2. ** VIRUS INFORMÁTICOS
* FUNCIÓN
* FUNCIONAMIENTO
* PRINCIPALES VÍAS DE INFECCIÓN
* CLASIFICACIÓN
• Según su destino de infección
• Según sus acciones y/o modo de activación
* Video
* Imágenes
* ANTIVIRUS
* CARACTERISTICAS
* VENTAJAS
* TIPOS DE ANTIVIRUS
* LOS DIEZ MEJORES ANTIVIRUS
* Video
3. Los Virus Informáticos son
sencillamente programas maliciosos
(malwares) que “infectan” a otros
archivos del sistema con la intención de
modificarlo o dañarlo. Dicha infección
consiste en incrustar su código
malicioso en el interior del archivo
“víctima” (normalmente un ejecutable)
de forma que a partir de ese momento
dicho ejecutable pasa a ser portador del
virus y por tanto, una nueva fuente de
infección.
*
4. *
Propagarse a través de un software, no se replican a sí
mismos porque no tienen esa facultad como los del
tipo Gusano informático (Worm), son muy nocivos y
algunos contienen además una carga dañina (payload) con
distintos objetivos, desde una simple broma hasta realizar
daños importantes en los sistemas, o bloquear las redes
informáticas generando tráfico inútil.
5. *
*Se ejecuta un programa que está infectado, en la mayoría de
las ocasiones, por desconocimiento del usuario.
* El código del virus queda residente (alojado) en la memoria
RAM de la computadora, aun cuando el programa que lo
contenía haya terminado de ejecutarse.
* El virus toma entonces el control de los servicios básicos del
sistema operativo, infectando, de manera posterior, archivos
ejecutables (.exe., .com, .scr, etc) que sean llamados para su
ejecución.
* Finalmente se añade el código del virus al programa
infectado y se graba en el disco, con lo cual el proceso de
replicado se completa.
6. * Redes Sociales.
* Sitios webs fraudulentos.
* Redes P2P (descargas con regalo)
*Dispositivos USB/CDs/DVDs
infectados.
* Sitios webs legítimos pero infectados.
* Adjuntos en Correos no solicitados
(Spam)
*
7. *
* Tipos de Virus Informáticos según su destino de infección
* Infectores de archivos ejecutables
* Afectan archivos de extensión EXE, COM, BAT, SYS, PIF, DLL, DRV
* Infectores directos
* El programa infectado tiene que estar ejecutándose para que el virus pueda funcionar (seguir
infectando y ejecutar sus acciones destructivas).
* Infectores del sector de arranque (boot)
Tanto los discos rígidos como los disquetes contienen un Sector de Arranque, el cual contiene
información específica relativa al formato del disco y los datos almacenados en él.
Además, contiene un pequeño programa llamado Boot Program que se ejecuta al bootear desde ese
disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este
programa es el que muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de no
encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector
de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear
desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del
disco rígido, infectando luego cada disquete utilizado en el PC.
8.
9. *Virus Multi Partición
Bajo este nombre se engloban los virus que utilizan los dos métodos anteriores. Es
decir, pueden simultáneamente infectar archivos, sectores boot de arranque y tablas
FAT.
*Infectores residentes en memoria
El programa infectado no necesita estar ejecutándose, el virus se aloja en la memoria
y permanece residente infectando cada nuevo programa ejecutado y ejecutando su
rutina de destrucción
*Macrovirus
Son los virus mas populares de la actualidad. No se transmiten a través de archivos
ejecutables, sino a través de los documentos de las aplicaciones que poseen algún
tipo de lenguaje de macros. Entre ellas encontramos todas las pertenecientes al
paquete Office (Word, Excel, Power Point, Access) y también el Corel Draw, o
AutoCAD.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control
y se copia a la plantilla base de nuevos documentos, de forma que sean infectados
todos los archivos que se abran o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy poderosos
y poseen capacidades como para cambiar la configuración del sistema
operativo, borrar archivos, enviar e-mails, etc.
10.
11. * De Actives Agents y Java Applets
En 1997, aparecen los Java applets y Actives controls. Estos pequeños programas se graban en
el disco rígido del usuario cuando está conectado a Internet y se ejecutan cuando la página web
sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir
ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco
rígido a través de una conexión www de manera que el usuario no los detecta. Se pueden
programar para que borren o corrompan archivos, controlen la memoria, envíen información a
un sitio web, etc.
* De HTML
Un mecanismo de infección más eficiente que el de los Java applets y Actives controls apareció
a fines de 1998 con los virus que incluyen su código en archivos HTML. Con solo conectarse a
Internet, cualquier archivo HTML de una página web puede contener y ejecutar un virus. Este
tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Win98, 2000 y de las
últimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se
encuentre activo. Potencialmente pueden borrar o corromper archivos.
