Professional Documents
Culture Documents
Tecnological American
Center
Virus informticos
Existe cierta controversia sobre la definicin de virus informtico. Quizs la ms
aceptada pertenece a Fred B. Cohen, quien en 1984 escribi su tesis doctoral acerca
de los virus, definindolos como un programa de ordenador que puede infectar otros
programas modificndolos para incluir una copia de s mismo.
Los virus informticos tienen bsicamente la funcin de propagarse, replicndose, pero
algunos contienen adems una carga daina (payload) con distintos objetivos, desde
una simple broma hasta realizar daos importantes en los sistemas, o bloquear las
redes informticas generando trfico intil.
El funcionamiento de un virus informtico es conceptualmente simple: ejecutando un
programa infectado (normalmente por desconocimiento del usuario) el cdigo del virus
queda almacenado (residente) en la memoria RAM del ordenador, aun cuando el
programa que lo contena haya terminado de ejecutarse. El virus toma entonces el
control de los servicios bsicos del sistema operativo, infectando los posteriores
ficheros ejecutables que sean abiertos o ejecutados, aadiendo su propio cdigo al del
programa infectado y grabndolo en disco, con lo cual el proceso de replicado se
completa.
Concepto de Virus
Informtico
Son los programas creados por especialistas de computacin con la
finalidad premeditada de alterar el funcionamiento normal del
computador,, presentan las siguientes caractersticas:
Se reproducen a s mismos.
Se insertan o afectan los programas ejecutables.
Se cargan a la memoria del computador pudiendo reproducirse y
copiarse en diskettes y/o software instalado en el disco duro
(infeccin)
Pueden alterar, destruir o borrar la informacin contenida en las
computadoras.
Tipos de
virus
Tipos de virus
Los virus informticos se pueden clasificar siguiendo criterios muy diversos.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
Residentes
De accin directa
De sobreescritura
De boot
De macro
De enlace o directorio
Encriptados
Polimrficos
Multipartites
De fichero
De compaa
De FAT
Gusanos
Troyanos
Bombas lgicas
Virus falsos
Clasificac
in
Los virus se pueden clasificar en funcin de mltiples
Virus residentes
La caracterstica principal de estos virus es que se ocultan en la memoria
RAM de forma permanente o residente. De este modo, pueden controlar e
interceptar todas las operaciones llevadas a cabo por el sistema operativo,
infectando todos aquellos ficheros y/o programas que sean ejecutados,
abiertos, cerrados, renombrados, copiados, etc.
Estos virus slo atacan cuando se cumplen ciertas condiciones definidas
previamente por su creador (por ejemplo, una fecha y hora determinada).
Mientras tanto, permanecen ocultos en una zona de la memoria principal,
ocupando un espacio de la misma, hasta que son detectados y eliminados.
Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve,
MrKlunky.
Virus de accin
directa
Al contrario que los residentes, estos virus no permanecen en
memoria. Por tanto, su objetivo prioritario es reproducirse y actuar
en el mismo momento de ser ejecutados. Al cumplirse una
determinada condicin, se activan y buscan los ficheros ubicados
dentro de su mismo directorio para contagiarlos.
Adems, tambin realizan sus acciones en los directorios
especificados dentro de la lnea PATH (camino o ruta de directorios),
dentro del fichero AUTOEXEC.BAT (fichero que siempre se encuentra
en el directorio raz del disco duro).
Los virus de accin directa presentan la ventaja de que los ficheros
afectados por ellos pueden ser desinfectados y restaurados
completamente.
Virus de
sobreescritura
Virus de sobreescritura
Estos virus se caracterizan por destruir la informacin contenida
en los ficheros que infectan. Cuando infectan un fichero, escriben
dentro de su contenido, haciendo que queden total o parcialmente
inservibles.
Tambin se diferencian porque los ficheros infectados no aumentan
de tamao, a no ser que el virus ocupe ms espacio que el propio
fichero (esto se debe a que se colocan encima del fichero infectado,
en vez de ocultarse dentro del mismo).
La nica forma de limpiar un fichero infectado por un virus de
sobreescritura es borrarlo, perdindose su contenido.
Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot,
Trivial.88.D.
