Virus Informáticos
Forma de actuar de un virus informático :
Para
su programación, los virus suelen requerir que los usuarios
desprevenidos los comparten o los envían inadvertidamente. Algunos virus
sofisticados como los gusanos pueden reproducirse y enviarse
automáticamente a otros computadores cuando consiguen controlar
determinados programas como algunas aplicaciones de correo electrónico.
Otros tipos de virus, pueden presentarse como programas aparentemente
beneficiosos para que los usuarios lo descarguen.
Sólo en el último mes, cuatro de las 10 amenazas más repetidas, iban dirigidas contra agujeros de seguridad de Java para los que Oracle ha ofrecido actualizaciones desde marzo de 2010. Además, el fabricante alemán de software de seguridad ha detectado un incremento del malware que instala adware (muestran anuncios publicitarios) o anima a los usuarios a instalar falsos programas antivirus.
Estos son los cinco ´malware´ más letales:
1.Java.Trojan.Downloader.OpenConnection.AO
Este troyano con funciones de 'downloader' llega en applets manipulados de Java y embebidos en una página web. Cuando el applet es descargado, se genera una URL que el troyano utiliza para descargar y ejecutar un archivo malicioso. El programa aprovecha la vulnerabilidad CVE-2010-0840 para y es capaz de escribir datos en el sistema de la víctima.
2.Trojan.Wimad.Gen.1
Este troyano pretender hacerse pasar por un archivo de audio .wma tradicional aunque sólo se puede reproducir después de instalar un códec/decoder especial. Si se ejecuta el archivo, el atacante podrá instalar malware de cualquier tipo en el ordenador de la víctima. El archivo infectado se distribuye principalmente vía P2P.
3.Gen:Variant.Adware.Hotbar.1
Este adware se instala de forma totalmente desapercibida para el usuario como parte de paquetes gratuitos de programas multimedia del estilo VLC, XviD, etc, que son descargados desde fuentes no oficiales y ajenas a sus fabricantes (por ejemplo 'Clickpotato' y Hotbar'). Todos los paquetes están firmados digitalmente como "Pinball Corporation" y el adware se ejecuta cada vez que se inicia Windows, integrándose como un icono de sistema.
4.Worm.Autorun.VHG
Este gusano usa la función 'autorun' de Windows para expandirse. Llega a través de dispositivos de almacenamiento como lápices USB y discos duros portátiles y aprovecha la vulnerabilidad CVE-2008-4250.
5.Java.Trojan.Downloader.OpenConnection.AI
Como el primero de esta lista, este troyano downloader llega en 'applets de Java embebidos en determinados websites y muestra el mismo funcionamiento.
Tipos de virus informáticos:
Virus Caballo de Troya |
- Caballo de Troya: también llamado troyano es el virus que tiene la capacidad de auto reproducirse. Se esconde dentro del código de archivos ejecutables pasando inadvertidos por los controles de muchos antivirus. Poseen sus rutinas que permitirán que se ejecuten en el momento oportuno, existen diferentes caballos de Troya que se encontraran en distintos puntos de ataque. su objetivo es el de robar las contraseñas que el usuario tenga en sus archivos o las contraseñas para el acceso redes, incluyendo a internet; después de que el virus obtenga la contraseña la envía por correo electrónico a la dirección que tenga registrada de la persona que lo creo.
Virus Camaleon |
- Camaleón: Este tipo de virus actúa como un programa comercial en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituye (actúan como programa de demostración de productos). Un software camaleón podría emular un programa de accesos remotos realizando todas las acciones que ellos realicen pero con la tarea adicional (ocultan a los usuarios), va almacenando los diferentes password y login que serán enviados al programador de dicho camaleón.
Virus Polimorfos o Mutantes |
- Virus Polimorfos o Mutantes: Los virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus. Solo deja disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse. Una vez desencriptado el virus intentará alojarse en algún archivo de la computadora.
- Algunos Virus
- 3b Trojan (alias PKZIP Virus).
- AOL4Free Virus Hoax.
- Baby New Year Virus Hoax.
