2011

El Virus y Antivirus

Jean Cataln y Diego Rojas Ingeniera en Conectividad y Redes

02/011/2011

INDICE:
o Qu es un Virus? o Un poco de Historia ( el 1er Virus informtico) o Como se Transmiten los Virus
o Qu daos pueden causar?

o Por qu los Programadores crean virus? o Tipos de Virus o Descripcin de cada Virus (Troyanos, Gusano, sobre escritura, enlace, mutantes etc) o Antivirus
o Mtodos para detectar Virus

o Tipos de Antivirus o Conclusin

Para introducirnos en profundidad en el tema de los antivirus debemos conocer porque surgi este software en las siguientes pginas hablaremos sobre la historia del virus y su evolucin a travs del tiempo.

Qu es un Virus?

Un virus informtico es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el cdigo de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un computador, aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser molestos.

Un poco de Historia. ( El 1er Virus informtico )

El primer virus atac a una mquina IBM Serie 360 (y reconocido como tal). Fue llamado Creeper, creado en 1972. Este programa emita peridicamente en la pantalla el mensaje: I'm a creeper... catch me if you can! (Soy una enredadera... agrrame si puedes!). Para eliminar este problema se cre el primer programa antivirus denominado Reaper (cortadora).

Sin embargo, el trmino virus no se adoptara hasta 1984, pero stos ya existan desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro programadores (H. Douglas Mellory, Robert Morris, Victor Vysottsky y Ken Thompson) desarrollaron un juego llamado Core War, el cual consista en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible. Despus de 1984, los virus han tenido una gran expansin, desde los que atacan los sectores de arranque de disquetes hasta los que se adjuntan en un correo electrnico.

Cmo se transmiten los Virus?

Los principales medios de transporte son:

Disquetes u otro medio de almacenamiento removible (Pendrive el ms actual). Redes informticas. Mensajes de correo electrnico (con archivos anexados). Software descargado de Internet. Visitando ciertas pginas Web (xxx, juegos en lnea, etc)

Que daos pueden causar?

Los daos caudados por los virus son variados, van desde una molesta publicidad hasta malograr el bios y por lo tanto la Placa Madre (Mainboard). Los he clasificado de la siguiente manera: Software

Modificacin, eliminacin de programas y archivos. Hacer que el sistema funcione mas lentamente. Robo de informacin confidencial. Saturacin de una red. Acabar con el espacio libre del disco duro.

Hardware

Borrado o dao total del BIOS. Quemado del procesador (cpu), por ejemplo, por falsa informacin del censor de temperatura. Rotura del disco rgido al hacerlo leer repetidamente. Entre otros

Por qu los programadores crean virus?

Esta es la pregunta que se hacen casi todos los usuarios, "ellos que ganan haciendo virus?", no todo est del todo claro, algunos virus se crean por el desafo tecnolgico de crear una amenaza que sea nica, no detectable, o simplemente devastadora para una eventual vctima.Sin embargo, es discutible que la mayora de las personas crean virus por vanidad, el creador espera que el virus se propague de tal manera que lo haga famoso (aunque solo a su Nick, ya que obviamente no puede revelar su nombre verdadero: por ejemplo "Creado por xXXx"). Otros expertos dicen "ellos quieren desarrollar sus creatividad de programacin" ponindoles una etiqueta de "investigacin" a sus creaciones. De alguna forma esta la posibilidad de que las mismas empresas que crean antivirus programan dichos virus todo es una competencia de quien tiene la solucin (vacuna a la amenaza y as comercializar)

Tipos de Virus?

TROYANO

DE SOBRE ESCRITURA

GUSANO

VIRUS

DE ENLACE

RESIDENTES MUTANTES FALSOS DE MACROS D COMPAA

MULTIPLE

Descripcin de cada uno

Virus Troyano: Se denomina troyano o caballo de Troya un software malicioso que se presenta al usuario como un programa aparentemente legtimo e inofensivo pero al ejecutarlo ocasiona daos. El trmino troyano

proviene de la historia la Odisea de Homero. Cmo funciona?

del caballo

de

Troya mencionado

en

Se ejecuta cuando se abre un programa infectado por este virus. No es capaz de infectar otros archivos o soportes, y slo se ejecuta una vez, pero es suficiente. El efecto ms usual es el robo de informacin. Nombres NetBus, Back Orifice, Sub7. stos son los mas importantes. Cmo actan? Esperan que se introduzca una contrasea, clickear un link, o por transmisin de un disco extrable. Los troyanos pueden realizar diferentes tareas, pero, en la mayora de los casos crean una puerta trasera (en ingls backdoor) que permite la administracin remota a un usuario no autorizado.

