2. Un virus informático es
un malware que tiene por
objeto alterar el normal
funcionamiento de
la computadora, sin el permiso
o el conocimiento del usuario.
Los virus, habitualmente,
reemplazan archivos
ejecutables por otros
infectados con el código de
este. Los virus pueden destruir,
de manera intencionada,
los datos almacenados en
un computadora, aunque
también existen otros más
inofensivos, que solo se
caracterizan por ser molestos.
3. HISTORIA
El primer virus atacó a una máquina
IBM Serie 360 (y reconocido como
tal). Fue llamado Creeper, creado en
1972. Este programa emitía
periódicamente en la pantalla el
mensaje: «I'm a creeper... catch me if
you can!» (¡Soy una enredadera...
agárrame si puedes!). Para eliminar
este problema se creó el primer
programa antivirus denominado Rea
per (cortadora).
4. Sin embargo, el término virus no se
adoptaría hasta 1984, pero éstos ya
existían desde antes. Sus inicios fueron en
los laboratorios de Bell Computers.
Cuatro programadores (H. Douglas
Mellory, Robert Morris, Victor Vysottsky y
Ken Thompson) desarrollaron un juego
llamado Core War, el cual consistía en
ocupar toda la memoria RAM del equipo
contrario en el menor tiempo posible.
Después de 1984, los virus han tenido una
gran expansión, desde los que atacan
los sectores de arranque
de disquetes hasta los que se adjuntan
en un correO electrónico.
5. VIRUS INFORMATICOS Y
SISTEMAS OPERATIVOS
Los virus informáticos afectan en
mayor o menor medida a casi todos
los sistemas más conocidos y usados
en la actualidad.
Cabe aclarar que un virus
informático mayoritariamente
atacará sólo el sistema
operativo para el que fue
desarrollado, aunque ha habido
algunos casos de virus
multiplataforma.
6. MS-Windows
Las mayores incidencias se dan en el sistema
operativo Windows debido, entre otras causas, a:
Su gran popularidad, como sistema operativo,
entre los computadores personales, PC. Se
estima que, en 2007, un 90% de ellos usaba
Windows. Esta popularidad basada en la
facilidad de uso sin conocimiento previo alguno,
motiva a los creadores de software malicioso a
desarrollar nuevos virus; y así, al atacar sus
puntos débiles, aumentar el impacto que
generan.
Falta de seguridad en esta plataforma (situación
a la que Microsoft está dando en los últimos
años mayor prioridad e importancia que en el
pasado).
7. Al ser un sistema muy permisivo con la
instalación de programas ajenos a éste, sin
requerir ninguna autentificación por parte del
usuario o pedirle algún permiso especial para
ello en los sistemas más antiguos (en los
Windows basados en NT se ha mejorado, en
parte, este problema). A partir de la inclusión
del Control de Cuentas de Usuario en
Windows Vista o Windows 7, y siempre y
cuando no se desactive, se ha solucionado
este problema.
Software como Internet Explorer y Outlook
Express, desarrollados por Microsoft e
incluidos de forma predeterminada en las
últimas versiones de Windows, son
conocidos por ser vulnerables a los virus ya
que éstos
8. aprovechan la ventaja de que dichos
programas están fuertemente integrados
en el sistema operativo dando acceso
completo, y prácticamente sin
restricciones, a los archivos del sistema.
Un ejemplo famoso de este tipo es el
virus ILOVEYOU, creado en el año 2000 y
propagado a través de Outlook.
La escasa formación de un número
importante de usuarios de este sistema,
lo que provoca que no se tomen
medidas preventivas por parte de estos,
ya que este sistema está dirigido de
manera mayoritaria a los usuarios no
expertos en informática. Esta situación es
aprovechada constantemente por los
programadores de virus.
9. UNIX Y DERIVADOS
En otros sistemas operativos como
las distribuciones GNU/Linux, BSD, OpenSolari
s, Solaris, Mac OS X y otros basados
en Unix las incidencias y ataques son
prácticamente inexistentes. Esto se debe
principalmente a:
Tradicionalmente los programadores y
usuarios de sistemas basados en Unix han
considerado la seguridad como una
prioridad por lo que hay mayores medidas
frente a virus, tales como la necesidad de
autenticación por parte del usuario como
administrador o root para poder instalar
cualquier programa adicional al sistema.
