.

.

Definicion, Origen y Evolucion, Caracteristicas y Estructura.

-Definicion.
    Un virus informático es un programa de computación que se reproduce a sí mismo y es diseñado de forma intencionada para alterar el funcionamiento del sistema sin permiso del usuario y sin su conocimiento. Los virus están creados para reproducirse y evitar su detección. Para replicarse, el virus hace copias de sí mismo, la que adjunta a otros archivos.






-Origen y Evolucion.

    Haciendo un poco de historia, ya en 1949 el matemático John Von Neumann describió programas que se reproducían a sí mismos y que podrían asemejarse a los que hoy conocemos como virus informáticos. Pero hay que avanzar hasta los años 60 para encontrar el precursor de los virus actuales. Unos programadores desarrollaron un juego llamado Core Wars, que tenía la capacidad de reproducirse cada vez que se ejecutaba y podía llegar a saturar la memoria del equipo de otro jugador. Además, los propios creadores del curioso juego inventaron también el primer antivirus, una aplicación llamada Reeper, que destruía las copias hechas por Core Wars.


    Pero no fue hasta 1983 cuando uno de aquellos programadores dio a conocer la existencia de Core Wars, cuyos detalles fueron publicados al año siguiente en una prestigiosa revista científica: ése sería el punto de partida para los que hoy conocemos como virus informáticos.


    En esa época, el sistema operativo que comenzaba a imponerse en todo el mundo era un jovencísimo MS DOS, con muchas posibilidades pero todavía con muchas carencias, motivadas tanto por desarrollos de software como por la inexistencia de muchos elementos hardware que hoy conocemos. Pero aún así, en 1986, el nuevo sistema operativo ya cuenta con un virus: Brain, un código malicioso originario de Pakistán que infecta los sectores de arranque de los discos de forma que impide acceder a su contenido. Ese mismo año aparece también el primer troyano en forma de una aplicación llamada PC-Write.


    Muy pronto, los autores de virus se dan cuenta de que infectar archivos puede causar aun más daño. Así, en 1987 aparece Suriv-02, un virus que infectaba ficheros COM y que dio origen al famoso virus Jerusalem o Viernes 13. Pero lo peor aún estaba por llegar, y en 1988 hace su aparición el famoso “gusano de Morris” que llegó a infectar 6000 ordenadores.


    A partir de aquí, y hasta 1995, se van desarrollando los tipos de códigos maliciosos que hoy conocemos: aparecen los primeros virus de macro, los virus polimórficos… Algunos llegaron a causar epidemias como Michael Angelo. Sin embargo, un acontecimiento cambió radicalmente el panorama vírico mundial, y fue el uso masivo de Internet y el correo electrónico. Poco a poco, los virus fueron adaptándose a la nueva situación hasta la aparición, en 1999, de Melissa, el primer código malicioso que provocó una epidemia a nivel mundial, y que inauguró una nueva era para los virus informáticos.


    En el pasado, la mayoría de los virus informáticos se transmitían entre entre disquetes infectados. Actualmente, con la creciente popularidad de Internet, la mayoría de los virus (y programas malignos) se propagan por la red de redes a través del correo electrónico, por la descarga de archivos infectados (por WWW, P2P, FTP, chats, foros, etc), navegando, etc.
 

- Caracteristicas.

    Aquí enumeramos una lista de algunas propiedades que los virus de computadora pueden presentar y los efectos que producen. No todos los virus presentarán estas características.

             1.- Los virus pueden infectar múltiples archivos de la computadora infectada (y la red a la que pertenece): Debido a que algunos virus residen en la memoria, tan pronto como un disquete o programa es cargado en la misma, el virus se “suma” o “adhiere” a la memoria misma y luego es capaz de infectar cualquier archivo de la computadora a la que tuvo acceso.

             2.- Pueden ser Polimórficos: Algunos virus tienen la capacidad de modificar su código, lo que significa que un virus puede tener múltiples variantes similares, haciéndolos difíciles de detectar.

             3.- Pueden ser residentes en la memoria o no: Como lo mencionamos antes, un virus es capaz de ser residente, es decir que primero se carga en la memoria y luego infecta la computadora. También puede ser "no residente", cuando el código del virus es ejecutado solamente cada vez que un archivo es abierto.

            4.- Pueden ser furtivos: Los virus furtivos (stealth) primero se adjuntarán ellos mismos a archivos de la computadora y luego atacarán el ordenador, esto causa que el virus se esparza más rápidamente.
            
