Practica de Virus

Regional Distrito Capital
Centro de Gestión de Mercados, Logística y

Tecnologías de la Información
MANTENIMIENTO DE HARDWARE
María Alexandra Pedraza

40056
Programa de Teleinformática
2008
Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información
14/03/08
Control del Documento
Nombre Cargo Dependencia Firma Fecha

Centro de Gestión de
Mercados, Logística y
Autores María Alexandra Pedraza Alumno Tecnologías de la 17/08/08
Información
Centro de Gestión de
Mercados, Logística y
Revisión Ing. José Méndez Instructor
Tecnologías de la
Información
María Pedraza
40056
14/03/08
PRACTICA DE VIRUS
• Lo primero que hicimos fue descargar todos los virus en el computador para poderlo
contaminar.
• A continuación encontraras las imágenes de los virus que se descargaron en el
computador
VIRUS EN EL COMPUTADOR:
 Nombre del virus: CIA v1 b.Zip
 Client.exe aquí se muestra como hay que descomprimirlo
María Pedraza
40056
14/03/08
COMPORTAMIENTO DE EL EQUIPO: El equipo arranca normalmente sin ningún

prejuicio pero el problema es cuando abro el procesador de palabras se hay problemas de
bloqueo al guardar el documento
upx.exe
Client-v1.2.exe
María Pedraza
40056
14/03/08
EditServer-v1.2.exe
NetCat.exe
María Pedraza
40056
14/03/08
Erazer.exe
editserver.exe
María Pedraza
40056
14/03/08
Erazer.exe
client.exe
María Pedraza
40056
14/03/08
LABORATORIO DE ELIMINACION DE VIRUS
QUÉ ES UN VIRUS
Un virus es un programa capaz de contagiar a otros programas, transformando su código
hasta conseguir una copia suya dentro de ellos. Los virus son una gran amenaza; se pro-
pagan más rápido de lo que se tarda en encontrarles solución, e incluso el menos dañino
puede ser fatal. Ni tan siquiera sus creadores son capaces de pararlos. Por estas razones
es vital que los usuarios se mantengan informados acerca de los virus más actuales y los
antivirus más eficaces.
TIPOS DE VIRUS
a) Los virus parásitos.
Infectan ficheros ejecutables o programas de la computadora. No modifican el contenido
del programa, pero funcionan de forma que el código del virus se ejecuta en primer lugar.
Estos virus pueden ser:
• De acción directa.
• Residentes.
Un virus de acción directa afecta a uno o más programas para infectar cada vez que se
ejecuta.
Un virus residente se oculta en la memoria del ordenador e infecta un programa determi-
nado, al ejecutar dicho programa.
María Pedraza
40056
14/03/08
b) Los virus del sector de arranque inicial.
Estos virus se sitúan en la primera parte del disco duro o flexible, conocida como sector
de arranque inicial, y sustituyen los programas que almacenan información sobre el conte-
nido del disco o los programas de arranque. Estos virus suelen difundirse mediante el in-
tercambio de archivos en disquete o pendrive.
c) Los virus multipartitos.
Estos virus poseen las capacidades de los virus parásitos y de sector de arranque inicial,
y pueden infectar tanto ficheros como sectores de arranque.
d) Los virus acompañantes.
Los virus acompañantes no modifican los ficheros, sino que crean un nuevo programa con
el mismo nombre que un programa legítimo y utilizan al sistema operativo para que los
ejecute.
e) Los virus de vínculo.
Estos modifican la forma en que el sistema operativo detecta los programas, y lo usan
para que ejecute primero el virus y luego el programa deseado. Estos virus pueden infec-
tar todo un directorio de un ordenador, y cualquier programa al que se acceda en dicho di-
rectorio ejecutará el virus y se infectará.
Virus de macro.
Son un tipo de virus que ha cobrado importancia en el mundo de la informática, lo curioso
es que se transmiten mediante los ficheros de extensión .DOC de Microsoft Word, estos
virus son capaces de cambiar la configuración de Windows, borrar ficheros del disco duro,
enviar por correo cualquier archivo por su cuenta, e incluso infectar nuestro disco duro
con un virus de fichero.
Estos virus no son muy complicados de diseñar como los virus convencionales. Están co-
dificados en forma de macros del Word y por tanto puede infectar nada mas cargar un do-
cumento. Son diseñados con Word Basic.
Virus e-mail.
No existen como virus en si mismos. Puede ser que recibamos un programa infectado
pero solo pasará a tener efecto cuando lo ejecutemos desde nuestro ordenador.
Uno de los correos de este tipo más famoso era el "Good Times".
María Pedraza
40056
14/03/08
Caballos de Troya.
Un caballo de Troya aparenta ser algo interesante e inocuo, por ejemplo un juego, pero
cuando se ejecuta puede tener efectos destructivos. No se replican a sí mismos como la
mayoría de los virus.
Bombas lógicas.
Una bomba lógica libera su carga activa cuando se cumple una condición determinada,
como cuando se llega una fecha u hora determinada o cuando se teclea una combinación
de letras.
Gusanos.
Un gusano se limita a reproducirse, pero puede ocupar memoria de la computadora y
hacer que sus procesos vayan más lentos.
TRANSMICION DE VIRUS
Por lo general los virus se transmiten por disquete o al ejecutar ficheros adjuntos a e-
mail. También puede encontrarse con un virus visitando páginas web que utilizan un
componente llamado ActiveX o Java Applet.
PRIMERA PARTE
Contaminar win xp con el primer virus
Apagar la maquina y reiniciar el sistema
Aplicar su antivirus favorito e intentar remover el virus, en este caso utilizare avast.
Escaneo en tiempo real de archivos

