EL MUNDO DE LOS VIRUS Y LOS ANTIVIRUS
miércoles, 7 de mayo de 2014
LOS VIRUS INFORMATICOS
son programas de ordenador
que se reproducen a sí mismos e interfieren con el hardware de
una computadora o
con su sistema
operativo (el software básico
que controla la computadora). Los virus están diseñados para reproducirse y
evitar su detección. Como cualquier otro programa informático, un virus debe
ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus
desde la memoria del
ordenador y seguir sus instrucciones. Estas instrucciones se conocen como
carga activa del virus. La carga activa puede trastornar o modificar
archivos de datos,
presentar un determinado mensaje o provocar fallos en el sistema operativo.
Existen otros programas informáticos nocivos similares a los
virus, pero que no cumplen ambos requisitos de reproducirse y eludir su
detección. Estos programas se dividen en tres categorías: Caballos de
Troya, bombas lógicas
y gusanos. Un caballo de Troya aparenta ser algo interesante e inocuo,
por ejemplo un juego,
pero cuando se ejecuta puede tener efectos dañinos. Una bomba lógica libera
su carga activa cuando se cumple una condición determinada, como cuando se
alcanza una fecha u hora determinada o cuando se teclea una combinación de
letras. Un gusano se limita a reproducirse, pero puede ocupar memoria de
la computadora y hacer que sus procesos vayan
más lentos.
Algunas de las características de estos agentes víricos:
·
Son programas de computadora: En informática
programa es sinónimo de Software, es decir el conjunto de instrucciones que
ejecuta un ordenador o computadora.
·
Es dañino: Un virus informático siempre causa
daños en el sistema que infecta, pero vale aclarar que el hacer daño no
significa que valla a romper algo. El daño puede ser implícito cuando lo que se
busca es destruir o alterar información o pueden ser situaciones con efectos
negativos para la computadora,
como consumo de
memoria principal, tiempo deprocesador.
·
Es auto reproductor: La característica más importante de
este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro
programa convencional hace. Imaginemos que si todos tuvieran esta capacidad
podríamos instalar un procesador de textos y un par de días más tarde
tendríamos tres de ellos o más.
·
Es subrepticio: Esto significa que utilizará varias técnicas para
evitar que el usuario se de cuenta de su presencia. La primera medida es tener
un tamaño reducido para poder disimularse
a primera vista. Puede llegar a manipular el resultado de una petición al
sistema operativo de mostrar el tamaño del archivo e
incluso todos sus atributos.
Las acciones de
los virus son diversas, y en su mayoría inofensivas, aunque algunas pueden
provocar efectos molestos y, en ciertos, casos un grave daño sobre la
información, incluyendo pérdidas de datos. Hay virus que ni siquiera están
diseñados para activarse, por lo que sólo ocupan espacio en disco, o en la
memoria. Sin embargo, es recomendable y posible evitarlos.
Generalidades sobre los virus de computadoras
La primer aclaración que cabe es que los virus de computadoras, son
simplemente programas, y como tales, hechos por programadores. Son programas
que debido a sus características particulares, son especiales. Para hacer un
virus de computadora, no se requiere capacitación especial,
ni una genialidad significativa, sino conocimientos de lenguajes deprogramación,
de algunos temas no difundidos para público en general y algunos conocimientos
puntuales sobre el ambiente de
programación y arquitectura de
las computadoras.
En la vida diaria, más allá de las especificaciones técnicas, cuando un
programa invade inadvertidamente el sistema, se replica sin conocimiento del
usuario y produce daños, pérdida de información o fallas del sistema. Para el
usuario se comportan como tales y funcionalmente lo son en realidad.
La clave de los virus radica justamente en que son programas. Un virus para
ser activado debe ser ejecutado y funcionar dentro del sistema al menos una
vez. Demás está decir que los virus no "surgen" de las computadoras
espontáneamente, sino que ingresan al sistema inadvertidamente para el usuario,
y al ser ejecutados, se activan y actúan con la computadora huésped.
