hotbar.1
Este adware se instala de forma totalmente desapercibida para el usuario como parte de paquetes gratuitos de programas multimedia del estilo VLC, XviD, etc, que son descargados desde fuentes no oficiales y ajenas a sus fabricantes (por ejemplo 'Clickpotato' y Hotbar'). Todos los paquetes están firmados digitalmente como "Pinball Corporation" y el adware se ejecuta cada vez que se inicia Windows, integrándose como un icono de sistema.

4.Worm.Autorun.VHG
Este gusano usa la función 'autorun' de Windows para expandirse. Llega a través de dispositivos de almacenamiento como lápices USB y discos duros portátiles y aprovecha la vulnerabilidad CVE-2008-4250.

5.Java.Trojan.Downloader.OpenConnection.AI
Como el primero de esta lista, este troyano downloader llega en 'applets de Java embebidos en determinados websites y muestra el mismo funcionamiento.



Tipos de virus informáticos:
Virus Caballo de Troya
  • Caballo de Troya: también llamado troyano es el virus que tiene la capacidad de auto reproducirse. Se esconde dentro del código de archivos ejecutables pasando inadvertidos por los controles de muchos antivirus. Poseen sus rutinas que permitirán que se ejecuten en el momento oportuno, existen diferentes caballos de Troya que se encontraran en distintos puntos de ataque. su objetivo es el de robar las contraseñas que el usuario tenga en sus archivos o las contraseñas para el acceso redes, incluyendo a internet; después de que el virus obtenga la contraseña la envía por correo electrónico a la dirección que tenga registrada de la persona que lo creo.

Virus Camaleon
  • Camaleón: Este tipo de virus actúa como un programa comercial en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados  los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituye (actúan como programa de demostración de productos). Un software camaleón podría emular un programa de accesos remotos realizando todas las acciones que ellos realicen pero con la tarea adicional (ocultan a los usuarios), va almacenando los diferentes password y login que serán enviados al programador de dicho camaleón.
Virus Polimorfos o Mutantes
  • Virus Polimorfos o Mutantes: Los virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus. Solo deja disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse. Una vez desencriptado el virus intentará alojarse en algún archivo de la computadora.
  •  Algunos Virus
  • 3b Trojan (alias PKZIP Virus).
  • AOL4Free Virus Hoax.
  • Baby New Year Virus Hoax.
  • BUDDYLST.ZIP
  • BUDSAVER.EXE
  • Budweiser Hoax
  • Death69
  • Deeyenda
  • E-Flu
  • FatCat Virus Hoax
  • Free Money
  • Get More Money Hoax
  • Ghost
  • Good Times
  • Hacky Birthday Virus Hoax
  • Hairy Palms Virus Hoax
  • Irina
  • Join the Crew
  • Londhouse Virus Hoax
  • Microsoft Virus Hoax
  • Millenium Time Bomb
  • Penpal Greetings
  • Red Alert
  • Returned or Unable to Deliver
  • Teletubbies
  • Time Bomb
  • Very Cool
  • Win a Holiday
  • World Domination Hoax
  • Yellow Teletubbies
  • A.I.D.S. hoax email virus
  • AltaVista virus scare
  • AOL riot hoax email
  • ASP virus hoax
  • Back Orifice Trojan horse
  • Bill Gates hoax
  • Bloat, see MPEG virus hoax
  • Budweiser frogs screen-saver scare
  • Good Times hoax email virus
  • Irina hoax virus
  • Java virus scare
  • Join the Crew hoax email virus
  • 'Millennium' virus misunderstanding
  • MPEG virus hoax
  • 'My clock says 2097/2098' virus misunderstanding
  • New virus debug device hoax email virus with attached Trojan horse
  • Open: Very Cool, see A.I.D.S. hoax email virus
  • Penpal Greetings, see Good Times hoax email virus
  • PKZ300 Trojan virus scare
  • Returned or Unable to Deliver hoax email virus
  • Walt Disney greeting, see Bill Gates hoax
  • Win a Holiday hoax email virus
  • Windows ’98 MS Warning.

Para eso incluye un generador de códigos al que se conoce como engine o motor de mutación. Este engine utiliza un generador numérico aleatorio que, combinado con un algoritmo matemático, modifica la firma del virus.
Gracias a este engine de mutación el virus podrá crear una rutina de descripción que será diferente cada vez que se ejecute. En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el virus presente su característica de cambio de formas debe poseer algunas rutinas especiales. Si mantuviera siempre su estructura, esté encriptado o no, cualquier antivirus podría reconocer ese patrón. 
Los métodos básicos de detección no pueden dar con este tipo de virus. Muchas veces para virus polimorfos particulares existen programas que se dedican especialmente a localizarlos y eliminarlos. Algún software que se pueden bajar gratuitamente de Internet se dedica solamente a erradicar los últimos virus que han aparecido y que también son los más peligrosos. No los fabrican empresas comerciales sino grupos de hackers que quieren protegerse de otros grupos opuestos. En este ambiente el presentar este tipo de soluciones es muchas veces una forma de demostrar quién es superior o quien domina mejor las técnicas de programación.
Las últimas versiones de los programas antivirus ya cuentan con detectores de este tipo de virus.

  • Virus Sigiloso o Stealth: El virus sigiloso posee un módulo de defensa bastante sofisticado. Este intentará permanecer oculto tapando todas las modificaciones que haga y observando cómo el sistema operativo trabaja con los archivos y con el sector de booteo. Subvirtiendo algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra la zona que infectada.