10. Los directorios o carpetas que contienen los archivos vitales
del sistema operativo cuentan con permisos especiales de
acceso, por lo que no cualquier usuario o programa puede
acceder fácilmente a ellos para modificarlos o borrarlos.
Existe una jerarquía de permisos y accesos para los usuarios.
Relacionado al punto anterior, a diferencia de los usuarios
de Windows, la mayoría de los usuarios de sistemas basados
en Unix no pueden normalmente iniciar sesiones como
usuarios "administradores' o por el superusuario root, excepto
para instalar o configurar software, dando como resultado
que, incluso si un usuario no administrador ejecuta un virus o
algún software malicioso, éste no dañaría completamente el
sistema operativo ya que Unix limita el entorno de ejecución
a un espacio o directorio reservado llamado
comúnmente home. Aunque a partir de Windows Vista, se
pueden configurar las cuentas de usuario de forma similar.
11. Estos sistemas, a diferencia de
Windows, son usados para tareas más
complejas como servidores que por lo
general están fuertemente protegidos,
razón que los hace menos atractivos
para un desarrollo de virus o software
malicioso.
En el caso particular de
las distribuciones basadas en
GNU/Linux y gracias al modelo
colaborativo, las licencias libres y debido
a que son más populares que otros
sistemas Unix, la comunidad aporta
constantemente y en un lapso de tiempo
muy corto actualizaciones que resuelven
bugs y/o agujeros de seguridad que
pudieran ser aprovechados por
12. CARACTERISTICAS:
Dado que una característica de los virus es el consumo de
recursos, los virus ocasionan problemas tales como:
pérdida de productividad, cortes en los sistemas de
información o daños a nivel de datos.
Una de las características es la posibilidad que tienen de
diseminarse por medio de replicas y copias.
Las redes en la actualidad ayudan a dicha
propagación cuando éstas no tienen la seguridad
adecuada.
Otros daños que los virus producen a los sistemas
informáticos son la pérdida de información, horas de
parada productiva, tiempo de reinstalación, etc.
Hay que tener en cuenta que cada virus plantea una
situación diferente.
13. METODOS DE
PROPAGACION
Existen dos grandes clases de contagio. En la
primera, el usuario, en un momento dado,
ejecuta o acepta de forma inadvertida la
instalación del virus. En la segunda, el
programa malicioso actúa replicándose a
través de las redes. En este caso se habla de
gusanos.
En cualquiera de los dos casos, el sistema
operativo infectado comienza a sufrir una
serie de comportamientos anómalos o
imprevistos. Dichos comportamientos pueden
dar una pista del problema y permitir la
recuperación del mismo.
Dentro de las contaminaciones más frecuentes
por interacción del usuario están las siguientes:
14. Mensajes que ejecutan automáticamente programas (como
el programa de correo que abre directamente un archivo
adjunto).
Ingeniería social, mensajes como ejecute este programa y
gane un premio, o, más comúnmente: Haz 2 clics y gana 2
tonos para móvil gratis..
Entrada de información en discos de otros usuarios infectados.
Instalación de software modificado o de dudosa
procedencia.
En el sistema Windows puede darse el caso de que la
computadora pueda infectarse sin ningún tipo de
intervención del usuario (versiones Windows 2000, XP y Server
2003) por virus como Blaster, Sasser y sus variantes por el
simple hecho de estar la máquina conectada a una red o
a Internet. Este tipo de virus aprovechan una vulnerabilidad
de desbordamiento de buffer y puertos de red para infiltrarse
y contagiar el equipo, causar inestabilidad en el sistema,
mostrar mensajes de error, reenviarse a otras máquinas
mediante la red local o Internet y hasta reiniciar el sistema,
entre otros daños. . En las últimas versiones de Windows 2000,
XP y Server 2003 se ha corregido este problema en su
mayoría.