LOS NUEVOS VIRUS E INTERNET
Hasta la aparición del programa Microsoft Outlook,
era imposible adquirir virus mediante el correo electrónico. Los e-mails no
podían de ninguna manera infectar una computadora. Solamente si se adjuntaba un
archivo susceptible de infección, se bajaba a la computadora, y se ejecutaba,
podía ingresar un archivo infectado a la máquina. Esto fue posible porque el gestor de correo Microsoft
Outlook 97 es capaz de ejecutar programas escritos en Visual Basicpara
Aplicaciones (antes conocido como Visual Languaje, propiedad de
Microsoft), algo que no sucedía en Windows 95. Esto fue negado por el gigante
del software y se intentó ridiculizar a Peterson de diversas maneras a través
de campañas de marketing,
pero como sucede a veces, la verdad no siempre tiene que ser probada. A los
pocos meses del anuncio, hizo su aparición un nuevo virus, llamado BubbleBoy,
que infectaba computadoras a través del e-mail, aprovechándose del agujero
anunciado por Peterson. Una nueva variedad de virus había nacido. Para ser infectado por el BubbleBoy, sólo es necesario que el usuario
reciba un mail infectado y tenga instalados Windows 98 y el programa gestor de
correo Microsoft Outlook. La innovación
tecnológica implementada por Microsoft y que permitiría mejoras
en la gestión del
correo, resultó una vez más en agujeros de seguridad que vulneraron las
computadoras de desprevenidos usuarios.
Las mejoras que provienen de los lenguajes de macros de la familia Microsoft
facilitan la presencia de "huecos" en los sistemas que permiten la
creación de técnicas y herramientas aptas para la violación nuestros sistemas.
La gran corriente de creación de virus de Word y Excel,
conocidos como Macro-Virus, nació como consecuencia de la introducción delLenguaje de
Macros WordBasic (y su actual sucesor Visual Basic para Aplicaciones), en
los paquetes de Microsoft Office.
Actualmente los Macrovirus representan el 80 % del total de los virus que
circulan por el mundo.
COMO SE PRODUCEN LAS INFECCIONES
Los virus informáticos se difunden cuando las instrucciones
o código ejecutable
que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un
virus está activado, puede reproducirse copiándose en discos flexibles, en el
disco duro, en programas informáticos legítimos o a través de redes informáticas.
Estas infecciones son mucho más frecuentes en las computadoras que en sistemas
profesionales de grandes ordenadores, porque los programas de las computadoras
se intercambian fundamentalmente a través de discos flexibles o de redes
informáticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas
activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente
conectado a una red informática infectada o se limita a cargar un programa
infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta
conscientemente un código informático potencialmente nocivo; sin embargo, los
virus engañan frecuentemente al sistema operativo de la computadora o al
usuario informático para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas
legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el
programa legítimo. Cuando se ejecuta dicho programa, ocurre lo mismo con el
virus. Los virus también pueden residir en las partes del disco duro o flexible
que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por
lo que dichos virus se ejecutan automáticamente. En las redes informáticas,
algunos virus se ocultan en el software que permite al usuario conectarse al
sistema.
Cuando uno esta recibiendo correos electrónicos, debe ser selectivo en los
archivos que uno baja en nuestras computadoras. Es más seguro bajarlos
directamente a nuestra computadora para luego revisarlos con un antivirus antes
que ejecutarlos directamente de donde están. Un virus
informático puede estar oculto en cualquier sitio, cuando un
usuario ejecuta algún archivo con extensión .exe que es portador de un algún
virus todas las instrucciones son leídas por la computadora y procesadas por
ésta hasta que el virus es alojado en algún punto del disco duro o en la
memoria del sistema. Luego ésta va pasando de archivo en archivo infectando
todo a su alcance añadiéndole bytes adicionales a los demás archivos y
contaminándolos con el virus. Los archivos que son infectados mayormente por
los virus son tales cuyas extensiones son: .exe, .com, .bat, .sys, .pif, .dll y
.drv.
ESTRATEGIAS DE INFECCIÓN USADAS POR LOS VIRUS
Añadidura o empalme
El código del virus se agrega al final del archivo a infectar, modificando
las estructuras de
arranque del archivo de manera que el control del programa pase por el virus
antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas
específicas y luego entregue el control al programa. Esto genera un incremento
en el tamaño del archivo lo que permite su fácil detección.