12.
13. Caballos de Troya
Los troyanos son programas que imitan programas útiles o ejecutan
algún tipo de acción aparentemente inofensiva, pero que de forma
oculta al usuario ejecutan el código dañino.
Los troyanos no cumplen con la función de autorreproducción, sino que
generalmente son diseñados de forma que por su contenido sea el
mismo usuario el encargado de realizar la tarea de difusión del virus.
(Generalmente son enviados por e-mail).
14. Tipos de Virus Informáticos según sus acciones y/o modo de activación
* Bombas
Se denominan así a los virus que ejecutan su acción dañina como si fuesen una bomba. Esto significa que
se activan segundos después de verse el sistema infectado o después de un cierto tiempo (bombas de
tiempo) o al comprobarse cierto tipo de condición lógica del equipo. (bombas lógicas). Ejemplos de
bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos
de bombas lógicas son los virus que se activan cuando al disco rígido solo le queda el 10% sin uso, una
secuencia de teclas o comandos, etc. Ejemplos de este tipo de programas son virus como Viernes 13 o el
virus Miguel Angel
* Camaleones
Son una variedad de virus similares a los caballos de Troya que actúan como otros programas
parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño.
Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los
programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los
cuales son simulaciones de programas reales).
Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos realizando
todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando
en algún archivo los diferentes logins y password para que posteriormente puedan ser recuperados y
utilizados ilegalmente por el creador del virus camaleón.
15.
16. * Reproductores
Los reproductores (también conocidos como conejos-rabbits) se reproducen en forma constante una
vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria
del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo
mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario
interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento
normal.
* Gusanos (Worms)
Los gusanos utilizan las redes de comunicaciones para expandirse de sistema en sistema. Es
decir, una vez que un gusano entra a un sistema examina las tablas de ruta, correo u otra información
sobre otros sistemas, a fin de copiarse en todos aquellos sistemas sobre los cuales encontró
información. Este método de propagación presenta un crecimiento exponencial con lo que puede
infectar en muy corto tiempo a una red completa.
* Existen básicamente 3 métodos de propagación en los gusanos:
* 1 - Correo electrónico - El gusano envía una copia de sí mismo a todos los usuarios que aparecen
en las libretas de direcciones que encuentra en el ordenador dónde se ha instalado.
* 2 - Mecanismos basados en RPC (Remote Procedure Call) - El gusano ejecuta una copia de sí
mismo en todos los sistemas que aparecen en la tabla de rutas(rcopy y rexecute).
* 3 - Mecanismos basados en RLOGIN - El gusano se conecta como usuario en otros sistemas y una
vez en ellos, se copia y ejecuta de un sistema a otro.
17.
18. * Backdoors
Son también conocidos como herramientas de administración remotas ocultas. Son programas
que permiten controlar remotamente el PC infectado. Generalmente son distribuidos como
troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea
sin ningún tipo de mensaje o consulta al usuario. Incluso no se le vé en la lista de programas
activos. Los Backdoors permiten al autor tomar total control del PC infectado y de esta forma
enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc....
* Técnicas de programación
Apoyados en la capacidad de evolución dada por sus programadores, los nuevos virus nacen con
el conocimiento de las técnicas utilizadas por las herramientas antivirus actuales y sabiendo
cuales son sus puntos débiles. En base a ello utilizan técnicas cada vez más complejas para
ocultarse y evitar ser detectados. Algunos de los métodos de ocultación más utilizados son los
siguientes:
* Stealth (Ocultamiento)
El ocultamiento o stealth consiste en esconder los signos visibles de la infección que puedan
delatar la presencia del virus en el sistema. Se trata de evitar todos los síntomas que indican la
presencia de un virus.
El signo fundamental de infección es no obstante la modificación del fichero infectado. Una
técnica de camuflaje usada por un virus residente puede ser la siguiente:
* Interceptar el servicio de lectura de ficheros.
* Cuando un programa desea analizar un fichero infectado, se le devuelve el contenido original
del mismo antes de la infección.
19.
20. *Tunneling (Sobrepasamiento)
*El sobrepasamiento o tunneling consiste en acceder directamente a los servicios del
sistema a través de sus direcciones originales, sin pasar por el control de otros
programas residentes, incluyendo el propio sistema operativo o cualquier buscador o
vacuna residente.
*Requiere una programación compleja, hay que colocar el procesador en modo paso a
paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la
interrupción 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupción
y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería
hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la
cadena.
*Armouring o antidebuggers
*Un debugger es un programa que permite descompilar programas ejecutables y
mostrar parte de su código en lenguaje original. Algunos virus utilizan diversas
técnicas para evitar ser desensamblados y así impedir su análisis para la fabricación
del antivirus correspondiente.
21.