15. TIPOS DE VIRUS E
IMITACIONES
Existen diversos tipos de virus, varían según su función o la
manera en que éste se ejecuta en nuestra
computadora alterando la actividad de la misma, entre
los más comunes están:
Troyano: Consiste en robar información o alterar el
sistema del hardware o en un caso extremo permite
que un usuario externo pueda controlar el equipo.
Gusano: Tiene la propiedad de duplicarse a sí mismo.
Los gusanos utilizan las partes automáticas de un
sistema operativo que generalmente son invisibles al
usuario.
Bombas lógicas o de tiempo: Son programas que se
activan al producirse un acontecimiento determinado.
La condición suele ser una fecha (Bombas de Tiempo),
una combinación de teclas, o ciertas condiciones
técnicas (Bombas Lógicas). Si no se produce la
condición permanece oculto al usuario.
16. Hoax: Los hoax no son virus ni tienen
capacidad de reproducirse por si solos. Son
mensajes de contenido falso que incitan al
usuario a hacer copias y enviarla a sus
contactos. Suelen apelar a los sentimientos
morales ("Ayuda a un niño enfermo de
cáncer") o al espíritu de solidaridad ("Aviso
de un nuevo virus peligrosísimo") y, en
cualquier caso, tratan de aprovecharse de
la falta de experiencia de los internautas
novatos.
Joke: Al igual que los hoax, no son virus, pero
son molestos, un ejemplo: una página
pornográfica que se mueve de un lado a
otro, y si se le llega a dar a errar es posible
que salga una ventana que
diga: OMFG!! No se puede cerrar!
17. BUG - WARE
Bug-ware es el termino dado a programas informáticos
legales diseñados para realizar funciones concretas.
Debido a una inadecuada comprobación de errores o
a una programación confusa causan daños
al hardware o al software del sistema.
Muchas veces los usuarios finales aducen esos daños a la
actividad de virus informáticos. Los programas bug-
ware no son en absoluto virus informáticos, simplemente
son fragmentos de código mal implementado, que
debido a fallos lógicos, dañan el hardware o inutilizan
los datos del computador
El término "bug" fue asociado a interferencias y
malfuncionamiento desde mucho tiempo antes de que
existieran los ordenadores modernos, siendo Thomas
Edison uno de los primeros en acuñar este significado. Si
bien fue una mujer, Grace Murray Hopper, quién en
1945 documentó el primer "bug" informático.
18. MACRO
De acuerdo con la Internacional Security Association, los virus
macro forman el 80% de todos los virus y son los que más
rápidamente han crecido en toda la historia de los
ordenadores en los últimos 5 años. A diferencia de otros tipos
de virus, los virus macro no son exclusivos de ningún sistema
operativo y se diseminan fácilmente a través de archivos
adjuntos de e-mail, disquetes, bajadas de Internet,
transferencia de archivos y aplicaciones compartidas.
Para ver el gráfico seleccione la opción "Descargar" del menú
superior
Los virus macro son, sin embargo, aplicaciones específicas.
Infectan las utilidades macro que acompañan ciertas
aplicaciones como el Microsoft Wordy Excel, lo que significa
que un Word virus macro puede infectar un documento Excel
y viceversa.
En cambio, los virus macro viajan entre archivos en las
aplicaciones y pueden, eventualmente, infectar miles de
archivos.
19. MAILBOMB
Casi virus ¿o no?
Esta clase de virus todavía no esta
catalogado como tal pero, os voy a poner
un ejemplo de lo que hacen, y haber que
opinarías del este tipo de programas si son o
no.
Por lo general todos son iguales, escribes
un texto que quieras una dirección de e-
mail (victima) introduces el numero de
copias y ya esta.
El programa crea tantos mensajes como el
numero de copias indicado antes,
seguidamente empezara a enviar mensajes
hasta saturar el correo de la victima.
20. MIRC
No se considera virus tal cual, pero son idénticos y tienen
muchas características comunes.
Virus del Mirc
Son la nueva generación de infección, aprovechan la
ventajas proporcionadas por la Red y de los millones de
usuarios conectados a cualquier IRC a través del Mirc.
Consiste en un script para el cliente de IRC Mirc.