Inserción
El código del virus se aloja en zonas de código no utilizadas o en
segmentos de datos para que el tamaño del archivo no varíe. Para esto se
requieren técnicas muy avanzadas de programación, por lo que no es muy
utilizado este método.
Reorientación
Es una variante del anterior. Se introduce el código principal del virus en
zonas físicas del disco rígido que se marcan como defectuosas y en los archivos
se implantan pequeños trozos de código que llaman al código principal al
ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del
archivo el cuerpo del virus puede ser bastante importante y poseer mucha
funcionalidad. Su eliminación es bastante sencilla, ya que basta con reescribir
los sectores marcados como defectuosos.
Polimorfismo
Este es el método mas avanzado de contagio. La técnica consiste en insertar
el código del virus en un archivo ejecutable, pero para evitar el aumento de
tamaño del archivo infectado, el virus compacta parte de su código y del código
del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño
original del archivo. Al ejecutarse el programa infectado, actúa primero el
código del virus descompactando en memoria las porciones necesarias. Una
variante de esta técnica permite usar métodos de encriptación dinámicos para
evitar ser detectados por los antivirus.
Sustitución
Es el método mas tosco. Consiste en sustituir el código original del archivo
por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el
virus, para disimular este proceder reporta algún tipo de error con el archivo
de forma que creamos que el problema es del archivo.
ESPECIES DE VIRUS
Existen seis categorías de virus: parásitos, del sector
de arranque inicial, multipartitos, acompañantes, de vínculo y de fichero de
datos. Los virus parásitos infectan ficheros ejecutables o programas de la
computadora. No modifican el contenido del programa huésped, pero se adhieren
al huésped de tal forma que el código del virus se ejecuta en
primer lugar. Estos virus pueden ser de acción directa
o residentes. Un virus de acción directa selecciona uno o más programas para
infectar cada vez que se ejecuta. Un virus residente se oculta en la memoria
del ordenador e infecta un programa determinado cuando se ejecuta dicho
programa. Los virus del sector de arranque inicial residen en la primera parte
del disco duro o flexible, conocida como sector de arranque inicial, y
sustituyen los programas que almacenan información sobre el contenido del disco
o los programas que arrancan el ordenador. Estos virus suelen difundirse
mediante el intercambio físico de discos flexibles. Los virus multipartitos
combinan las capacidades de los virus parásitos y de sector de arranque
inicial, y pueden infectar tanto ficheros como sectores de arranque inicial.
Los virus acompañantes no modifican los ficheros, sino que crean
un nuevo programa con el mismo nombre que un programa legítimo y engañan al
sistema operativo para que lo ejecute. Los virus de vínculo modifican la forma
en que el sistema operativo encuentra los programas, y lo engañan para que
ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede
infectar todo un directorio (sección) de una computadora, y cualquier programa
ejecutable al que se acceda en dicho directorio desencadena el virus. Otros
virus infectan programas que contienen lenguajes de macros potentes (lenguajes
de programación que permiten al usuario crear nuevas características y
herramientas) que pueden abrir, manipular y cerrar ficheros de datos. Estos virus,
llamados virus de ficheros de datos, están escritos en lenguajes de macros y se
ejecutan automáticamente cuando se abre el programa legítimo. Son
independientes de la máquina y del sistema operativo.
Los virus se pueden clasificar de dos formas: Por su destino de
infección y pos sus acciones o modo de activación.
VIRUS POR SU DESTINO DE INFECCIÓN
Infectores de archivos ejecutables:
Estos también residen en la memoria de la computadora e infectan archivos
ejecutables de extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin,
.ovl. A su vez, comparten con los virus de área de boot el estar en vías de
extinción desde la llegada de sistemas operativos que reemplazan al viejo DOS.
Los virus de infección de archivos se replican en la memoria toda vez que un
archivo infectado es ejecutado, infectando otros ejecutables.
Pueden permanecer residentes en memoria durante mucho tiempo después de
haber sido activados, en ese caso se dice que son virus residentes, o pueden
ser virus de acción directa, que evitan quedar residentes en memoria y se
replican o actúan contra el sistema sólo al ser ejecutado el programa
infectado. Se dice que estos virus son virus de sobre escritura,
ya que corrompen al fichero donde se ubican.