22. * Polimorfismo o automutación
Es una técnica que consiste en cambiar el método de encriptación de generación en generación, es decir, que
entre distintos ejemplares del mismo virus no existen coincidencias ni siquiera en la parte del virus que se
encarga del descifrado del resto del virus. Esto obliga a los antivirus a usar técnicas heurísticas ya que como el
virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código. Esto se consigue
utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede
codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte
más vulnerable al antivirus.
* La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es
reversible
* 7 XOR 9 = 14
* 14 XOR 9 = 7
* En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obtiene una
codificación también distinta.
* Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico.
* TSR
Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecución.
Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y contaminar todo
lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido.
Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del
sistema para asegurarse de que cuando se vuelva a arrancar la computadora volverá a ser cargado en memoria.
23.
24.
25. *
El antivirus es un programa que ayuda a proteger su computadora contra
la mayoría de los virus, worms, troyanos y otros invasores indeseados
que puedan infectar su ordenador.
Entre los principales daños que pueden causar estos programas están: la
pérdida de rendimiento del microprocesador, borrado de
archivos, alteración de datos, información confidencial expuestas a
personas no autorizadas y la desinstalación del sistema operativo.
26. *
Normalmente, los antivirus monitorizan actividades de virus en
tiempo real y hacen verificaciones periódicas, o de acuerdo con la
solicitud del usuario, buscando detectar y, entonces, anular o
remover los virus de la computadora.
Los antivirus actuales cuentan con vacunas específicas para
decenas de miles de plagas virtuales conocidas, y gracias al modo
con que monitorizan el sistema consiguen detectar y eliminar los
virus, worms y trojans antes que ellos infecten el sistema.
27. Esos programas identifican los virus a partir de "firmas", patrones
identificables en archivos y comportamientos del ordenador o alteraciones no
autorizadas en determinados archivos y áreas del sistema o disco rígido.
El antivirus debe ser actualizado frecuentemente, pues con tantos códigos
maliciosos siendo descubiertos todos los días, los productos pueden hacerse
obsoletos rápidamente. Algunos antivirus pueden ser configurados para que se
actualicen automáticamente. En este caso, es aconsejable que esta opción esté
habilitada.
28. *
Los antivirus son uno de los puntos de apoyo básicos de un
sistema de seguridad personal, al lado de firewalls y de
detectores de spyware. Como en las otras categorías de
software, también es posible encontrar buenos antivirus
gratuitos y comerciales. Normalmente, los productos
monitorizan actividades de virus en tiempo real y hacen
verificaciones periódicas, o de acuerdo con la solicitud del
usuario.
29. *
*ANTIVIRUS PREVENTORES: como su nombre lo indica, este tipo
de antivirus se caracteriza por anticiparse a la infección, previniéndola.
De esta manera, permanecen en la memoria de la
computadora, monitoreando ciertas acciones y funciones del sistema.
*ANTIVIRUS IDENTIFICADORES: esta clase de antivirus tiene la
función de identificar determinados programas infecciosos que afectan
al sistema. Los virus identificadores también rastrean secuencias de
bytes de códigos específicos vinculados con dichos virus.
30.
31. *ANTIVIRUS DESCONTAMINADORES: comparte una serie de
características con los identificadores. Sin embargo, su principal diferencia
radica en el hecho de que el propósito de esta clase de antivirus es
descontaminar un sistema que fue infectado, a través de la eliminación de
programas malignos. El objetivo es retornar dicho sistema al estado en que
se encontraba antes de ser atacado. Es por ello que debe contar con
una exactitud en la detección de los programas malignos.
Otra manera de clasificar a los antivirus es la que se detalla a continuación:
*CORTAFUEGOS O FIREWALL: estos programas tienen la función de
bloquear el acceso a un determinado sistema, actuando como muro
defensivo. Tienen bajo su control el tráfico de entrada y salida de una
computadora, impidiendo la ejecución de toda actividad dudosa.
32.
33. *ANTIESPÍAS O ANTISPYWARE: esta clase de antivrus tiene el objetivo
de descubrir y descartar aquellos programas espías que se ubican en la
computadora de manera oculta.
*ANTIPOP-UPS: tiene como finalidad impedir que se ejecuten las ventanas
pop-ups o emergentes, es decir a aquellas ventanas que surgen
repentinamente sin que el usuario lo haya decidido, mientras navega por
Internet.
*ANTISPAM: se denomina spam a los mensajes basura, no deseados o que
son enviados desde una dirección desconocida por el usuario. Los antispam
tienen el objetivo de detectar esta clase de mensajes y eliminarlos de forma
automática.
34.
