UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO

Campus SLT

Seguridad en redes de rea Local y Amplia

Anlisis de un virus informtico
29/11/13

Equipo 3

Integrantes:
Martnez Sols Israel
Mijangos Martnez Jorge Adrin
Mndez Santiago Eduardo
Ramrez Pineda Jaime
Rodrguez Ortiz Jonatn

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

Introduccin:
El virus vienna es muy sencillo y
antiguo, creado en Alemania. Fue
usado como base para la creacin
de muchsimas variantes.
Su cdigo fuente fue publicado en
el libro "Computer viruses: A
High-Tech Disease".

Objetivo:
A travs de los conocimientos
adquiridos, haremos un pequeo a
anlisis de algunos virus
informticos, tanto sus
caractersticas, el creador de cada
uno, el lugar de origen, y lo
principal, su funcin.

Desarrollo:

Analizando los siguientes virus:
1. - command._om
2. - edit._om
3. - keyb._om
4. - sys._om



1.- Command._om
Tamao del virus: 53.9KB esto es
(55172bits).
Tipo de archivo: DOS EXE
Nombre del Archivo es: Vienna-
IT-457
Creador del Virus: nunca ha sido
revelada la informacin.
En la figura1 lo analizamos con el
programa hackman,
desamoblando el virus.


Figura 1
2.- edit._om
Tamao del virus: 900 bytes.
Tipo de archivo: DOS COM
Creado en Alemania,
Nombre del Archivo es:
COHAUIL

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM


Figura 2

3.- keyb._om
Tamao del virus: 15.3KB
(15628bytes).
Tipo de archivo: DOS EXE
Nombre del Archivo es:
TROJ_GEN.F47V1030


Figura 3

4.- sys._om
Tamao del virus: 9.6KB (9880
bytes).
Tipo de archivo: DOS EXE
Nombre del Archivo es: VIENNA

Figura 4
Cunto mide en bytes?
Segn los datos obtenidos en
www.virustotal.org el archivo
infectado mide 119937 bytes. El
nombre del virus vara segn el
antivirus analizado:

Avast Vienna-IT-457
Jiangmin Vienna.457
Sophos Vienna-457
Ad-Aware PS-MPC.0457.AK.Gen
Agnitum ITV.457
AhnLab-V3 ITV.457
AVG unknown virus
BitDefender PS-
MPC.0457.AK.Gen
Comodo UnclassifiedMalware
DrWeb Itv.454
UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

msisoft PS-MPC.0457.AK.Gen
(B)
F-Prot ITV.457
F-Secure PS-MPC.0457.AK.Gen
Fortinet ITV.457


Figura 5
Qu realiza el virus?
Funcin del Virus: cuando se
empieza a ejecutar, el virus
restaura los tres primeros bytes
del programa. Como original,
Provoca la prdida de
informacin almacenada en el
ordenador, bien de archivos
concretos, o generalizada.
Provoca prdidas de
productividad en el ordenador,
en la red a la que ste
pertenece o a otros sitios
remotos. Realiza acciones que
conducen a un decremento en el
nivel de seguridad del ordenador.
No se propaga automticamente
por sus propios medios.
Viena es un no residente, de accin
directa. Infector com. Cuando se
ejecuta un archivo infectado con el
virus, ste busca. Archivos com en
el sistema e infecta a uno de ellos.
Los segundos en marca de tiempo
del archivo infectado leern "62",
un valor imposible, haciendo que
sean fciles de encontrar. Uno de
seis a ocho de los archivos sern
destruidos cuando Viena intenta
infectarlos sobrescribiendo los
primeros cinco bytes con la cadena
de caracteres hex " EAF0FF00F0
", las instrucciones que causarn
un arranque en caliente cuando se
ejecuta el programa. Estos
archivos no contienen realmente el
virus Viena, slo estn
corrompidos por ella.

El creador del virus de Viena:
Nunca ha sido revelada. Algunas
fuentes dicen que el virus fue
creado por Viena estudiante de
secundaria como un experimento.
La primera persona para detectar
el virus era Franz Swoboda.
La informacin se filtr que
Swoboda recibi el virus de Ralf
Burger, hamburguesa, pero afirm
que recibi el virus de Swoboda.
Ralf hamburguesa s cre una
variante que caus el equipo se
bloquee despus de un reinicio.
UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM


sys no infectado


sys infectado


Keyb no infectado


Key infectado


edit no infectado

edit infectado

command no infectado

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM


command infectado

En las comparaciones echas y
vistas en el programa de hex
whorkshop, obtuvimos grandes
hallazgos acerca de los archivos
infectados y los que no lo eran.
Una de las caractersticas
principales de los archivos con
virus es su tamao, estos ocupan
mayor tamao, otras
caractersticas eran los datos
visualizados, en este caso haba
segmentos de diferentes colores.
Que nos indicaban los datos
daados y diferentes a los que no
tenan el virus.

Programas utilizados:

Hex Workshop
Hex Hacman (utilizado en
dessamblador)

Conclusiones:
En esta prctica se trabaj
con el virus llamado Vienna es
el ms comn de los virus NO-
TSR. Vienna fue el primer
virus de archivo, pero ahora
tiene variaciones.

Hay muchos virus basados en
Viena, ya que desde su
publicacin en 1987 hasta
nuestros das se ha tomado
como base el publicado
originalmente en el libro, los
archivos infectados que se
abordaron en esta prctica
nos sirvieron para poder
observar las modificaciones
que hace a veces un 'autor' de
virus realmente no alcanzan
para considerarlo un virus
nuevo. Adems de la rutina de
destruccin y la muy dudosa
rutina para confundir al que
quiera desensamblarlo, el que
hizo las modificaciones
posteriores al original no
parece tener mucha idea de
programacin, ni parece
entender el cdigo lo
suficientemente bien como
para mejorarlo mucho.

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

Bibliografa:

Aguilera Lpez Purificacin
Seguridad informtica.
Mxico 2004. Ed. Edimex.

Areitio Bertoln Javier
Seguridad de la informacin:
redes, informtica y sistemas
de informacin.Espaa 2008.
Ed. Paraninfo.

Portantier Fabin.
Seguridad informtica.
Mxico 2001. Ed. RedUsers.