INFECTORES RESIDENTES EN MEMORIA
El programa infectado no necesita estar ejecutándose, el virus se aloja en
la memoria y permanece residente infectando cada nuevo programa ejecutado y
ejecutando su rutina de destrucción.
Virus multipartitos (Multi-partite):
Una suma de los virus de área de boot y de los virus de infección de
archivos, infectan archivos ejecutables y el área de booteo de discos.
Infectores directos:
El programa infectado tiene que estar ejecutándose para que el virus pueda
funcionar (seguir infectando y ejecutar sus acciones destructivas).
INFECTORES DEL SECTOR DE ARRANQUE
los discos rígidos contienen un Sector de
Arranque, el cual contiene información específica relativa al formato del disco
y los datos almacenados en él. Además, contiene un pequeño programa llamado
Boot Program que se ejecuta al bootear desde ese disco y que se encarga de
buscar y ejecutar en el disco los archivos del sistema operativo. Este programa
es el que muestra el
famoso mensaje de "Non-system Disk" o "Disk Error" en caso
de no encontrar los archivos del sistema operativo. Este es el programa
afectado por los virus de sector de arranque. La computadora se infecta con un
virus de sector de arranque al intentar bootear desde un disquete infectado. En
este momento el virus se ejecuta e infecta el sector de arranque del disco
rígido, infectando luego cada disquete utilizado en la computadora. A pesar del riesgo que
parecen esconder estos virus, son de una clase que
está tendiendo a desaparecer, sobre todo desde la explosión de Internet, las
redes y los sistemas operativos posteriores al DOS. Algunos virus de boot
sector no infectan el sector de arranque del disco duro (conocido como MBR).
Usualmente infectan sólo disquetes como se menciona anteriormente, pero pueden
afectar también al Disco Rígido, CD, unidades ZIP, etc. Para erradicarlos, es
necesario inicializar la Computadora desde un disquete sin infectar y proceder
a removerlo con un antivirus, y en caso necesario reemplazar el sector
infectado con el sector de arranque original.
MACROVIRUS
Son los virus más populares de la actualidad. No se transmiten a través de
archivos ejecutables, sino a través de los documentos de
las aplicaciones que poseen algún tipo de lenguaje de macros. Por ende, son
específicos de cada aplicación, y no pueden afectar archivos de otro programa o
archivos ejecutables. Entre ellas encontramos todas las pertenecientes al paquete
Office (Microsoft Word, Microsoft Excel, Microsoft PowerPoint,
Microsoft Access)
y también el Corel Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma
el control y se copia a la plantilla base de nuevos documentos (llamada en el
Word normal.dot), de forma que sean infectados todos los archivos que se abran
o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy
poderosos y poseen capacidades como para cambiar la configuración del sistema
operativo, borrar archivos, enviar e-mails, etc. Estos virus pueden llevar a
cabo, como en el caso de los otros tipos, una gran variedad de acciones, con
diversos efectos.
El ciclo completo de infección de un Macro-Virus sería así:
1. Se abre el archivo
infectado, con lo cual se activa en memoria.
2. Infecta sin que el
usuario se dé cuenta al normal.dot, con eso se asegura que el usuario sea un
reproductor del virus sin sospecharlo.
3. Si está programado para
eso, busca dentro de la Computadora los archivos de Word, Excel, etc., que
puedan ser infectados y los infecta.
4. Si está programado,
verifica un evento de activación, que puede ser una fecha, y genera el problema
dentro de la computadora (borrar archivos, destruir información, etc.)
jueves, 24 de abril de 2014
De Actives Agents y Java Applets
En 1997, aparecen los Java
applets y Actives controls. Estos pequeños programas se graban en el disco
rígido del usuario cuando está conectado a Internet y se ejecutan cuando la
página Web sobre la que se navega lo requiere, siendo una forma de ejecutar
rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java
applets y Actives controls acceden al disco rígido a través de una conexión WWW
de manera que el usuario no los detecta. Se pueden programar para que borren o
corrompan archivos, controlen la memoria, envíen información a un sitio Web,
etc.