- Escaneo de memoria.
- Escudo de protección para red local
- Escudo de protección para Software P2P e IM
- Escudo de protección para clientes de correo
- Escudo de protección para TCP
- Actualizaciones automáticas
- Gratuito
este antivirus lo podemos obtener de la Web en su versión de prueba o utilizar el antivirus

que por defecto trae nuestro sistema operativo, la ventaja que trae este antivirus es que al
momento de su instalación cuando nuestro equipo reinicia para guardar cambios por
defecto el antivirus antes de cargar el sistema hace un análisis profundo a nuestro equipo.
María Pedraza
40056
14/03/08
ahora bien si no deseamos que esta operación se realice damos esc y nuestro sistema
iniciara normalmente, y automáticamente buscara sus actualizaciones en la red, por otro
lado ‘para comenzar a escanear nuestro equipo y seguir realizando las tareas que
realizamos damos en el icono que aparece en el escritorio luego esperamos a que
verifique el estado del equipo y comenzara a revisar los archivos de forma minuciosa
Cada vez que detecte un virus una vocecita chillona avisa al usuario que el sistema esta
contaminado y se dispara una ventana en donde se informa el nombre del virus detectado
María Pedraza
40056
14/03/08
VIRUS ENCONTRADOS
En el análisis a mi equipo el antivirus detecto alrededor de 5 archivos infectados casi 15

virus veamos las fichas de nuestros virus y la forma correcta de eliminación
Trojan-Downloader.Win32.QQHelper.ay
Comportamiento TrojanDownloader
Detalles técnicos
Este programa troyano está diseñado para descargar otros adware y programas troyanos
por Internet.
El Troyano en sí es un archivo PE EXE de Windows y está escrito en. C++. El tamaño del
archivo es de 118784 bytes.
Daños
El troyano crea una identificación única, "WindowsUpdate" para señalar su presencia en
el sistema. El troyano detiene su proceso si ubica este identificador.
El troyano lee los datos de la configuración de update.dat, que está localizado en la mis-
ma carpeta del programa troyano. La configuración del archivo contiene una lista de las
acciones que el troyano realiza:
Ejecuta IEXPLORE con una dirección URL específica en la línea de instrucciones.
Agrega parámetros a la clave de autoarranque del sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Modifica los parámetros de la siguiente clave del registro:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"
Agrega nuevas direcciones URL a la carpeta 'Favorites'.
Descarga un archivo desde Internet.
1. Muestra ventanas pop-up que contienen páginas HTML. Estas páginas HTML es-
tán en los archivos descargados desde Internet.
2. Inicia archivos ejecutables.
El troyano también crea las siguientes claves del registro:
[HKLM\Software\Lamp]
El troyano guarda en las subclaves del registro la información de la fecha y hora en que el
programa ha sido iniciado, la más reciente configuración cargada y otros datos.
María Pedraza
40056
14/03/08
INSTRUCCIONES DE ELIMINACIÓN
1. Termine el proceso del troyano.