Gusano: Un gusano (tambin llamados Worm es un malware que tiene la

propiedad de duplicarse a s mismo. Los gusanos utilizan las partes automticas de un sistema operativo que generalmente son invisibles al usuario. A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a s mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente

consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan. Cmo funciona? Se propaga de computador a computador, con la capacidad de enviarse sin la ayuda de una persona. Se aprovecha de un archivo o programa para viajar. basndose en diversos mtodos, como SMTP, IRC, P2P entre otros. Las tareas ordinarias se vuelven excesivamente lentas o no se pueden ejecutar. Como Actan? Utilizan partes que son invisibles al usuario. Se detecta la presencia cuando los recursos se consumen, parcial o totalmente. Nombres Ej: Blaster, Sobig Worm, Red Code, Klezz, etc..

Virus de Sobre-Escritura: Estos virus se caracterizan por destruir la informacin contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles. Tambin se diferencian porque los ficheros infectados no aumentan de tamao, a no ser que el virus ocupe ms espacio que el propio fichero (esto se

debe a que se colocan encima del fichero infectado, en vez de ocultarse dentro del mismo). Cmo funcionan? No respetan la informacin contenida en los archivos infectados, haciendo que estos queden inservibles. Hay otros que, adems, son residentes o no. Aunque la desinfeccin es posible, no se pueden recuperar los archivos infectados. Cmo actan? Utilizan un mtodo muy simple, que consiste en sobrescribir el archivo con los datos del virus. (ej Imagen) Nombres Way, TRJ. Reboot, Trivial.88.D. , son los ms peligrosos

Virus de Enlace: Es un tipo de virus que modifica la direccin donde se almacena un fichero, sustituyndola por la direccin donde se encuentra un virus (en lugar del fichero original). Esto provoca la activacin del virus cuando se utiliza el fichero afectado. Despus de producirse la infeccin, es imposible trabajar con el fichero original. Cmo funcionan?

Modifica la direccin donde se almacena un fichero, hacia donde se encuentra el virus. La activacin del virus se produce cuando se utiliza el fichero afectado. Es imposible volver trabajar con el fichero original. Cmo Actan? Atacan las direcciones de directorios, la modifican y, al momento de utilizarlo, se ejecuta el virus.

Virus mltiples:
Cmo funcionan? Infectan archivos ejecutables y sectores de booteo, combinando la accin de virus de programa y del sector de arranque.

Cmo Actan? Se auto ejecutan al ingresan a la mquina, y se multiplican. Infectan, gradualmente, nuevos sectores. Hay que eliminarlos simultneamente en el sector de arranque y archivos de programa. Nombres Los ms comunes son: One_Half, Emperor, Anthrax y Tequilla.

Residentes: Cmo funcionan? Se ocultan en memoria RAM permanentemente. As, pueden controlar todas las operaciones llevadas a cabo por el sistema operativo, infectando los programas que se ejecuten.

Cmo Actan? Atacan cuando se cumplen, por ej, fecha y hora determinada por el autor. Mientras tanto, permanecen ocultos en la zona de la memoria principal. Nombres Algunos ej. De ste virus son: Randex, CMJ, Meve, MrKlunky

Mutantes:
Cmo funcionan?

Modifican sus bytes al replicarse. Tienen incorporados rutinas de cifrado que hacen que el virus parezca diferente en variados equipos y evite ser detectado por los programas antivirus que buscan especifica y concretamente. Cmo Actan? Su estrategia es mutar continuamente. Se utilizan como competencia contra otros crackers, y daan archivos, temporalmente.

Virus falsos:
Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a

sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un nio enfermo de cncer") o al espritu de solidaridad ("Aviso de un nuevo virus peligrossimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas novatos.

Ataque de denegacin de servicio:

Es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima. Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegacin", pues hace que el servidor no d abasto a la cantidad de solicitudes. Esta tcnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo.