- BUDDYLST.ZIP
- BUDSAVER.EXE
- Budweiser Hoax
- Death69
- Deeyenda
- E-Flu
- FatCat Virus Hoax
- Free Money
- Get More Money Hoax
- Ghost
- Good Times
- Hacky Birthday Virus Hoax
- Hairy Palms Virus Hoax
- Irina
- Join the Crew
- Londhouse Virus Hoax
- Microsoft Virus Hoax
- Millenium Time Bomb
- Penpal Greetings
- Red Alert
- Returned or Unable to Deliver
- Teletubbies
- Time Bomb
- Very Cool
- Win a Holiday
- World Domination Hoax
- Yellow Teletubbies
- A.I.D.S. hoax email virus
- AltaVista virus scare
- AOL riot hoax email
- ASP virus hoax
- Back Orifice Trojan horse
- Bill Gates hoax
- Bloat, see MPEG virus hoax
- Budweiser frogs screen-saver scare
- Good Times hoax email virus
- Irina hoax virus
- Java virus scare
- Join the Crew hoax email virus
- 'Millennium' virus misunderstanding
- MPEG virus hoax
- 'My clock says 2097/2098' virus misunderstanding
- New virus debug device hoax email virus with attached Trojan horse
- Open: Very Cool, see A.I.D.S. hoax email virus
- Penpal Greetings, see Good Times hoax email virus
- PKZ300 Trojan virus scare
- Returned or Unable to Deliver hoax email virus
- Walt Disney greeting, see Bill Gates hoax
- Win a Holiday hoax email virus
- Windows ’98 MS Warning.
Para
eso incluye un generador de códigos al que se conoce como engine o
motor de mutación. Este engine utiliza un generador numérico aleatorio
que, combinado con un algoritmo matemático, modifica la firma del virus.
Gracias
a este engine de mutación el virus podrá crear una rutina de
descripción que será diferente cada vez que se ejecute. En este punto
tenemos un virus que presenta otra forma distinta a la primera, su modo
desencriptado, en el que puede infectar y hacer de las suyas libremente.
Pero para que el virus presente su característica de cambio de formas
debe poseer algunas rutinas especiales. Si mantuviera siempre su
estructura, esté encriptado o no, cualquier antivirus podría reconocer
ese patrón.
Los
métodos básicos de detección no pueden dar con este tipo de virus.
Muchas veces para virus polimorfos particulares existen programas que se
dedican especialmente a localizarlos y eliminarlos. Algún software que
se pueden bajar gratuitamente de Internet se dedica solamente a
erradicar los últimos virus que han aparecido y que también son los más
peligrosos. No los fabrican empresas comerciales sino grupos de hackers
que quieren protegerse de otros grupos opuestos. En este ambiente el
presentar este tipo de soluciones es muchas veces una forma de demostrar
quién es superior o quien domina mejor las técnicas de programación.
Las últimas versiones de los programas antivirus ya cuentan con detectores de este tipo de virus.
- Virus Sigiloso o Stealth: El virus sigiloso posee un módulo de defensa bastante sofisticado. Este intentará permanecer oculto tapando todas las modificaciones que haga y observando cómo el sistema operativo trabaja con los archivos y con el sector de booteo. Subvirtiendo algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra la zona que infectada.
Es
difícil que un antivirus se de cuenta de estas modificaciones por lo
que será imperativo que el virus se encuentre ejecutándose en memoria en
el momento justo en que el antivirus corre. Los antivirus de hoy en día
cuentan con la técnica de verificación de integridad para detectar los
cambios realizados en las entidades ejecutables.
El
virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en
el sector de arranque de los disquetes e intercepta cualquier operación
de entrada / salida que se intente hacer a esa zona. Una vez hecho esto
redirigía la operación a otra zona del disquete donde había copiado
previamente el verdadero sector de booteo.
Este
tipo de virus también tiene la capacidad de engañar al sistema
operativo. Un virus se adiciona a un archivo y en consecuencia, el
tamaño de este aumenta. Está es una clara señal de que un virus lo
infectó. La técnica stealth de ocultamiento de tamaño captura las
interrupciones del sistema operativo que solicitan ver los atributos del
archivo y, el virus le devuelve la información que poseía el archivo
antes de ser infectado y no las reales. Algo similar pasa con la técnica
stealth de lectura. Cuando el SO solicita leer una posición del
archivo, el virus devuelve los valores que debería tener ahí y no los
que tiene actualmente.