            5.- Los virus pueden traer otros virus: Un virus puede acarrear otro virus haciéndolo mucho mas letal y ayudarse mutuamente a ocultarse o incluso asistirlo para que infecte una sección particular de la computadora.

            6.- Pueden hacer que el sistema nunca muestre signos de infección: Algunos virus pueden ocultar los cambios que hacen, haciendo mucho más difícil que el virus sea detectado.

            7.- Pueden permanecer en la computadora aún si el disco duro es formateado: Si bien son muy pocos los casos, algunos virus tienen la capacidad de infectar diferentes porciones de la computadora como el CMOS o alojarse en el MBR (sector de buteo).

 
-Esctructura.


     Según sus características un virus puede contener tres módulos principales: el módulo de ataque, el módulo de reproducción, y el módulo de defensa.

    Módulo de reproducción. Es el encargado de manejar las rutinas para infectar entidades ejecutables que asegurarán la subsistencia del virus. Cuando toma el control del sistema puede infectar otras entidades ejecutables. Cuando estas entidades sean trasladadas a otras computadoras se asegura la dispersión del virus.

     Módulo de ataque. Es el módulo que contiene las rutinas de daño adicional o implícito. El módulo puede ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un archivo específico (COMMAND.COM), el encontrar un sector específico (MBR), una determinada cantidad de booteos desde que ingreso al sistema, o cualquier otra cosa a la que el programador quisiera atacar.

      Módulo de defensa. Su principal objetivo es proteger el cuerpo del virus. Incluirá rutinas que disminuyan los síntomas que delaten su presencia e intentarán que el virus permanezca invisible a los ojos del usuario y del antivirus. Las técnicas incluidas en este módulo hoy en día resultan ser muy sofisticadas logrando dar información falsa al SO -y en consecuencia al usuario- y localizándose en lugares poco comunes para el registro de los antivirus, como la memoria Flash-Rom.

Acciones, Sintomas y Mecanismos de Defensa.


-Acciones:

     Lo principal de un virus informático es dañar o infectar un programa en específico para un beneficio o simple diversión y entretenimiento. Otras pueden ser:

  • Unirse a un programa instalado en el computador permitiendo su propagación a otros usuarios.

  • Mostrar en la pantalla mensajes o imágenes molestas.

  • Ralentizar o bloquear el computador.

  • Destruir la información en el disco y en algunas ocasiones información vital para el sistema, que impide entrar al sistema o iniciar normalmente el computador.

  • Reducir el espacio en el disco. 

-Síntomas:

Los síntomas pueden variar según la infección o el tipo de virus que se encuentre en el ordenador. Los principales y más generales son:
  • El computador tarda más del tiempo establecido para iniciar cualquier programa y en el peor de los caso tarda en iniciar el sistema operativo.
  • Se reinicia constantemente
  • No podemos accesar al administrador de tareas 
  • No se puede accesar al sistema operativo (Windows, Linux, etc.) 
  • No te permite la edición o modificación de ningún tipo en el sistema (Protectores de pantalla, fondos, agregar programas, desinstalar, etc.) 
  • El computador emite sonidos de cualquier tipo no deseados 
  • Aparecen pop-ups constantes o mensajes molestos 
  • Algunas aplicaciones desaparecen o no inician 
  • No se conecta a internet  
  • Abre ventanas en los exploradores inesperadas y no deseadas 
  • Navega muy lento 
  • Desaparecen carpetas, archivos o libreros 
  • Se desactiva constantemente el antivirus, no actualiza o se desinstala solo 
  • Emite sonidos y mensajes en otros idiomas o símbolos desconocidos  
  • Colapso total del computador, referido a la ejecución de programas inesperadamente, envió de correos, de mensajes o ejecuciones externas jamás realizadas (Ej. La expulsión de la lectora de discos o el icono de USB sin que este ningún USB conectado)



-Mecanismos de Defensa de los Virus Informáticos

     Numerosos ejemplos de software malintencionado utilizan algún tipo de mecanismo de defensa para reducir la probabilidad de ser detectados y eliminados. En la siguiente lista se ofrecen algunos ejemplos de las técnicas empleadas:


armadura 

    Este tipo de mecanismo de defensa emplea técnicas que intentan impedir el análisis del código malintencionado, por ejemplo, detectar cuándo se ejecuta un depurador e intentar evitar que funcione correctamente, o agregar grandes cantidades de código sin sentido para ocultar el objetivo del código malintencionado.