Es difícil que un antivirus se de cuenta de estas modificaciones por lo que será imperativo que el virus se encuentre ejecutándose en memoria en el momento justo en que el antivirus corre. Los antivirus de hoy en día cuentan con la técnica de verificación de integridad para detectar los cambios realizados en las entidades ejecutables.

El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector de arranque de los disquetes e intercepta cualquier operación de entrada / salida que se intente hacer a esa zona. Una vez hecho esto redirigía la operación a otra zona del disquete donde había copiado previamente el verdadero sector de booteo.

Este tipo de virus también tiene la capacidad de engañar al sistema operativo. Un virus se adiciona a un archivo y en consecuencia, el tamaño de este aumenta. Está es una clara señal de que un virus lo infectó. La técnica stealth de ocultamiento de tamaño captura las interrupciones del sistema operativo que solicitan ver los atributos del archivo y, el virus le devuelve la información que poseía el archivo antes de ser infectado y no las reales. Algo similar pasa con la técnica stealth de lectura. Cuando el SO solicita leer una posición del archivo, el virus devuelve los valores que debería tener ahí y no los que tiene actualmente.

Este tipo de virus es muy fácil de vencer. La mayoría de los programas antivirus estándar los detectan y eliminan. 

    • Gusanos: Según los artículos de seguridad publicados en la página Web de Symantec América Latina, los virus de gusano son programas que crean réplicas de sí mismos de un sistema a otro, sin necesidad de un archivo anfitrión. Los gusanos se diferencian de los otros virus que existen en la red, porque su modus operandis no consiste en infectar otros archivos como lo haría un virus común, sino que radica en crear copias de él y reproducirlas. 
Los virus de gusano destruyen toda la información que contienen los discos, consumiendo gran cantidad de memoria del computador y disminuyendo la velocidad del mismo. Se alojan en la máquina como información 

perdida o basura, pero al cabo de un tiempo se activan y comienzan a ejecutarse.

Etapas de ciclo de vida de los virus informáticos

Etapa 1: la creación:  de virus exigía conocer en profundidad un lenguaje de programación, en la unidad de lenguajes actualmente cualquier persona que sepa programar un poco puede desarrollar.

Etapa 2: Reproducción: los virus se reproducen así mismos: Forma parte de su naturaleza, un virus bien diseñado está preparado para entrar copiándose así mismo en distintos ficheros durante bastante tiempo, es suficiente para llegar a muchos usuarios.

Etapa3: Activación: En los virus con rutinas de ataque, estas se activan cuando se dan determinadas condiciones, por ejemplo, una fecha concreta o que el usuario realice una acción "X". Sin embargo, incluso los virus que están pensados para causar un daño especifico que entorpecen el sistema al ocupar en él un valioso espacio de almacenamiento.

Etapa 4: Descubrimiento: Cuando se detecta un virus, se envía a la asociación internacional de seguridad informática donde se toma nota de las características para posteriormente distribuirlo a los fabricantes de virus. En general, el descubrimiento tiene lugar por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad.

Etapa 5: Asimilación: Aquí los fabricantes de virus modifican su software para que sea capaz de detectar el nuevo virus. Este proceso puede durar desde un día hasta 6 meses, dependiendo del desarrollador y del tipo de virus.

Etapa 6: Erradicación: Cualquier virus puede ser erradicado si suficientes usuarios lo mantienen al día su protección anti virus. Hasta el momento ningún virus ha desaparecido por completo. Pero algunos  hace mucho que han dejado de representar una amenaza importante.

Métodos de Infección de Virus Informáticos.
  
  • Añadidura o Empalde:  Por este método el código de virus se agrega al final de archivo ejecutable a infectar, modificando las estructuras de arranque del archivo anfitrión de manera que el control del programa pase primero al virus cuando se quiera ejecutar el archivo.
  • Inserción: los virus que utilizan este método buscan alejarse en zonas de código no utilizadas o segmentos de datos dentro de los archivos que contagia.
  • Beonentacion: bajo este esquema se introducen los códigos principales de un virus en zona física del disco duro, marcadas como defectuosas o archivos ocultos de la computadora. Estos códigos virales al ejecutarse implantan pequeños trozos de códigos en los archivos ejecutables que se infecta y luego se reproducen hacia otros espacios.
  • Polimorfismo: Este es el método más avanzado de contagio logrado por los programadores de virus. Este utiliza la técnica básica en la inserción del código viral en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus comparte parte de su código y el código del archivo anfitrión de manera que la suma de ambos sea igual al tamaño original del archivo. al ejecutar el programa infectado actúa primero el código del virus des compactando en memoria las porciones previamente compactadas.
  • Sustitución: Es quizás el método mas primitivo, usados con variantes por los caballos de Troya consiste en sustituir el código  completo del archivo original por el código del virus. Al ejecutar del programa infectado el único que actúa es el virus, que cumple con su tarea de contagiar otros archivos y luego termina la ejecución del programa reportando algún tipo de error.
  •  
  • El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.
  • El tamaño del programa cambia sin razón aparente.
  • El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente así.
  • Si se corre el CHKDSK no muestra "655360 bytes available".
  • En Windows aparece "32 bit error".
  • La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado, porque no siempre es así).
  • No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
  • Aparecen archivos de la nada o con nombres y extensiones extrañas.
  • Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido).
  • Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS).
  • En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A".
  • En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows ’98 (No puedo evitarlo, es mas fuerte que yo...!!).
Una infección se soluciona con las llamadas "vacunas" (que impiden la infección) o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados. Hay cierto tipo de virus que no son desactivables ni removibles, por lo que se debe destruir el archivo infectado.

No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)