2. Elimine el archivo original del troyano (la ubicación depende de la manera en que el
troyano se haya instalado en el ordenador de la víctima)
3. Elimine la siguiente clave y subclaves:
Eliminación con ANTIRVIRUS AVAST
María Pedraza
40056
14/03/08
Eliminación con NOD32 Scanner

Damos inicio a la instalación de este antivirus
1. Aquí no explicaremos como configurar un servidor proxy, estableceremos la opcion
predeterminada común para la mayoría de usuarios, deja la opción (•) Desconozco
si es usado un servidor Proxy. Usar las mismas características establecidas para
Internet Explorer. que le dirá NOD32 que utilice la misma configuración que tiene el
Internet Explorer para navegar en Internet. Da click en el boton Siguiente para con-
tinuar la instalación.
2. Estaremos ahora en la ventana Actualización automáticat
Te saldrá esta ventana
Deja marcada la opción Ejecutar actualizaciones automáticas regularmente y da

click en el boton Siguiente para continuar la instalación.
María Pedraza
40056
14/03/08
3. Estaremos ahora en la ventana Configuración general
Recomiendo no marcar ninguna opcion, mas sin embargo explico.
Activar modo silencioso nos permite evitar que aparezcan alertas y mensajes por lo
que NOD32 funcionará en modo silencioso.
Proteger configuración por contraseña nos permite evitar que otras personas cam-
bien las configuraciones de NOD32 y evita que cierren el programa.
Da click en el boton Siguiente para continuar la instalación.
4. 4. Estaremos ahora en la ventana Apariencia del programa y ventana de inicializa-

ción
5. Estaremos ahora en la ventana Envío de alertas
María Pedraza
40056
14/03/08
No recomendamos marcar ninguna opción. Da click en el boton Siguiente para con-

tinuar la instalación.
5. Estaremos ahora en la ventana Sistema de alerta temprana ThreatSense.Net
María Pedraza
40056
14/03/08
Deja marcada la opción [] Activar el sistema de alerta temprana ThreatSense.Net.

Da click en el boton Siguiente para continuar la instalación.
6. Estaremos ahora en la ventana Detección de aplicaciones potencialmente indesea-

bles
Marca la opción (•) Activar la detección de aplicaciones potencialmente indesea-

bles. Da click en el boton Siguiente para continuar la instalación.
7. Estaremos ahora en la ventana Monitor del sistema de archivos - AMON
María Pedraza
40056
14/03/08
Deja marcada la opción [] Sí, deseo activar automáticamente el monitor del sistema
de archivos. Da click en el boton Siguiente para continuar la instalación.
Nota: Si tienes instalado un antivirus y no deseas que NOD32 sea el antivirus pre-
determinado, desmarca esta opcion y continua.
8. Estaremos ahora en la ventana Integración de NOD32 Scanner
María Pedraza
40056
14/03/08
Asegúrate de marcar ambas opciones. Da click en el boton Siguiente para conti-

nuar la instalación.
9. Estaremos ahora en la ventana Protección de documentos Microsoft Office -

DMON
Deja marcada la opción [] Activar protección de documentos de Microsoft Office

(DMON). Da click en el boton Siguiente para continuar la instalación.
10. Estaremos ahora en la ventana Protección para el tráfico de Internet - IMON
María Pedraza
40056
14/03/08
Deja marcada la opción [] Habilitar Internet Monitor (IMON). Da click en el boton Si-
guiente para continuar la instalación.
11. Estaremos ahora en la ventana Protección antivirus para el tráfico de Internet -

IMON
María Pedraza
40056
14/03/08
Estaremos ahora en la ventana Se ha completado la configuración de parámetros

necesarios
Ahora puedes dar click en el botón "Atrás" si deseas confirmar las configuraciones
que acabamos de hacer. Cuando estés listo da click en el boton Siguiente para
completar la instalación.
Por favor espere mientras termina la instalación.