Cuando se accede a un canal de IRC, recibe por DCC
un archivo llamado "script.ini". Por defecto, el
subdirectorio donde se descargan los archivos es el
mismo donde esta instalado el programa, esto causa
que el "script.ini" original se sobrescrito por el "script.ini"
maligno.
Bueno después de lo dicho nos preguntaremos ¿y para
en que nos afecta a nosotros? Pues muy fácil, los
autores pueden desconectarte del IRC o acceder
a información privada,(archivo de claves o el
"etc/passwd" de Linux).
21. MULTI - PARTES
Los virus multi-parte pueden infectar
tanto el sector de arranque como los
archivos ejecutables, suelen ser una
combinación de todos los tipos
existentes de virus, su poder de
destrucción es muy superior a los
demás y de alto riesgo para nuestros
datos, su tamaño es mas grande a
cambio de tener muchas mas
opciones de propagarse e infección
de cualquier sistema.
22. SECTOR DE ARRANQUE
Este tipo de virus infecta el sector de arranque de un disquete
y se esparce en el disco duro del usuario, el cual también
puede infectar el sector de arranque del disco duro (MBR).
Una vez que el MBR o sector de arranque esté infectado, el
virus intenta infectar cada disquete que se inserte en el
sistema ,ya sea una CD-R, una unidad ZIP o cualquier sistema
de almacenamiento de datos.
Los virus de arranque trabajan de la siguiente manera: se
ocultan en el primer sector de un disco y se cargan en la
memoria antes de que los archivos del sistema se carguen.
Esto les permite tomar total control de las interrupciones del
DOS y así, pueden diseminarse y causar daño.
Estos virus, generalmente reemplazan los contenidos del MBR
o sector de arranque con su propio contenido y mueven el
sector a otra área en el disco. La erradicación de un virus de
arranque puede hacerse inicializando la máquina desde un
disquete sin infectar, o encontrando el sector de arranque
original y reemplazándolo en el lugar correcto del disco.
23. VBS
Debido al auge de Internet los creadores de virus han
encontrado una forma de propagación masiva y
espectacular de sus creaciones a través mensajes de correo
electrónico, que contienen archivos Visual Basic Scripts,
anexados, los cuales tienen la extensión .VBS
El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un
conjunto de instrucciones o comandos en lotes. Con el
advenimiento de Windows 95/98/NT/Me/2000/XP, este tipo de
archivos dejó de ser empleado y fue reemplazado por
los Visual Basic Scripts.
Un Visual Basic Script es un conjunto de instrucciones lógicas,
ordenadas secuencialmente para realizar una determinada
acción al iniciar un sistema operativo, al hacer un Login en
un Servidor de Red, o al ejecutar una aplicación,
almacenadas bajo un nombre de archivo y extensión
adecuada.
Los Scripts pueden ser interpretados y ejecutados por el
Sistema Operativo Windows, Novell, etc. o por una aplicación
mIRC, pIRC, AutoCad, etc.
24. Los virus pueden ser desarrollados en cualquier lenguaje y
tener determinados objetivos de daño y algunos
simplemente usan las instrucciones Visual Basic Scripts,
como medios de propagación. Asimismo, un VBS puede
contener instrucciones que afecten a los sistemas.
También es posible editar instrucciones en la Libreta de
Notas (NotePad) y guardar el archivo con la
extensión .VBS.
Actualmente existen 2 medios de mayor difusión de virus
en VBS:
1. Infección de canales IRC
(el chat convoca a una enorme cantidad de "victimas")
El IRC (Internet Relay Chat) es un protocolo desarrollado
para permitir la comunicación entre usuarios de Internet
en "tiempo real', haciendo uso de software especiales,
llamados "clientes IRC" (tales como el mIRC,
pIRCh, Microsoft Chat).
Mediante un software de chat, el usuario puede
conectarse a uno o mas canales IRC, pero es necesario
que primero se conecte a un servidor chat, el cual a su
vez, está conectado a otros servidores similares, los
cuales conforman una red IRC.
25. Los programas "clientes IRC" facilitan al
usuario lasoperaciones de conexión,
haciendo uso del comando /JOIN, para
poder conectarse a uno o mas canales.
