Ediciones Previas Proyecto de Innovacion Pedagogica ORIGAMI 3D Ccesa007.pdf
Trabajo de informatica (virus)
1. TRABAJO DE INFORMATICA
VIRUS INFORMATICOS (PARTE II)
PRESENTADO POR
ALFONSO DE AVILA
AMADOR HOOKER
JAVIER SINNING
PROFESORA:
ASTRID CALDERON
NAVIERA Y PORTUARIA
SALON:
P-212
CARTAGENA DE INDIAS
2. Acciones de los virus
Algunas de las acciones de algunos virus son:
•
Unirse a un programa instalado en el computador permitiendo su
propagación.
•
Mostrar en la pantalla mensajes o imágenes humorísticas, generalmente
molestas.
•
Ralentizar o bloquear el computador.
•
Destruir la información almacenada en el disco, en algunos casos vital para
el sistema, que impedirá el funcionamiento del equipo.
•
Reducir el espacio en el disco.
•
Molestar al usuario cerrando ventanas, moviendo el ratón...
Clases de virus
Existen diversas clases de virus, varían según su función o la manera en que este
se ejecuta en nuestra computadora alterando la actividad de la misma, entre los
más comunes están:
•
Troyano: Consiste en robar información o alterar el sistema del hardware o
en un caso extremo permite que un usuario externo pueda controlar el equipo.
•
Gusano: Tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan
las partes automáticas de un sistema operativo que generalmente son invisibles al
usuario.
•
Bombas lógicas o de tiempo: Son programas que se activan al producirse
un acontecimiento determinado. La condición suele ser una fecha (Bombas de
Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas
Lógicas). Si no se produce la condición permanece oculto al usuario.
•
Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por si
solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y
enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un
niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus
peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de
experiencia de los internautas novatos.
3. •
Joke: Al igual que los hoax, no son virus, pero son molestos, un ejemplo:
una página pornográfica que se mueve de un lado a otro, y si se le llega a dar a
cerrar es posible que salga una ventana que diga: OMFG!! No se puede cerrar!
¿CÓMO PUEDO SABER SI TENGO UN VIRUS?
Los síntomas que producen los virus son los siguientes (alguno o varios a la vez):
El ordenador funciona más lento de lo normal.
Se producen errores extraños y/o frecuentes.
El ordenador se bloquea a menudo.
Aparece un mensaje o imagen que lo indica más o menos claramente. (Por
ejemplo, el virus barrotes muestra en pantalla unas barras a modo de "barrotes")
En todo caso, conviene tener activadas las funciones de vigilancia (centinela) de
los programas antivirus, para mayor seguridad.
¿Cómo puedo evitar ser infectado por un Virus?
La mejor herramienta para combatir virus es saber cómo actúan, infectan y se
propagan. No obstante, Se recomienda lo siguiente:
1. El correo electrónico es el medio de transmisión preferido por los virus, por lo
que hay que tener especial cuidado en su utilización. Cualquier correo recibido
puede contener virus aunque no le acompañe el símbolo de datos adjuntos (el
habitual "clip"). Además, no es necesario ejecutar el archivo adjunto de un
mensaje de correo para ser infectado. Por ejemplo, en versiones antiguas y no
actualizadas del MS Internet Explorer basta únicamente con abrir el mensaje, o
visualizarlo mediante la 'vista previa'. Para prevenir esto, lo mejor es verificar los
mensajes no esperados a ver si son reales antes de abrirlos. Un indicativo de
posible virus es la existencia en el asunto del mensaje de palabras en un idioma
diferente (generalmente inglés).
2. Muchas páginas de Internet permiten la descarga de programas y archivos a
los ordenadores de los usuarios. Cabe la posibilidad de que estos archivos estén
infectados con virus.
4. 3.
Como no existen indicadores claros que garanticen su fiabilidad, debemos
evitar la descarga de programas gratis. Por lo general, son sitios seguros aquellos
que muestran una información clara acerca de su actividad y los productos o
servicios que ofrecen; también los avalados por organizaciones tales como
editoriales, organismos oficiales, etc.
4. Gracias a Internet es posible intercambiar información y conversar en tiempo
real sobre temas muy diversos mediante los chats. Un amplio número de virus
utiliza precisamente estos chats para propagarse. Lo hacen enviando ficheros
adjuntos (generalmente con nombres muy sugerentes). En general, si
desconocemos el usuario que nos envía el archivo, debemos de rechazarlo.
5.
Una muy buena forma de minimizar el impacto de un virus, tanto a nivel
corporativo como particular, es respaldar correctamente con copias de seguridad
de nuestra información.
6.