De HTML
Un mecanismo de infección
más eficiente que el de los Java applets y Actives controls apareció a fines de
1998 con los virus que incluyen su código en archivos HTML. Con solo conectarse
a Internet, cualquier archivo HTML de una página Web puede contener y ejecutar
un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a
usuarios de Windows 98, 2000 y de las últimas versiones de Explorer. Esto se
debe a que necesitan que el Windows Scripting Host se encuentre activo.
Potencialmente pueden borrar o corromper archivos.
Troyanos/Worms
Los troyanos son programas
que imitan programas útiles o ejecutan algún tipo de acción aparentemente
inofensiva, pero que de forma oculta al usuario ejecutan el código dañino.
Los troyanos no cumplen con
la función de auto reproducción, sino que generalmente son diseñados de forma
que por su contenido sea el mismo usuario el encargado de realizar la tarea de
difusión del virus. (Generalmente son enviados por e-mail). Los troyanos suelen
ser promocionados desde alguna página Web poco confiable, por eso hay que tomar
la precaución de bajar archivos ejecutables sólo de sitios conocidos y
revisarlos con un antivirus antes de correrlos. Pueden ser programados de tal
forma que una vez logre su objetivo se auto destruya dejando todo como si nunca
nada hubiese ocurrido.
VIRUS POR SUS ACCIONES O MODOS DE ACTIVACIÓN
Bombas:
Se denomina así a los virus
que ejecutan su acción dañina como si fuesen una bomba. Esto significa que se
activan segundos después de verse el sistema infectado o después de un cierto
tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del
equipo (bombas lógicas). Ejemplos de bombas de tiempo son los virus que se
activan en una determinada fecha u hora determinada. Ejemplos de bombas lógicas
son los virus que se activan cuando al disco rígido solo le queda el 10% sin
uso, etc.
Retro Virus
lo que hace
es que busca las tablas de las definiciones de virus del antivirus y las
destruye.
Virus lentos:
Los virus de tipo lento
hacen honor a su nombre infectando solamente los archivos que el usuario hace
ejecutar por el sistema operativo, simplemente siguen la corriente y aprovechan
cada una de las cosas que se ejecutan. Por ejemplo, un virus lento únicamente
podrá infectar el sector de arranque de un disquete cuando se use el comando
FORMAT o SYS para escribir algo en dicho sector. De los archivos que pretende
infectar realiza una copia que infecta, dejando al original intacto.
Su eliminación resulta
bastante complicada. Cuando el verificador de integridad encuentra nuevos
archivos avisa al usuario, que por lo general no presta demasiada atención y
decide agregarlo al registro del verificador. Así, esa técnica resultaría
inútil.
La mayoría de las
herramientas creadas para luchar contra este tipo de virus son programas
residentes en memoria que vigilan constantemente la creación de cualquier
archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro
método es el que se conoce como Decoy launching. Se crean varios archivos .exe
y .com cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se
han modificado sin su conocimiento.
Virus voraces
Alteran el contenido de los
archivos indiscriminadamente. Este tipo de virus lo que hace es que cambia el
archivo ejecutable por su propio archivo. Se dedican a destruir completamente
los datos que estén a su alcance.
Sigilosos o Stealth
Este virus cuenta con un
módulo de defensa sofisticado. Trabaja a la par con el sistema operativo viendo
como este hace las cosas y tapando y ocultando todo lo que va editando a su
paso. Trabaja en el sector de arranque de la computadora y engaña al sistema
operativo haciéndole creer que los archivos infectados que se le verifica el
tamaño de bytes no han sufrido ningún aumento en tamaño.
Polimorfos o Mutantes
Encripta todas sus
instrucciones para que no pueda ser detectado fácilmente. Solamente deja sin
encriptar aquellas instrucciones necesarias para ejecutar el virus. Este virus
cada vez que contagia algo cambia de forma para hacer de las suyas libremente.
Los antivirus normales hay veces que no detectan este tipo de virus y hay que
crear programas específicamente (como son las vacunas) para erradicar dichos
virus.
Camaleones:
Son una variedad de virus
similares a los caballos de Troya que actúan como otros programas parecidos, en
los que el usuario confía, mientras que en realidad están haciendo algún tipo
de daño. Cuando están correctamente programados, los camaleones pueden realizar
todas las funciones de los programas legítimos a los que sustituyen (actúan
como programas de demostración de productos, los cuales son simulaciones de
programas reales).