Virus de Compaa:

Cmo funcionan?

Son virus de fichero que pueden ser residentes o de accin directa. Acompaan" ficheros existentes en el sistema, antes de su llegada.
Cmo actan?

Pueden esperar ocultos en la memoria hasta que se lleve a cabo la ejecucin de algn programa (sin modificarlos como virus de sobre escritura o residentes), o actuar directamente haciendo copias de s mismos.

JOKE:
Al igual de los hoax, no son virus, pero son molestos, un ejemplo: una pgina pornogrfica que se mueve de un lado a otro, y si se le llega a dar a errar es posible que salga una ventana que diga: OMFG!! No se puede cerrar!

Otras Amenazas:

Keyloggers o registradores de teclas: Un keylogger (derivado del ingls: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software o un dispositivo hardware especfico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a travs de internet.

Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseas importantes, como los nmeros de una tarjeta de crdito, u otro tipo de informacin privada que se quiera obtener.

Ingenieria social: En el campo de la seguridad informtica, ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener informacin, acceso o privilegios en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Antivirus
Desde los primeros virus, creados como experimentos en los aos 80 hasta los ltimos, una de las mayores preocupaciones de cualquier usuario de ordenador ha sido la entrada de cdigos malignos en su sistema. Para evitar que los virus disfruten de nuestro ordenador solamente hay dos soluciones: una, la "burbuja"; es decir, desconectar el equipo de la red o de Internet y prescindir de cualquier lector de disquetes, CD-ROM o unidades extrables. As tendremos la absoluta seguridad de que no va a entrar ningn virus. La segunda solucin es la instalacin de un programa antivirus. Con ellos podr tener la seguridad de que ningn cdigo maligno entrar en nuestro sistema, pero cmo lo hacen?, por qu un antivirus permite que instale un juego y no permite que se copie un virus? Veamos cmo funciona.

Normalmente, se usan tres mtodos para detectar un virus informtico:

Conocimiento previo, Comportamiento Y control de integridad.

conocimiento previo :El primero opera con una base de datos que contiene las lneas de cdigo o strings propias de cada uno de los virus conocidos. El antivirus explora los ficheros del ordenador para localizarlos y alertar de su presencia. Comportamiento: El segundo mtodo analiza todo pedido de acciones atpicas solicitas al procesador del equipo. Tiene la ventaja sobre el anterior de que puede detectar virus nuevos o modificados, pero es incapaz de identificar el archivo anfitrin.

Control de integridad :el control de integridad consiste en un polinomio que se aplica byte por byte, y calcula y almacena un valor para cada programa o archivo ejecutable. Cuando uno de stos se va a ejecutar, el antivirus le aplica el polinomio y calcula el valor para dicho programa. Si no coincide con el almacenado, se produce la alerta al usuario.

Tenemos 4 formas de poder detectar un Virus y eliminarlo.

1ero- Scanning o rastreo 2do- Comprobacin de suma o CRC (Ciclyc Redundant Check) 3ero- Programas de vigilancia 4to- Bsqueda heurstica

Scanning o rastreo
Fue la primera tcnica que se populariz para la deteccin de virus informticos, y que todava se utiliza -aunque cada vez con menos eficiencia. Consiste en revisar el cdigo de todos los archivos ubicados en la unidad de almacenamiento - fundamentalmente los archivos ejecutables - en busca de pequeas porciones de cdigo que puedan pertenecer a un virus informtico.

Comprobacin de suma o CRC

Es otro mtodo de deteccin de virus. Mediante una operacin matemtica que abarca a cada byte del archivo, generan un nmero De (16 32 bytes) para cada archivo. Una vez obtenido este nmero, las posibilidades de que una modificacin del archivo alcance el mismo nmero son muy pocas. Por eso, es un mtodo tradicionalmente muy utilizado por los sistemas antivirus.

Programas de vigilancia
Ellos detectan actividades que podran realizarse tpicamente por un virus, como la sobre escritura de ficheros o el formateo del disco duro del sistema. En esta tcnica, se establecen capas por las que debe pasar cualquier orden de ejecucin de un programa. Dentro del caparazn de integridad, se efecta automticamente una comprobacin de suma y, si se detectan programas infectados, no se permite que se ejecuten. NLISIS HEURSTICO La tcnica de deteccin ms comn es la de anlisis heurstico. Consiste en buscar en el cdigo de cada uno de los archivos cualquier instruccin que sea potencialmente daina, accin tpica de los virus informticos.

