¿QUE SON LOS VIRUS?Los virus informáticos son programas que se instalan de forma inadvertida en los ordenadores,realizan s...
Infección: Al ejecutar un archivo infectado (el código del virus se ha implantado en el archivoanteriormente) comienza la ...
Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al serviciode una interrupción y...
7 XOR 9 = 22 XOR 9 = 7En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obiene...
También es conveniente fijarse en el texto del Asunto, si es un texto sin un significado claropuede ser un síntoma de que ...
Hay que actualizar frecuentemente el programa antivirus, ya que cada poco tiempo aparecenvirus nuevos que un antivirus no ...
operativa y fatal para la información del sistema. Como alternativa a esto existe para el sistemaoperativo MS-DOS / Window...
Próxima SlideShare
Cargando en…5
×

Que son los virus

180 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
180
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
1
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Que son los virus

  1. 1. ¿QUE SON LOS VIRUS?Los virus informáticos son programas que se instalan de forma inadvertida en los ordenadores,realizan su función destructiva y pueden propagarse hacia otros ordenadores.Las vías de propagación son diversas y han ido evolucionando a lo largo del tiempo. Hace unosaños, cuando no existía Internet, se propagaban preferentemente a través de los disquetes. Luegoempezaron a utilizar como vía de expansión los programas que se descargaban por Internet.Los medios más utilizados de propagación son el email (correo por Internet) y las páginas Web.Utilizar el correo como medio de dispersión tiene varias ventajas desde el punto de vista de losvirus. Es un medio muy rápido y utilizado por muchas personas, un virus puede replicarse millonesde veces en pocos días de la siguiente forma.El virus llega por correo a un ordenador y se autoenvía a todas las direcciones de correo quefiguren en la Libreta de Direcciones. Al llegar a otro ordenador se vuelve a autoenviar a todas lasdirecciones que figuren en él, y así sucesivamente.Los virus que utilizan las páginas Web e Internet también son capaces de reproducirse muyrápidamente puesto que una página puede ser visitada por miles de personas al dia.El ciclo de vida de un virus podría ser este, entra en nuestro ordenador, es decir, nos infecta, seejecuta y causa, normalmente, daños, luego intenta copiarse en otros ordenadores, es decirpropagarse. Cuando es detectado por algún programa antivirus o por el usuario es eliminado ymuere. Vamos a ver todo esto con más detalle.¿Como actúa un Virus Informático?El ciclo de los virus informático es muy similar al de los biológicos (de ahí su nombre).
  2. 2. Infección: Al ejecutar un archivo infectado (el código del virus se ha implantado en el archivoanteriormente) comienza la fase de infección, duplicándose e implantándose en otros archivosejecutables. Comienza la "invasión" del sistema informático. La víctima, aún no es consciente de laexistencia del virus ya que este permanece oculto y sin causar daños apreciables. Expansión: El virus pasará a otros ordenadores, a través de redes informáticas, disquetes y CDsque contengan archivos infectados, software en Internet, archivos adjuntos a mensajeelectrónicos, etc. Explosión: Si el virus no ha sido detectado y destruido por algún programa antivirus, en unmomento determinado o bajo determinadas circunstancias, tomará el control del ordenadorinfectado, ejecutando la acción para la que fue programado. En este momento, debido a lostrágicos efectos que pueden llegar a ocasionar, se hará evidente su existencia, acabando coninformación vital contenida en el sistema informático.Técnicas en las que puede estar programado un Virus.Técnicas StealthSon técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus.Habitualmente los virus ocultan el tamaño real de los archivos que han contaminado, de formaque si hacemos un DIR la información del tamaño de los archivos puede ser falsa. Los virus detabla de partición guardan una copia de la FAT original en otro lugar del disco que marcan comosectores defectuosos para mostrarsela al usuario cuando haga por ejemplo un FDISK. Incluso hayvirus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de supropio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda.Tunneling
  3. 3. Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al serviciode una interrupción y tener así un control directo sobre esta.Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. Eneste modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1. Secoloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instruccionescomprobando cada vez si se ha llegado a donde se quería hastarecorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.AntidebuggersUn debugger es un programa que permite decompilar programas ejecutables y mostrar parte desu código en lenguaje original. Los virus usan técnicas para evitar ser desemsamblados y asíimpedir su análisis para la fabricación del antivirus correspondiente.Polimorfismo o automutaciónEs una técnica que consiste en variar el código virico en cada infección ( más o menos lo que haceel virus del SIDA en los humanos con su capa protéica ). Esto obliga a los antivirus a usar técnicasheurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscandolo porcadenas de código. Esto se consigue utilizando un algoritmo de encriptación que pone las cosasmuy difíciles a los antivirus. No obstante no se puede codificar todo el código del virus, siempredebe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus.La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que estaoperación es reversible:
  4. 4. 7 XOR 9 = 22 XOR 9 = 7En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obieneuna codificación también distinta.Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico.TSRLos programas residentes en memoria (TSR) permanecen alojados en esta durante toda suejecución.Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema ycontaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras lacomputadora permanezca encendido. Por eso una de las primeras cosas que hace al llegar a lamemoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando sevuelva a arrancar la computadora volverá a ser cargado en memoria.Precauciones para evitar el contagio de Virus Informático Hoy en día los virus se propagan de múltiples formas, sobre todo el envío de virus por correo seha convertido en algo común y hay que tomar precauciones, cuantas más mejor. No hay que abrir correos de desconocidos o que nos merezcan poca confianza. No abrir archivos adjuntos si no se tiene la certeza de su contenido incluso si proviene de unadirección "amiga".
  5. 5. También es conveniente fijarse en el texto del Asunto, si es un texto sin un significado claropuede ser un síntoma de que el correo contiene un virus ya que algunos virus generan el asuntojuntando varias palabras al azar. Desactivar la opción de "Vista previa" de algunos programas de correo, como por ejemplo elOutlook Express. Así evitamos que siempre se lea el mensaje para poder mostrar la Vista Previa.Aquí puedes ver cómo hacerlo. Es más seguro leer el correo utilizando el webmail o correo a través de la web, como Hotmail,Yahoo, Hispavista, etc. Esto es así por dos razones fundamentalmente. La primera es que al leerpor la web podemos hacer que no se grabe nada en nuestro disco duro desactivando la copia depáginas en caché. Ojo que si abrimos los archivos adjuntos sí se pueden grabar archivos en nuestroordenador. La segunda razón es porque los servidores de correo web suelen tener buenos filtrosantivirus. Hay que tener mucho cuidado con los archivos y programas que nos bajamos de Internet,especialmente de sitios sospechosos. Los programas antivirus pueden trabajar de dos formas básicas. De forma permanente y bajopetición. De forma permanente quiere decir que el antivirus se instala de forma residente en memoria ybusca virus en todos los archivos que se abren o descargan de Internet. Es la forma más segura deprotegerse de los virus. Tiene el pequeño inconveniente que consume memoria RAM y en algunasocasiones puede interferir el funcionamiento de algunos programas. De forma puntual o bajo petición, podemos tener el antivirus desactivado y activarlo sólocuando consideremos que hay peligro de contagio, por ejemplo cuando descargamos archivos deInternet, copiamos un disquette o instalamos un programa nuevo. Es conveniente tener activado el antivirus de forma permanente.
  6. 6. Hay que actualizar frecuentemente el programa antivirus, ya que cada poco tiempo aparecenvirus nuevos que un antivirus no puede detectar hasta que no es actualizado. Si sólo utilizamos software legal es más dificil que nos contagiemos. Por muchas precauciones que tomemos no está garantizado al 100% que no nos podamosinfectar, por lo tanto conviene realizar copias de seguridad de nuestros datos en CD u otrosmedios. Si se estropea el ordenador por otras causas ajenas a los virus también agradeceremostener una copia de seguridad. Todas las precauciones se resumen en tres, utilizar un buen programa antivirus actualizado, nograbar archivos sin garantía y no abrir correos de remitente desconocido.EliminaciónLa eliminación de un virus implica extraer el código del archivo infectado y reparar de la mejormanera el daño causado en este. A pesar de que los programas antivirus pueden detectar miles devirus, no siempre pueden erradicar la misma cantidad, por lo general pueden quitar los virusconocidos y más difundidos de los cuales pudo realizarse un análisis profundo de su código y de sucomportamiento. Resulta lógico entonces que muchos antivirus tengan problemas en la deteccióny erradicación de virus de comportamiento complejo, como el caso de los polimorfos, que utilizanmétodos de encriptación para mantenerse indetectables. En muchos casos el procedimiento deeliminación puede resultar peligroso para la integridad de los archivos infectados, ya que si el virusno está debidamente identificado las técnicas de erradicación no serán las adecuadas para el tipode virus.Hoy en día los antivirus más populares están muy avanzados pero cabe la posibilidad de que estetipo de errores se de en programas más viejos. Para muchos el procedimiento correcto seríaeliminar completamente el archivo y restaurarlo de la copia de respaldo. Si en vez de archivos lainfección se realizó en algún sector crítico de la unidad de disco rígido la solución es simple,aunque no menos riesgosa. Hay muchas personas que recomiendan reparticionar la unidad yreformatearla para asegurarse de la desaparición total del virus, cosa que resultaría poco
  7. 7. operativa y fatal para la información del sistema. Como alternativa a esto existe para el sistemaoperativo MS-DOS / Windows una opción no documentada del comando FDISK que resuelve todoen cuestión de segundos. El parámetro /MBR se encarga de restaurar el registro maestro debooteo (lugar donde suelen situarse los virus) impidiendo así que este vuelva a cargarse en elinicio del sistema. Vale aclarar que cualquier dato que haya en ese sector será sobrescrito y puedeafectar mucho a sistemas que tengan la opción de bootear con diferentes sistemas operativos.Muchos de estos programas que permiten hacer la elección del sistema operativo se sitúan enesta área y por consiguiente su código será eliminado cuando se usa el parámetro mencionado.Para el caso de la eliminación de un virus es muy importante que el antivirus cuente con soportetécnico local, que sus definiciones sean actualizadas periódicamente y que el servicio técnico seaapto para poder responder a cualquier contingencia que nos surja en el camino.

×