Las conversaciones pueden ser públicas
(todo el canal visualiza lo que el usuario
digita) o privadas (comunicación entre 2
personas).
Para "cargar" una sesión de chat los usuarios
deben registrarse en un servidor chat, elegir
un canal y un apodo (nickname). Todo esto
se hace mediante un denominado
"bachero", que emplea comandos propios
del protocolo IRC, permitiendo ejecutar
estas operaciones de manera intuitiva y
proporcionando al usuario un entorno
grafico amigable.
26. 2. Re-envío de mensajes de la libreta de direcciones
Microsoft Outlook.
Office 95/97/2000/XP, respectivamente, integran sus
programas MS Word, Excel, Outlook y Power Point,
haciendo uso del lenguaje Visual Basic for Aplications,
que permiten invocar la ejecución de determinadas
instrucciones. En MS Word y Excel, el usuario tiene
acceso a un Editor de Visual Basic. Aunque también
pueden editar instrucciones y comandos con el
NotePad y archivarlo con la extensión .VBS
Virus como el W97M/Melissa o el VBS/Loveletter, al ser
escritos en Visual Basic for Aplications, tienen un fácil y
poderoso acceso a los recursosde otros usuarios de
MS Office. El mas afectado es la libreta de direcciones
de MS Outlook, el cual es controlado por las
instrucciones del VBS y recibe la orden de re-enviar el
mensaje con el archivo anexado, en formato VBS, a
todos los nombres de la libreta de direcciones del
sistema de usuario infectado
27. Web
Los applets de JAVA y los controles
Active X, son unos lenguajes nuevos
orientados a Internet, pero las
nuevas tecnologías abren un mundo
nuevo a explotar por los creadores
de virus.
De momento no son muy utilizados
pero a partir del 2000, superaran en
numero a los virus de macro.
ACTIVE X vs
JAVA
28. ACCIONES DE LOS VIRUS
Algunas de las acciones de algunos virus son:
Unirse a un programa instalado en el
computador permitiendo su propagación.
Mostrar en la pantalla mensajes o imágenes
humorísticas, generalmente molestas.
Ralentizar o bloquear el computador.
Destruir la información almacenada en el
disco, en algunos casos vital para el sistema,
que impedirá el funcionamiento del equipo.
Reducir el espacio en el disco.
Molestar al usuario cerrando ventanas,
moviendo el ratón...
29. CLASES DE VIRUS QUE
ATACAN EN LA ACTUALIDAD
virus Linux y Mac.
Son realmente muy pocos, y están destinados en su mayoría a
atacar servidores oestaciones de trabajos especificas, si
utilizamos alguno de estos sistemas operativos, podemos
quedarnos tranquilos ya que las posibilidades de infectarse
son realmente muy pocas.
Lista de virus conocidos:
Troyanos o caballo de troya.
Como su nombre lo indica, es un programa oculto dentro de
otro programa, el cual se ejecuta en el momento de ejecutar
el programa en el cual esta oculto, solo basta con ejecutarlo
una vez para que su efecto se cumpla.
Worm o gusano.
La acción es simple, replicarse a si mismo constantemente, lo
cual nos produce una saturacion en nuestra memoria y nos
congela el ordenador, no es un ataque grande, pero nos
deja sin ordenador.
30. Macros.
Como toda macro, es una orden
definida de comando ya sea de
teclado, mouse o ambas, se
encuentran dentro de archivos o
planillas, estos solo actúan
mientras el archivo se encuentra
en uso.
31. DAÑOS DE LOS VIRUS
Los virus informáticos no afectan (en su gran
mayoría) directamente el hardware sino a
través de los programas que lo controlan; en
ocasiones no contienen código nocivo, o
bien, únicamente causan daño al
reproducirse y utilizar recursos escasos como
el espacio en el disco rígido, tiempo de
procesamiento, memoria, etc. En general los
daños que pueden causar los virus se
refieren a hacer que el sistema se detenga,
borrado de archivos, comportamiento
erróneo de la pantalla, despliegue de
mensajes, desorden en los datos del disco,
aumento del tamaño de los archivos
ejecutables o reducción de la memoria
total.