Realizar copias periódicas y frecuentes de nuestra información más
importante es una magnífica política de seguridad. De esta manera, una pérdida
de datos, causada por ejemplo por un virus, puede ser superada mediante la
restauración de la última copia
ACTIVE X vs
JAVA
Síntomas
¿Cuales son los síntomas mas comunes cuando tenemos un virus?
•
Reducción del espacio libre en la memoria o disco duro.
Un virus, cuando entra en un ordenador, debe situarse obligatoriamente en la
memoria RAM , y por ello ocupa una porción de ella. Por tanto, el tamaño útil
operativo de la memoria se reduce en la misma cuantía que tiene el código del
virus.
•
5. o
Aparición de mensajes de error no comunes.
o
Fallos en la ejecución de programas.
o
Frecuentes caídas del sistema
o
Tiempos de carga mayores.
o
Las operaciones rutinarias se realizan con mas lentitud.
o
Aparición de programas residentes en memoria desconocidos.
•
Actividad y comportamientos inusuales de la pantalla.
Muchos de los virus eligen el sistema de vídeo para notificar al usuario su
presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres
de esta nos puede notificar la presencia de un virus.
•
El disco duro aparece con sectores en mal estado
Algunos virus usan sectores del disco para camuflarse, lo que hace que
aparezcan como dañados o inoperativos.
•
Cambios en las características de los ficheros ejecutables
Casi todos los virus de fichero, aumentan el tamaño de un fichero ejecutable
cuando lo infectan. También puede pasar, si el virus no ha sido programado por un
experto, que cambien la fecha del fichero a la fecha de infección.
•
Aparición de anomalías en el teclado
Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan
acciones perniciosas en el ordenador. También suele ser común el cambio de la
configuración de las teclas, por la del país donde se programó el virus.
Técnicas
Detallamos las técnicas mas utilizadas por los virus para ocultarse, reproducirse
y camuflarse de los antivirus.
OCULTACIÓN
Mecanismos de Stealth
Éste es el nombre genérico con el que se conoce a las técnicas de ocultar un
virus. Varios son los grados de stealth, y en ellos se engloban argucias tan
diversas como la originalidad y nivel del autor permiten. A un nivel básico basta
6. saber que en general capturan determinadas interrupciones del PC para ocultar la
presencia de un virus, como mantener la fecha original del archivo, evitar que se
muestren los errores de escritura cuando el virus escribe en discos protegidos,
restar el tamaño del virus a los archivos infectados cuando se hace un DIR o
modificar directamente la FAT, etc.
•
Mantener la fecha original del archivo
•
Restaura el tamaño original de los archivos infectados
•
Modifica directamente la FAT
•
Modifican la tabla de Vectores de Interrupcion
•
Se instalan en los buffers del DOS
•
Soportan la reinicializacion del sistema por teclado
•
Se instalan por encima de los 649 KB normales del DOS
•
Evita que se muestren mensajes de error, cuando el virus intenta escriir
sobre discos protegidos.
Técnicas de stealth avanzadas pretenden incluso hacer invisible al virus frente a
un antivirus. En esta categoría encontramos los virus que modifican la tabla de
vectores de interrupción (IVT), los que se instalan en alguno de los buffers de
DOS, los que se instalan por encima de los 640KB e incluso los hay que soportan
la reinicialización del sistema por teclado.
Técnicas de auto encriptación
Esta técnica muy utilizada, consigue que el virus se encripte de manera diferente
cada vez que se infecta el fichero, para intentar pasar desapercibido ante los
antivirus
PROTECCIÓN ANTIVIRUS
Anti-debuggers
Un debugger es un programa que permite descompilar programas ejecutables y
mostrar parte de su código en lenguaje original.
Los virus usan técnicas para evitar ser desensamblados y así impedir su análisis
para la fabricación del antivirus correspondiente.
7. Armouring
Mediante esta técnica el virus impide que se examinen los archivos que él mismo
ha infectado. Para conocer más datos sobre cada uno de ellos, éstos deben ser
abiertos (para su estudio) como ficheros que son, utilizando programas especiales
(Debuger) que permiten descubrir cada una de las líneas del código (lenguaje de
programación en el que están escritos). Pues bien, en un virus que utilice la
técnica de Armouring no se podrá leer el código.
CAMUFLAJE
Mecanismos Polimorficos
Es una técnica para impedir ser detectados, es la de variar el método de
encriptación de copia en copia. Esto obliga a los antivirus a usar técnicas
heurísticas ya que como el virus cambia en cada infección es imposible localizarlo
buscándolo por cadenas de código. Esto se consigue utilizando un algoritmo de
encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se
puede codificar todo el código del virus, siempre debe quedar una parte sin mutar
que toma el control y esa es la parte más vulnerable al antivirus.