Virus de boot o de
arranque
Virus de boot o de arranque
Los trminos boot o sector de arranque hacen referencia a una seccin muy
importante de un disco (tanto un disquete como un disco duro
respectivamente). En ella se guarda la informacin esencial sobre las
caractersticas del disco y se encuentra un programa que permite arrancar el
ordenador.
Este tipo de virus no infecta ficheros, sino los discos que los contienen.
Actan infectando en primer lugar el sector de arranque de los disquetes.
Cuando un ordenador se pone en marcha con un disquete infectado, el virus de
boot infectar a su vez el disco duro.
Los virus de boot no pueden afectar al ordenador mientras no se intente poner
en marcha a ste ltimo con un disco infectado. Por tanto, el mejor modo de
defenderse contra ellos es proteger los disquetes contra escritura y no arrancar
nunca el ordenador con un disquete desconocido en la disquetera.
Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.
Virus de
macro
El objetivo de estos virus es la infeccin de los ficheros creados usando
determinadas aplicaciones que contengan macros: documentos de Word (ficheros
con extensin DOC), hojas de clculo de Excel (ficheros con extensin XLS), bases
de datos de Access (ficheros con extensin MDB), presentaciones de PowerPoint
(ficheros con extensin PPS), ficheros de Corel Draw, etc.
Las macros son micro-programas asociados a un fichero, que sirven para automatizar
complejos conjuntos de operaciones. Al ser programas, las macros pueden ser
infectadas.
Cuando se abre un fichero que contenga un virus de este tipo, las macros se cargarn
de forma automtica, producindose la infeccin. La mayora de las aplicaciones que
utilizan macros cuentan con una proteccin antivirus y de seguridad especfica, pero
muchos virus de macro sortean fcilmente dicha proteccin.
Existe un tipo diferente de virus de macro segn la herramienta usada: de Word,
de Excel, de Access, de PowerPoint, multiprograma o de archivos RTF. Sin embargo,
no todos los programas o herramientas con macros pueden ser afectadas por estos
virus.
Estos son algunos ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K0.
Virus de enlace o
directorio
Los ficheros se ubican en determinadas direcciones (compuestas
bsicamente por unidad de disco y directorio), que el sistema operativo
conoce para poder localizarlos y trabajar con ellos.
Los virus de enlace o directorio alteran las direcciones que indican
donde se almacenan los ficheros. De este modo, al intentar ejecutar
un programa (fichero con extensin EXE o COM) infectado por un virus
de enlace, lo que se hace en realidad es ejecutar el virus, ya que ste
habr modificado la direccin donde se encontraba originalmente el
programa, colocndose en su lugar.
Una vez producida la infeccin, resulta imposible localizar y trabajar con
los ficheros originales
Virus
encriptados
Ms que un tipo de virus, se trata de una tcnica utilizada por
algunos de ellos, que a su vez pueden pertenecer a otras
clasificaciones.
Estos virus se cifran o encriptan a s mismos para no ser
detectados por los programas antivirus. Para realizar sus
actividades, el virus se descifra a s mismo y, cuando ha
finalizado, se vuelve a cifrar.
Estos son algunos ejemplos de este tipo de virus: Elvira, Trile.
Virus
polimrficos
Son virus que en cada infeccin que realizan se cifran o
encriptan de una forma distinta (utilizando diferentes
algoritmos y claves de cifrado).
De esta forma, generan una elevada cantidad de copias de s
mismos e impiden que los antivirus los localicen a travs de la
bsqueda de cadenas o firmas, por lo que suelen ser los virus
ms costosos de detectar.
Algunos ejemplos de este tipo de virus son: Elkern, Marburg,
Satan Bug, Tuareg.
Virus
multipartites
Virus muy avanzados, que pueden realizar mltiples
infecciones, combinando diferentes tcnicas para
ello. Su objetivo es cualquier elemento que pueda ser
infectado: archivos, programas, macros, discos, etc.
Se consideran muy peligrosos por su capacidad de
combinar muchas tcnicas de infeccin y por los
dainos efectos de sus acciones.
Algunos ejemplos de estos virus son: Ywinz.