35. *
1. Norton Antivirus 2004
Norton AntiVirus es la última herramienta de Symantec para
protegerse de todo tipo de virus, applets Java, controles ActiveX
y códigos maliciosos. Como la mayoría de los antivirus, el
programa de Symantec protege la computadora mientras navega
por Internet, obtiene información de disquetes, CD`s o de una red
y comprueba los archivos adjuntos que se reciben por email.
36. *2. McAfee VirusScan 7
McAfee VirusScan es una de las herramientas de seguridad más conocida por los
usuarios de todo el mundo. Esta nueva versión protege a la PC de posibles infecciones
a través del correo electrónico, de archivos descargados desde Internet y de ataques a
partir de applets de java y controles ActiveX.
Trae una nuevo motor de búsqueda y un potente filtro para Internet que permite
bloquear el acceso a sitios Web no deseados. Incluye una función llamada "Safe &
Sound" que automáticamente realiza copias de seguridad de los documentos mientras
están abiertos.
*3. F-Secure Antivirus 5.40
F-Secure contiene dos de los motores de búsquedas de virus más conocidos para
Windows: F-PROT y AVP. Se actualiza todos los días e incluye todo lo necesario para
proteger la PC contra los virus. Esta versión incluye un buscador que funciona en
segundo plano, buscadores basados en reglas para detectar virus desconocidos y
muchas opciones más para automatizar la detección de virus.
37.
38. 4. Trend PC-Cillin 2003
El PC-cillin es un potente y conocido antivirus que realiza automáticamente
búsquedas de virus basado en sus acciones y no en el código con el que fueron
creados. La versión de prueba caduca a los 30 días de uso.
5. Panda Antivirus Titanium 2.04.04
Titanium incorpora un nuevo motor hasta un 30 por ciento más rápido que sus
antecesores, con un alto nivel de protección y un sistema heurístico avanzado
para detectar posibles nuevos virus todavía desconocidos. Trae la tecnología
SmartClean, que se encarga de reparar los daños que en el sistema provocan
algunos virus. Se actualiza automáticamente.
39.
40. 6. Panda Antivirus Platinum
Otra de las versiones del popular antivirus de la empresa española Panda. Detecta
cualquier virus que se quiera entrometer en la computadora desde Internet y lo
hace antes de que llegue a la PC. También impide que entren virus por archivos
adjuntos o mensajería instantánea. Incluye un Firewall que detecta el movimiento
de cualquier hacker que quiera ingresar. Se actualiza todos los días a través de
Internet.
7. Kaspersky Anti-virus
Vigila todas las áreas del sistema, incluyendo a virus que puedan permanecer en la
memoria, en los archivos comprimidos e incluso en los encriptados. También
protege a la computadora de cualquier mail ¿peligroso¿ que propicie el ataque de
troyanos y gusanos.
*Es compatible con los clientes de correo Outlook, Eudora y Pegasus, entre otros.
Se actualiza automáticamente a través de Internet, en tanto y en cuanto el usuario
lo configure para tal función. Sirve para analizar la PC en busca de algún virus
pero también como escudo permanente para evitar el ingreso de cualquier virus.
41.
42. *8. ETrust EZ Antivirus
Es una alternativa interesante frente a las populares herramientas antivirus. ETrust
EZ detecta numerosos tipos de virus (incluyendo troyanos y gusanos) y una de sus
principales ventajas es el poco tamaño que ocupa en la memoria del disco (menos
de 4 MB). Puede ser configurado para que actualice periódicamente la lista de
virus y para que revise la PC con la frecuencia que sea conveniente para el usuario.
Una función interesante es el ¿Incremental Scaning¿, un mecanismo con el cual un
archivo no se vuelve a escanear si no fue modificado desde la última vez que se
revisó. Esto elimina la engorrosa tarea de analizar todos los archivos cada vez que
se pasa el antivirus.
*9. Avast! Home Edition
La versión hogareña de Avast! Antivirus tiene todas sus características disponibles
sin restricciones, entre ellas escaneos manuales (a pedido del usuario), por acceso
(para proteger contra la ejecución de programas no deseados) y de emails entrantes
y salientes. Los más precavidos también pueden dejarlo en forma residente
43.
44. Tras su instalación se integra al menú del botón derecho del Explorer. La
actualización de este antivirus se realiza online en forma manual, automática o
programada. Se puede utilizar sin cargo durante 90 días. Para continuar
usándolo después de este período hay que registrarse como usuario, que no
implica ningún costo. Viene en Español.
*10. AVG Antivirus
Es un antivirus que cuenta con las funciones comunes en este tipo de
herramientas: protección de la PC contra virus, detección de archivos
infectados y escaneo de mails. Permite realizar actualizaciones gratuitas y
contiene una base de datos con los virus más importantes.
Tiene las características ideales para un usuario medio ya que su interfaz es
sencilla de usar y configurar. Esta es una versión gratuita pero existe una más
potente -la Pro- con más funciones, pero primero hay que pagar.