La forma más utilizada para la codificación es la operación lógica XOR. Esto es
debido que esta operación es reversible:
2 XOR 5 = 3
3 XOR 2 = 5
En este caso la clave es el número 9, pero utilizando una clave distinta en cada
infección se obtiene una codificación también distinta.
Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte
del código vírico.
EVASIÓN
Técnica de Tunneling
Con esta técnica, intentar burlar los módulos residentes de los antivirus mediante
punteros directos a los vectores de interrupción.
Requiere una programación compleja, hay que colocar el procesador en modo
paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se
produce la interrupción. Se coloca una ISR (InterruptServiceRoutine) para dicha
interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a
8. donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el
parche al final de la cadena.
RESIDENTES
TSR
Los virus utilizan esta técnica para permanecer residente en memoria y así
mantener el control sobre todas las actividades del sistema y contaminar todo lo
que encuentren a su paso.
El virus permanece en memoria mientras el ordenador permanezca encendido.
Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar
los ficheros de arranque del sistema para asegurarse de que cuando se vuelva a
arrancar el ordenador volverá a ser cargado en memoria
¿Qué hacer si he sido infectado?
Lo primero es saber si realmente hemos sido infectados, y por desgracia, a veces
ni siquiera un usuario con conocimientos avanzados se da cuenta de que lo tiene.
Hay una serie de sintomas que te pueden indicar que efectivamente tenemos un
virus, normalmente el equipo empieza a tener un comportamientoextraño, como
mensajes o sonidos inesperados, o lentitud general, que nos puede indicar que
estamos infectados, pero lo mejor es usar un buen antivirus que nos lo corrobore.
Una vez que sabemos que tenemos un virus, lo primero es intentar que no se
propague y para eso la mejor opcion es desconectarlo de la red.
A partir de ahi, dependiendo del tipo de virus tendremos que seguir unos pasos u
otros, pero en general las pautas a seguir son:
1º Si no lo hemos hecho antes, instalar un buen antivirus.
2º Hacer copia de seguridad de todo lo que sea importante. (si nos deja el virus)
3º Hacer un analisis completo del sistema.
4º Tambien sería recomendable analizar el equipo con otro antimalware por
complementar al antivirus.
En caso de que el analisis no encuentre nada, y nosotros sigamos notando cosas
raras, podemos probar con otro antivirus o antimalware para verificar que
9. efectivamente no hay virus y a partir de ahi ver si la causa del mal funcionamiento
viene por otro lado.
Si el analisis nos detecta virus, lo normal es que el propio antivirus sea capaz de
desinfectarlo, aunque puede ser que si hemos llegado tarde ya se hayan
producido daños en el equipo y aunque eliminemos el virus, sigan los errores, por
lo que tendriamos que intentar solucionarlos segun el error.
Bulo informático
Es un mensaje de correo electrónico con contenido falso o engañoso y atrayente.
Normalmente es distribuido en cadena por sus sucesivos receptores debido a su
contenido impactante que parece provenir de una fuente seria y fiable, o porque el
mismo mensaje pide ser reenviado.
Las personas que crean bulos suelen tener como objetivo captar indirectamente
direcciones de correo electrónico (para mandar correo masivo, virus, mensajes
con suplantación de identidad, o más bulos a gran escala), o también engañar al
destinatario para que revele su contraseña o acepte un archivo de malware, o
también de alguna manera confundir o manipular a la opinión públicade la
sociedad
Básicamente, los bulos pueden ser alertas sobre virus incurables; falacias sobre
personas, instituciones o empresas, mensajes de temática religiosa; cadenas de
solidaridad;5 cadenas de la suerte;6 métodos para hacerse millonario;7 regalos de
grandes compañías;8 leyendas urbanas;9 y otras cadenas.10
¿Cómo funciona un antivirus?
Hoy en dia con la proliferacion de virus informaticos se ha hecho casi
imprescindible tener un buen antivirus instalado si se esta conectado a internet.
Los antivirus funcionan escaneando continuamente el equipo en busca de alguno
de los virus que hay en la base de datos, por lo que es importante tenerlo siempre
acutalizado.
Tambien tienen unos ficheros de configuracion donde se almacenan unos
patrones de comportamiento que sirven para identificar los virus, incluso antes de
que este se encuentre en la base de datos del antivirus y tenga vacuna.
Para conseguir detectarlo, busca determinadas instrucciones concretas y comunes
a los diferentes códigos maliciosos construidos con este lenguaje.
10. Dependiendo de cada antivirus y su configuracion por el usuario, este actuará
avisandonos, poniendolo en cuarentena o eliminandolo directamente.