Virus de
compaa
Son virus de fichero que al mismo tiempo pueden ser
residentes o de accin directa. Su nombre deriva de que
"acompaan" a otros ficheros existentes en el sistema
antes de su llegada, sin modificarlos como hacen los virus
de sobreescritura o los residentes.
Para efectuar las infecciones, los virus de compaa pueden
esperar ocultos en la memoria hasta que se lleve a cabo la
ejecucin de algn programa, o actuar directamente
haciendo copias de s mismos.
Algunos ejemplos de este tipo de virus son: Stator, Asimov
.1539, Terrax.1069.
Gusanos
Worms
(W32/)
Gusanos (Worms)
De un modo estricto, los gusanos no se consideran virus porque no necesitan
infectar otros ficheros para reproducirse. A efectos prcticos, son tratados
como virus y son detectados y eliminados por los antivirus.
Bsicamente, los gusanos se limitan a realizar copias de s mismos a la
mxima velocidad posible, sin tocar ni daar ningn otro fichero. Sin embargo,
se reproducen a tal velocidad que pueden colapsar por saturacin las redes en
las que se infiltran.
Las infecciones producidas por estos virus casi siempre se realizan a travs del
correo electrnico, las redes informticas y los canales de Chat (tipo IRC o ICQ)
de Internet. Tambin pueden propagrase dentro de la memoria del ordenador.
Estos son algunos ejemplos de gusanos: PSWBugbear.B, Lovgate.F, Trile.C,
Sobig.D, Mapson.
Troyanos o caballos
de Troya
(trjn/)
Tcnicamente, los Troyanos tampoco se consideran virus, ya que no se reproducen
infectando otros ficheros. Tampoco se propagan haciendo copias de s mismo como
hacen los gusanos. A efectos prcticos, son tratados como virus y son detectados y
eliminados por los antivirus.
El objetivo bsico de estos virus es la introduccin e instalacin de otros
programas en el ordenador, para permitir su control remoto desde otros equipos.
Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la
mitologa: llegan al ordenador como un programa aparentemente inofensivo. Sin
embargo, al ejecutarlo instalar en nuestro ordenador un segundo programa, el
troyano.
Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus, tienen
la capacidad de eliminar ficheros o destruir la informacin del disco duro. Pero adems
pueden capturar y reenviar datos confidenciales a una direccin externa o abrir
puertos de comunicaciones, permitiendo que un posible intruso controle nuestro
ordenador de forma remota.
Estos son algunos ejemplos de Troyanos: IRC.Sx2, Trifor.
Nuevos Riesgos en
Internet
Entre varios de los nuevos riesgos que
encontramos en la actualidad en Internet se
encuentran los siguientes:
El Spyware
El malware
Dialers
Ransonware
backdoors
El Spam
El Phishing
Los cookies
El Adware
Spyware
Los programas espa, tambin conocidos como spyware, son
aplicaciones informticas que recopilan informacin personal del
usuario sin su consentimiento, como por ejemplo software presente
en el ordenador, hbitos de uso de Internet, pginas visitadas, etc.
Posteriormente, transmiten esta informacin a terceros, tales como
empresas de publicidad u otras compaas interesadas en dichos
datos, con la consiguiente violacin de la privacidad.
Los programas espa llegan al ordenador a travs de distintas vas:
mediante un troyano, que los instala sin consentimiento del usuario;
cuando se visita una pgina Web que incluye determinados controles
ActiveX o cdigo que explota una determinada vulnerabilidad.
Generalmente, el spyware se instala en el ordenador sin
conocimiento del usuario, o aportando informacin confusa que no
advierte claramente de las acciones que realizar, de forma que el
usuario no es consciente de qu trminos acepta.
Adems de las acciones descritas, el spyware tiene una serie de
efectos colaterales: consume recursos del sistema, ralentiza el
funcionamiento del ordenador, causa fallos en el sistema, etc.
Ransonware
El Ransonware es una de las mas modernas tcnicas de delito informtico,
consiste en el rapto o captura de datos confidenciales para luego pedir un
rescate por ellos usando plataforma de Internet.