Precauciones contra virus

No abrir correos de desconocidos. No abrir archivos adjuntos si no se tiene la certeza de su contenido. Especial cuidado con los archivos y programas bajados de Internet. Tener activado el antivirus de forma permanente. Realizar copias de seguridad de nuestros datos en CD u otros medios, para prevenir que se borren datos. En sntesis, utilizar un buen programa antivirus actualizado, no grabar archivos sin garanta y no abrir correos de remitente desconocido.

Algunos de Los Antivirus ms Comunes

AVG
Qu es? Es un grupo de productos antivirus. Su producto mas destacado es una versin gratuita de su antivirus para usuarios hogareos. Tiene mas de 45 millones de usuarios. Caracteriza por Ser uno de los softwares gratuitos mas utilizados y ser uno de los mas libres. Apto para Windows y Linux

Norton
Qu es? Norton es uno de los programas antivirus ms utilizados. Presenta varias caractersticas que no se encuentran en sus otros sistemas antivirus. Caracteriza por Negativamente, tiene un alto consumo de recursos y bajo nivel de deteccion. Positivamente, tiene intercambio de tecnologa con la CIA y el FBI. Apto para Windows y Mac Os

Microsoft security

Qu es? Microsoft Security Essentials un software antivirus gratuito creado por Microsoft, que protege de todo tipo de malware como virus, gusanos troyanos etc.. Caracteriza por Es un programa muy liviano, que utiliza pocos recursos, ideal para equipos como netbooks. Apto Para Slo Windows

AVIRA

Qu es? Avira Antivir, es un producto de la agencia de seguridad informatica Avira. Es gratuita para uso personal y organizaciones sin fines de lucro. Cmo funciona? Explora discos duros y extrables en busca de virus y tambin corre como un proceso de fondo, comprobando cada archivo abierto y cerrado. Apto para Windows, Linux y Unix

Kaspersky
Qu es? Kaspersky Antivirus, pertenece a la compaa rusa homnima. Es un software privado y pago, con grandes velocidades en las actualizaciones. Caracteriza por Tiene un gran sistema de asistencia tcnica, y es un buen sistema para PCs porttiles. Es uno de los mejores scanners de malwares exixtentes. Apto Para Todos los sistemas operativos

PANDA

Qu es? Panda, de Panda Security, es un antivirus que ofrece gran seguridad gracias a un sistema de anlisis, clasificacin y desinfeccin automtica de nuevas amenazas informticas. Caracteriza por Negativamente, problemas administrativos envan mails no deseados a clientes. Positivamente, incluye detalles como deteccin de archivos con virus o intrusiones Wi-Fi. Apto para Slo Windows

AVAST

Qu es? Avast! es un programa antivirus de Alwil Software. Sus versiones cubren desde un usuario domstico al corporativo. Es un software libre y gratuito. Caracteriza por Actualizar versin automticamente y ser uno de los software mas abiertos. Apto para Windows, Mac Os y Linux

CONCLUSIONES Un virus es un programa pensado para poder reproducirse y replicarse por s mismo, introducindose en otros programas ejecutables o en zonas reservadas

del disco o la memoria. Sus efectos pueden no ser nocivos, pero en muchos casos hacen un dao importante en el ordenador donde actan. Pueden permanecer inactivos sin causar daos tales como el formateo de los discos, la destruccin de ficheros, etc. Como vimos a lo largo del trabajo los virus informticos no son un simple riesgo de seguridad. Existen miles de programadores en el mundo que se dedican a esta actividad con motivaciones propias y diversas e infunden millones de dlares al ao en gastos de seguridad para las empresas. El verdadero peligro de los virus es su forma de ataque indiscriminado contra cualquier sistema informtico, cosa que resulta realmente crtica en entornos dnde mquinas y humanos interactan directamente. Es muy difcil prever la propagacin de los virus y que mquina intentarn infectar, de ah la importancia de saber cmo funcionan tpicamente y tener en cuenta los mtodos de proteccin adecuados para evitarlos.