12. Si la instalación terminó sin errores, aparecerá la ventana Finalización del proceso
María Pedraza
40056
14/03/08
Por favor deja marcada la opción (•) Reiniciar ahora y da click en el botón Finalizar.
Una vez termine de reiniciar el computador, el Antivirus NOD32 estará completamente
operativo en tu sistema.
María Pedraza
40056
14/03/08
María Pedraza
40056
14/03/08
ANALISIS DE VIRUS DESDE EL DOS
Prot Antivirus para DOS es la clásica línea de comandos para el escáner sistema
operativo DOS.
Entre las características incluidas en F-Prot Antivirus para DOS es un medio eficaz
heurística escáner para buscar nuevos virus y archivos sospechosos. F-Prot Antivirus
explorará el interior de archivos comprimidos, así como en documentos de Word y Excel.
Inicialmente debemos entrar desde el CD Debemos digitar f-prot y en seguida nos

aparcera un pantallazo azul diciendo lo siguiente:
Se da c: para analizar desde ese disco
Le damos clic en estándar de extensiones de archivo para poder hacer la acción de

analizar los virus y desinfectar el equipo
María Pedraza
40056
14/03/08
Esta opción es para mirar si desinfectamos automáticamente o queremos desinfectar

únicamente
Al final se ve el resultado escaneado de los virus bajo el DOS
María Pedraza
40056
14/03/08
María Pedraza
40056

Practica de Virus

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Practica de Virus

Hochgeladen von

Copyright:

Verfügbare Formate

Regional Distrito Capital

Centro de Gestión de Mercados, Logística y

María Alexandra Pedraza

Control del Documento

Nombre Cargo Dependencia Firma Fecha

 Client.exe aquí se muestra como hay que descomprimirlo

COMPORTAMIENTO DE EL EQUIPO: El equipo arranca normalmente sin ningún

LABORATORIO DE ELIMINACION DE VIRUS

b) Los virus del sector de arranque inicial.

Escaneo en tiempo real de archivos

este antivirus lo podemos obtener de la Web en su versión de prueba o utilizar el antivirus

En el análisis a mi equipo el antivirus detecto alrededor de 5 archivos infectados casi 15

1. Termine el proceso del troyano.

Eliminación con ANTIRVIRUS AVAST

Eliminación con NOD32 Scanner

2. Estaremos ahora en la ventana Actualización automáticat

Te saldrá esta ventana

Deja marcada la opción Ejecutar actualizaciones automáticas regularmente y da

3. Estaremos ahora en la ventana Configuración general

Recomiendo no marcar ninguna opcion, mas sin embargo explico.

Da click en el boton Siguiente para continuar la instalación.

4. 4. Estaremos ahora en la ventana Apariencia del programa y ventana de inicializa-

No recomendamos marcar ninguna opción. Da click en el boton Siguiente para con-

5. Estaremos ahora en la ventana Sistema de alerta temprana ThreatSense.Net

Deja marcada la opción [] Activar el sistema de alerta temprana ThreatSense.Net.

6. Estaremos ahora en la ventana Detección de aplicaciones potencialmente indesea-

Te saldrá esta ventana

Marca la opción (•) Activar la detección de aplicaciones potencialmente indesea-

7. Estaremos ahora en la ventana Monitor del sistema de archivos - AMON

Te saldrá esta ventana

Asegúrate de marcar ambas opciones. Da click en el boton Siguiente para conti-

9. Estaremos ahora en la ventana Protección de documentos Microsoft Office -

Te saldrá esta ventana

Deja marcada la opción [] Activar protección de documentos de Microsoft Office

10. Estaremos ahora en la ventana Protección para el tráfico de Internet - IMON

11. Estaremos ahora en la ventana Protección antivirus para el tráfico de Internet -

Estaremos ahora en la ventana Se ha completado la configuración de parámetros

Por favor espere mientras termina la instalación.

ANALISIS DE VIRUS DESDE EL DOS

Inicialmente debemos entrar desde el CD Debemos digitar f-prot y en seguida nos

Se da c: para analizar desde ese disco

Le damos clic en estándar de extensiones de archivo para poder hacer la acción de

Esta opción es para mirar si desinfectamos automáticamente o queremos desinfectar

Al final se ve el resultado escaneado de los virus bajo el DOS

Das könnte Ihnen auch gefallen