El usuario navega por una pagina Web insegura que contiene troyanos que
descargan Ransonware camuflados en aplicaciones aparentemente
beneficiosas o tiles al usuario, cuando se pulsa en un enlace a una de estas
supuestas aplicaciones, se descarga un programa (Ransonware) que tiene
como objetivo de comprimir todo el contenido de la carpeta mis
documentos y luego de esto crea una segunda carpeta donde encierra toda
la carpeta anteriormente comprimida para protegerla bajo contrasea, una
vez conseguido esto el usuario recibe una nota de restace, donde se le
solicita dinero o comprar en una tienda en linea a cambio de la contrasea,
es decir es un programa que se encarga de secuestrar datos confidenciales
de las Pcs a las cuales se introduce para luego pedir rescate por ellos. Se
calcula que el indice de ataques producidos por este tipo de fuentes aun es
bastante poco, pero segn se va analizando su efectividad quizas la tasa
vaya en aumento por el desconocimiento de su tecnica y metodos de
infeccion.
Adware
Originalmente, el adware es un modo de licencia de programas, en la
cual se ofrece una aplicacin de forma gratuita o ms barata, con el
nico coste de visualizar una serie de mensajes publicitarios durante
su uso. El usuario tiene la posibilidad de adquirir una versin registrada
de dicha aplicacin, en la que no estn incluidos los anuncios.
Sin embargo, con el paso del tiempo, este concepto de adware ha
evolucionado.
Actualmente, los programas adware son los que muestran publicidad
en ventanas emergentes, o a travs de banners, sin que el usuario
los haya instalado ni pertenezcan a una aplicacin til.
Algunos adware recogen informacin personal del usuario, como
por ejemplo pginas visitadas, tiempo de estancia en las mismas,
enlaces en los que se pulsa, etc., y la envan a terceros, sin
conocimiento ni consentimiento del usuario.
Cookie
Las cookies son pequeos archivos de texto que el navegador
almacena en el ordenador del usuario, cuando se visitan pginas
Web.
Las cookies almacenan informacin que se utiliza con varios
fines:
Spam
El spam es el correo electrnico no solicitado, normalmente
con contenido publicitario, que se enva de forma masiva.
Un SPAM es cualquier mensaje, destinado a una audiencia en
general (o sea, un comunicado de masas) que se enva a la
gente por e-mail sin que lo soliciten. Es el equivalente de los
anuncios impresos que le llegan a uno a la casa. Generalmente
el SPAM se trabaja con listas de direcciones "robadas" (o sea, de
direcciones que sacan de la gente que enva mensajes por
USENET u otras reas publicas de discusin), por lo cual
representa una violacin de la privacidad del usuario
La direccin que aparece como remitente del mensaje no resulta conocida para el
usuario, y es habitual que est falseada.
El mensaje no suele tener direccin Reply.
Presentan un asunto llamativo.
El contenido es publicitario: anuncios de sitios Web, frmulas para ganar dinero
fcilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de
productos en venta en promocin.
La mayor parte del spam est escrito en ingls y se origina en Estados Unidos o
Asia, pero empieza a ser comn el spam en espaol.
Phishing
El phishing consiste en el envo de correos electrnicos que,
aparentando provenir de fuentes fiables (por ejemplo, entidades
bancarias), intentan obtener datos confidenciales del usuario. Para
ello, suelen incluir un enlace que, al ser pulsado, lleva a pginas Web
falsificadas. De esta manera, el usuario, creyendo estar en un sitio de
toda confianza, introduce la informacin solicitada que, en realidad, va a
parar a manos del estafador.
Existe un amplio abanico de software y aplicaciones de toda ndole que
quedan clasificados dentro de la categora de robo de informacin
personal o financiera, algunas de ellas realmente complejas, como el
uso de una ventana Javascript flotante sobre la barra de direcciones del
navegador con el fin de confundir al usuario. A nivel de la plataforma de
Internet se utiliza este mismo mtodo para capturar datos confidenciales
a nivel de correo electrnico, como claves de acceso para luego ser
vendidas en la Web al mejor postor o ser utilizados a beneficio del
intruso capturador de dichos datos, tambin es conocido que existen
personas que venden sus servicios a cambio de realizar trabajos con
Phishing.
gracias
CORECI 2006
Tecnological American
Center
Edicion Julio Cornejo-TAC-Peru