Ocultación.

   El software malintencionado utiliza esta técnica para ocultarse mediante la interceptación de solicitudes de información y la devolución de datos falsos. Por ejemplo, un virus puede almacenar una imagen del sector de inicio no infectado y mostrarla cuando se intente visualizar el sector de inicio afectado. El virus informático más antiguo conocido, denominado “Brain”, utilizó esta técnica en 1986.

Cifrado.

   El software malintencionado que utiliza este mecanismo de defensa realiza un cifrado de sí mismo o de la carga (y en ocasiones incluso de otros datos del sistema) para evitar la detección o la recuperación de datos. El software malintencionado cifrado contiene una rutina de descifrado estática, una clave de cifrado y el código malintencionado cifrado (que incluye una rutina de cifrado). Cuando se ejecuta, utiliza la rutina de descifrado y la clave para descifrar el código malintencionado. A continuación, crea una copia del código y genera una nueva clave de cifrado. Emplea esa clave y la rutina de cifrado para cifrar la copia nueva de sí mismo, agregando la clave nueva con la rutina de descifrado al inicio de la copia nueva. A diferencia de los virus polimórficos, el software malintencionado de cifrado utiliza siempre las mismas rutinas de descifrado, así que aunque el valor de la clave (y, por tanto, la firma de los códigos malintencionados cifrados) generalmente cambia de una infección a otra, los programas antivirus pueden buscar la rutina de descifrado estática para detectar el software malintencionado que utiliza este mecanismo de defensa.

Software malintencionado oligomórfico.

   Se trata de software que utiliza el cifrado como mecanismo para defenderse y puede cambiar la rutina de cifrado únicamente un número determinado de veces (generalmente una cantidad reducida). Por ejemplo, un virus que puede generar dos rutinas de descifrado diferentes se clasificaría como oligomórfico.

Software malintencionado polimórfico.

   Utiliza el cifrado como mecanismo de defensa para cambiarse con el fin de evitar ser detectado, generalmente mediante el cifrado del propio software malintencionado con una rutina de cifrado para, a continuación, proporcionar una clave de descifrado diferente para cada mutación. De este modo, el software malintencionado polimórfico utiliza un número ilimitado de rutinas de cifrado para evitar la detección. Cuando el software se replica, una parte del código de descifrado se modifica. En función del tipo específico de código, la carga u otras acciones llevadas a cabo pueden utilizar o no el cifrado. Generalmente existe un motor de mutación, que es un componente incorporado del código malintencionado de cifrado que genera rutinas de cifrado aleatorias. Este motor y el software malintencionado quedan cifrados y la nueva clave de descifrado se pasa con ellos.

Métodos de Infección y Propagación, Detección, Eliminación, Protección y Prevención.

-Métodos de infección.
  • Añadidura o Empalde:  Por este método el código de virus se agrega al final de archivo ejecutable a infectar, modificando las estructuras de arranque del archivo anfitrión de manera que el control del programa pase primero al virus cuando se quiera ejecutar el archivo.
  • Inserción: los virus que utilizan este método buscan alejarse en zonas de código no utilizadas o segmentos de datos dentro de los archivos que contagia.
  • Polimorfismo: Este es el método más avanzado de contagio logrado por los programadores de virus. Este utiliza la técnica básica en la inserción del código viral en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus comparte parte de su código y el código del archivo anfitrión de manera que la suma de ambos sea igual al tamaño original del archivo. al ejecutar el programa infectado actúa primero el código del virus des compactando en memoria las porciones previamente compactadas.
  • Sustitución: Es quizás el método mas primitivo, usados con variantes por los caballos de Troya consiste en sustituir el código  completo del archivo original por el código del virus. Al ejecutar del programa infectado el único que actúa es el virus, que cumple con su tarea de contagiar otros archivos y luego termina la ejecución del programa reportando algún tipo de error.
  • Tunneling: Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupción y tener así un control directo sobre esta. Requiere una programación compleja.Anti virus. 


-Métodos de propagación.

    Es el usuario final el que contribuye a la propagación de las infecciones de virus informáticos en los sistemas. (Intercambiando información: Memorias o dispositivos de almacenamiento, Internet, correo electrónicos etc.).