Este tipo de virus es muy fácil de vencer. La mayoría de los programas antivirus estándar los detectan y eliminan.
- Gusanos: Según los artículos de seguridad publicados en la página Web de Symantec América Latina, los virus de gusano son programas que crean réplicas de sí mismos de un sistema a otro, sin necesidad de un archivo anfitrión. Los gusanos se diferencian de los otros virus que existen en la red, porque su modus operandis no consiste en infectar otros archivos como lo haría un virus común, sino que radica en crear copias de él y reproducirlas.
perdida o basura, pero al cabo de un tiempo se activan y comienzan a ejecutarse.
Etapas de ciclo de vida de los virus informáticos:
Etapa 1:
la creación: de virus exigía conocer en profundidad un lenguaje de
programación, en la unidad de lenguajes actualmente cualquier persona
que sepa programar un poco puede desarrollar.
Etapa 2:
Reproducción: los virus se reproducen así mismos: Forma parte de su
naturaleza, un virus bien diseñado está preparado para entrar copiándose
así mismo en distintos ficheros durante bastante tiempo, es suficiente
para llegar a muchos usuarios.
Etapa3:
Activación: En los virus con rutinas de ataque, estas se activan cuando
se dan determinadas condiciones, por ejemplo, una fecha concreta o que
el usuario realice una acción "X". Sin embargo, incluso los virus que
están pensados para causar un daño especifico que entorpecen el sistema
al ocupar en él un valioso espacio de almacenamiento.
Etapa 4:
Descubrimiento: Cuando se detecta un virus, se envía a la asociación
internacional de seguridad informática donde se toma nota de las
características para posteriormente distribuirlo a los fabricantes de
virus. En general, el descubrimiento tiene lugar por lo menos un año
antes de que el virus se convierta en una amenaza para la comunidad.
Etapa 5:
Asimilación: Aquí los fabricantes de virus modifican su software para
que sea capaz de detectar el nuevo virus. Este proceso puede durar desde
un día hasta 6 meses, dependiendo del desarrollador y del tipo de
virus.
Métodos de Infección de Virus Informáticos.
- Añadidura o Empalde: Por este método el código de virus se agrega al final de archivo ejecutable a infectar, modificando las estructuras de arranque del archivo anfitrión de manera que el control del programa pase primero al virus cuando se quiera ejecutar el archivo.
- Inserción: los virus que utilizan este método buscan alejarse en zonas de código no utilizadas o segmentos de datos dentro de los archivos que contagia.
- Beonentacion: bajo este esquema se introducen los códigos principales de un virus en zona física del disco duro, marcadas como defectuosas o archivos ocultos de la computadora. Estos códigos virales al ejecutarse implantan pequeños trozos de códigos en los archivos ejecutables que se infecta y luego se reproducen hacia otros espacios.
- Polimorfismo: Este es el método más avanzado de contagio logrado por los programadores de virus. Este utiliza la técnica básica en la inserción del código viral en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus comparte parte de su código y el código del archivo anfitrión de manera que la suma de ambos sea igual al tamaño original del archivo. al ejecutar el programa infectado actúa primero el código del virus des compactando en memoria las porciones previamente compactadas.
- Sustitución: Es quizás el método mas primitivo, usados con variantes por los caballos de Troya consiste en sustituir el código completo del archivo original por el código del virus. Al ejecutar del programa infectado el único que actúa es el virus, que cumple con su tarea de contagiar otros archivos y luego termina la ejecución del programa reportando algún tipo de error.
- El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.
- El tamaño del programa cambia sin razón aparente.
- El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente así.
- Si se corre el CHKDSK no muestra "655360 bytes available".
- En Windows aparece "32 bit error".
- La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado, porque no siempre es así).
- No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
- Aparecen archivos de la nada o con nombres y extensiones extrañas.
- Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido).
- Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS).
- En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A".
- En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows ’98 (No puedo evitarlo, es mas fuerte que yo...!!).
No hay comentarios:
Publicar un comentario