32. Daños triviales: daños que no ocasionan ninguna
pérdida grave de funcionalidad del sistema y que
originan una pequeña molestia al usuario.
Deshacerse del virus implica, generalmente, muy
poco tiempo.
Daños menores: daños que ocasionan una
pérdida de la funcionalidad de las aplicaciones
que poseemos. En el peor de los casos se tendrá
que reinstalar las aplicaciones afectadas.
Daños moderados: los daños que el virus provoca
son formatear el disco rígido o sobrescribir parte
del mismo. Para solucionar esto se deberá utilizar
la última copia de seguridad que se ha hecho y
reinstalar el sistema operativo.
Daños mayores: algunos virus pueden, dada su
alta velocidad de infección y su alta capacidad
de pasar desapercibidos, lograr que el día que se
detecta su presencia tener las copias de
seguridad también infectadas. Puede que se
llegue a encontrar una copia de seguridad no
infectada, pero será tan antigua que se haya
perdido una gran cantidad de archivos que
fueron creados con posterioridad.
33. Daños severos: los daños severos son
hechos cuando un virus realiza cambios
mínimos, graduales y progresivos. No se
sabe cuando los datos son correctos o
han cambiado, pues no hay unos
indicios claros de cuando se ha
infectado el sistema.
Daños ilimitados: el virus "abre puertas"
del sistema a personas no autorizadas. El
daño no lo ocasiona el virus, sino esa
tercera persona que, gracias a él, puede
entrar en el sistema.
34. COMO SABER SI TENGO UN
VIRUS
la mejor forma de detectar un virus es,
obviamente con un antivirus, pero en
ocasiones los antivirus pueden fallar en la
detección. Puede ser que no detectemos
nada y aún seguir con problemas. En esos
casos “difíciles”, entramos en terreno
delicado y ya es conveniente la presencia
de un técnico programador. Muchas veces
las fallas atribuidas a virus son en realidad
fallas de hardware y es muy importante que
la persona que verifique el equipo tenga
profundos conocimientos de arquitectura
de equipos, software, virus, placas de
hardware, conflictos de hardware, conflictos
de programas entre sí y bugs o fallas
conocidas de los programas o por lo menos
de los programas más importantes.
35. COMO EVITAR SER
INFECTADO POR UN VIRUS
La mejor herramienta para combatir virus es saber
cómo actúan, infectan y se propagan. No obstante, le
recomendamos lo siguiente:
El correo electrónico es el medio de transmisión
preferido por los virus, por lo que hay que tener especial
cuidado en su utilización.
Muchas páginas de Internet permiten la descarga de
programas y archivos a los ordenadores de los usuarios.
Cabe la posibilidad de que estos archivos estén
infectados con virus.
Un amplio número de virus utiliza precisamente estos
chats para propagarse. Lo hacen enviando ficheros
adjuntos (generalmente con nombres muy sugerentes).
Una muy buena forma de minimizar el impacto de un
virus, tanto a nivel corporativo como particular, es
respaldar correctamente con copias de seguridad de
nuestra información.
36. SINTOMAS
Reducción del espacio libre en la memoria o disco duro.
Un virus, cuando entra en un ordenador, debe situarse
obligatoriamente en la memoria RAM , y por ello ocupa una
porción de ella. Por tanto, el tamaño útil operativo de la
memoria se reduce en la misma cuantía que tiene el código
del virus.
◦ Aparición de mensajes de error no comunes.
◦ Fallos en la ejecución de programas.
◦ Frecuentes caídas del sistema
◦ Tiempos de carga mayores.
◦ Las operaciones rutinarias se realizan con mas lentitud.
◦ Aparición de programas residentes en memoria desconocidos.
Actividad y comportamientos inusuales de la pantalla.
Muchos de los virus eligen el sistema de vídeo para notificar
al usuario su presencia en el ordenador. Cualquier desajuste
de la pantalla, o de los caracteres de esta nos puede
notificar la presencia de un virus.
El disco duro aparece con sectores en mal estado
Algunos virus usan sectores del disco para camuflarse, lo que
hace que aparezcan como dañados o inoperativos.