  Uno de los mecanismos más populares en que los virus se propagan en nuestros días es mediante los cookis (archivos de información temporal de INTERNET que se crean en nuestros discos duros como referencia de los sitios que se visitan). Los cookis son instrucciones maliciosas por lo general se encuentran en los siguientes sitios:

  • Sitios de Intercambio de información ilegal: centros de distribución de copias pirateadas de archivos, páginas web que contienen información de series de activaciones de software o mejor conocidas como Web Hacker´s Pages.
  • Sitios de contenido exclusivo para adultos: Sitios que contienen pornografía de cualquier tipo, sitios en donde se hacen citas.
  • Sitios de Descuento
  • Sitios de Juegos: Juegos de cualquier tipo.
  • Mediante mensajes de Correo electrónico: muchos usuarios se infectan mediante correos masivos (Spam Email) que se envían a sus direcciones, por remitentes desconocidos.
  •  CDs, discos flexibles y pendrives.


-Detección de virus.



    Para detectar la presencia de un virus informatico se pueden emplear varios tipos de programas antivíricos.



    Como los nuevos virus informatico tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados periódicamente para resultar eficaces. Algunos programas de rastreo buscan características habituales de los programas vírales; suelen ser menos fiables.

    Los únicos programas que detectan todos los virus informatico son los de comprobación de suma, que emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y después de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado.

    Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca.

    Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobre escritura de ficheros informáticos o el formateo del disco duro de la computadora.

   Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad se efectúa automáticamente una comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten.



-Eliminación.

    La eliminación de un virus puede ser sencilla o complicada según el tipo de virus que afectó al ordenador. En ciertos casos un antivirus puede eliminar al virus e intentar repara los archivos afectados.

 Proceder a la limpieza:
  • Elimine todos los archivos temporales: información
  • Vacíe la papelera de reciclaje.
  • Desinstale los programas sospechosos: información
  • Ejecute su antivirus actualizado y analice toda su PC.
  • Ejecute su antispyware actualizado y analice su PC.
  • Instalar un cortafuegos temporalmente:
  • Es probable que el virus o el hacker quiera atacar nuevamente su Ordenador, para evitar esto sería recomendable que instale un Firewall aunque sea temporalmente.
  

-Métodos de protección.

Activos

  • Antivirus: son programas que tratan de descubrir las trazas que ha dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación. Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad
  • Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el ordenador está conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o usando técnicas de firewall. En general, este sistema proporciona una seguridad donde no se requiere la intervención del usuario, puede ser muy eficaz, y permitir emplear únicamente recursos de forma más selectiva.


Pasivos

    Evitar introducir a tu equipo medios de almacenamiento extraíbles que consideres que pudieran estar infectados con algún virus.

  • No instalar software "pirata", pues puede tener dudosa procedencia.
  • No abrir mensajes provenientes de una dirección electrónica desconocida.
  • No aceptar e-mails de desconocidos.
  • Informarse y utilizar sistemas operativos más seguros.
  • No abrir documentos sin asegurarnos del tipo de archivo. Puede ser un ejecutable o   incorporar macros en su interior.

-Prevención.

    Sea precavido cuando descargue archivos desde Internet: compruebe que la fuente es legítima y de confianza; y asegúrese de que el programa antivirus comprueba los archivos en el sitio de descarga. Si no está seguro, no transfiera el archivo o descárguelo en un disquete o algún otro dispositivo de almacenamiento extraíble y pruébelo con el programa antivirus del que disponga.

    Rechace los archivos que no haya solicitado cuando esté en chats o grupos de noticias ("news") y compruebe aquellos que sí ha solicitado.

Configure el navegador escogiendo el nivel de seguridad adecuado: instale un cortafuegos. Se pueden evitar bastantes infecciones por virus a través de Internet si se tienen determinados puertos cerrados.



Anti-virus:
Tenga siempre instalado un anti-virus en su computadora, como medida general analice todos los discos que desee instalar. Si detecta algún virus elimine la instalación lo antes posible.

Actualice periódicamente su anti-virus:
Un anti-virus que no está actualizado puede ser completamente inútil. Todos los anti-virus existentes en el mercado permanecen residentes en la computadora pata controlar todas las operaciones de ejecución y transferencia de ficheros analizando cada fichero para determinar si tiene virus, mientras el usuario realiza otras tareas.
Suscribirse a: Entradas (Atom)