37. TECNICAS
Detallamos las técnicas mas utilizadas por los virus para ocultarse,
reproducirse y camuflarse de los antivirus.
OCULTACIÓN
Mecanismos de Stealth
Éste es el nombre genérico con el que se conoce a las técnicas de
ocultar un virus. Varios son los grados de stealth, y en ellos se engloban
argucias tan diversas como la originalidad y nivel del autor permiten. A un
nivel básico basta saber que en general capturan determinadas
interrupciones del PC para ocultar la presencia de un virus, como
mantener la fecha original del archivo, evitar que se muestren los errores
de escritura cuando el virus escribe en discos protegidos, restar el tamaño
del virus a los archivos infectados cuando se hace un DIR o modificar
directamente la FAT, etc.
Mantener la fecha original del archivo
Restaura el tamaño original de los archivos infectados
Modifica directamente la FAT
Modifican la tabla de Vectores de Interrupcion
Se instalan en los buffers del DOS
Soportan la reinicializacion del sistema por teclado
Se instalan por encima de los 649 KB normales del DOS
Evita que se muestren mensajes de error, cuando el virus intenta escriir
sobre discos protegidos.
38. Técnicas de stealth avanzadas pretenden incluso
hacer invisible al virus frente a un antivirus. En esta
categoría encontramos los virus que modifican la
tabla de vectores de interrupción (IVT), los que se
instalan en alguno de los buffers de DOS, los que
se instalan por encima de los 640KB e incluso los
hay que soportan la reinicialización del sistema
por teclado.
Técnicas de auto encriptación
Esta técnica muy utilizada, consigue que el virus se
encripte de manera diferente cada vez que se
infecta el fichero, para intentar pasar
desapercibido ante los antivirus
PROTECCIÓN ANTIVIRUS
Anti-debuggers
Un debugger es un programa que permite
descompilar programas ejecutables y mostrar
parte de su código en lenguaje original.
Los virus usan técnicas para evitar ser
desensamblados y así impedir su análisis para la
fabricación del antivirus correspondiente.
39. Armouring
Mediante esta técnica el virus impide que se examinen los archivos que él
mismo ha infectado. Para conocer más datos sobre cada uno de ellos,
éstos deben ser abiertos (para su estudio) como ficheros que son,
utilizando programas especiales (Debuger) que permiten descubrir cada
una de las líneas del código (lenguaje de programación en el que están
escritos). Pues bien, en un virus que utilice la técnica de Armouring no se
podrá leer el código.
CAMUFLAJE
Mecanismos Polimorficos
Es una técnica para impedir ser detectados, es la de variar el método de
encriptación de copia en copia. Esto obliga a los antivirus a usar técnicas
heurísticas ya que como el virus cambia en cada infección es imposible
localizarlo buscándolo por cadenas de código. Esto se consigue utilizando
unalgoritmo de encriptación que pone las cosas muy difíciles a los
antivirus. No obstante no se puede codificar todo el código del virus,
siempre debe quedar una parte sin mutar que toma el control y esa es la
parte más vulnerable al antivirus.
La forma más utilizada para la codificación es la operación lógica XOR.
Esto es debido que esta operación es reversible:
2 XOR 5 = 3
3 XOR 2 = 5
En este caso la clave es el número 9, pero utilizando una clave distinta en
cada infección se obtiene una codificación también distinta.
Otra forma también muy utilizada consiste en sumar un numero fijo a
cada byte del código vírico.
EVASIÓN
40. Técnica de Tunneling
Con esta técnica, intentar burlar los
módulos residentes de los antivirus
mediante punteros directos a los
vectores de interrupción.
Requiere una programación compleja,
hay que colocar el procesador en modo
paso a paso. En este modo de
funcionamiento, tras ejecutarse cada
instrucción se produce la interrupción 1.
Se coloca una ISR (Interrupt Service
Routine) para dicha interrupción y se
ejecutan instrucciones comprobando
cada vez si se ha llegado a donde se
quería hasta recorrer toda la cadena de
ISRs que halla colocando el parche al
final de la cadena.