Un software camaleón podría,
por ejemplo, emular un programa de acceso a sistemas remotos realizando todas
las acciones que ellos realizan, pero como tarea adicional (y oculta a los
usuarios) va almacenando en algún archivo los diferentes logins y passwords
para que posteriormente puedan ser recuperados y utilizados ilegalmente por el
creador del virus camaleón.
Reproductores:
Los reproductores (también
conocidos como conejos-rabbits) se reproducen en forma constante una vez que
son ejecutados hasta agotar totalmente (con su descendencia) el espacio de
disco o memoria del sistema.
La única función de este
tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo
mismo. El propósito es agotar los recursos del sistema, especialmente en un
entorno multiusuario interconectado, hasta el punto que el sistema principal no
puede continuar con el procesamiento normal.
Gusanos (Worms):
Los gusanos son programas
que constantemente viajan a través de un sistema informático interconectado, de
computadora en computadora, sin dañar necesariamente el hardware o el software
de los sistemas que visitan. La función principal es viajar en secreto a través
de equipos anfitriones recopilando cierto tipo de información programada (tal
como los archivos de passwords) para enviarla a un equipo determinado al cual
el creador del virus tiene acceso. Más allá de los problemas de espacio o
tiempo que puedan generar, los gusanos no están diseñados para perpetrar daños
graves.
Backdoors:
Son también conocidos como
herramientas de administración remotas ocultas. Son programas que permiten
controlar remotamente la computadora infectada. Generalmente son distribuidos como
troyanos.
Cuando un virus de estos es
ejecutado, se instala dentro del sistema operativo, al cual monitorea sin
ningún tipo de mensaje o consulta al usuario. Incluso no se lo ve en la lista
de programas activos. Los Backdoors permiten al autor tomar total control de la
computadora infectada y de esta forma enviar, recibir archivos, borrar o
modificarlos, mostrarle mensajes al usuario, etc.
"Virus" Bug-Ware:
Virus de MIRC:
Al igual que los bug-ware y
los mail-bombers, no son considerados virus. Son una nueva generación de
programas que infectan las computadoras, aprovechando las ventajas
proporcionadas por Internet y los millones de usuarios conectados a cualquier
canal IRC a través del programa Mirc y otros programas de chat. Consisten en un
script para el cliente del programa de chateo. Cuando se accede a un canal de
IRC, se recibe por DCC un archivo llamado "script.ini". Por defecto,
el subdirectorio donde se descargan los archivos es el mismo donde esta
instalado el programa, esto causa que el "script.ini" original se
sobre escriba con el "script.ini" maligno. Los autores de ese script
acceden de ese modo a información privada de la computadora, como el archivo de
claves, y pueden remotamente desconectar al usuario del canal IRC.
Virus Falsos (Hoax):
Un último grupo, que
decididamente no puede ser considerado virus. Se trata de las cadenas de
e-mails que generalmente anuncian la amenaza de algún virus
"peligrosísimo" (que nunca existe, por supuesto) y que por temor, o
con la intención de prevenir a otros, se envían y re-envían incesantemente.
Esto produce un estado de pánico sin sentido y genera un molesto tráfico de
información innecesaria.
TÉCNICAS DE PROGRAMACIÓN DE VIRUS
Los programadores de virus
utilizan diversas técnicas de programación que tienen por fin ocultar a los
ojos del usuario la presencia del virus, favorecer su reproducción y por ello a
menudo también tienden a ocultarse de los antivirus. A continuación se citan
las técnicas más conocidas:
Stealth: Técnica de
ocultación utilizada para esconder los signos visibles de la infección que
podrían delatar su presencia. Sus características son:
Mantienen la fecha original
del archivo.
Evitan que se muestren los
errores de escritura cuando el virus intenta escribir en discos protegidos.
Restar el tamaño del virus a
los archivos infectados cuando se hace un DIR.
Modificar directamente la
FAT.
Modifican la tabla de
vectores de interrupción (IVT).
Se instalan en los buffers
del DOS.
Se instalan por encima de
los 640 KB normales del DOS.
Soportan la reinicializacion
del sistema por teclado.
Encriptación o auto
encriptación: Técnica de ocultación que permite la encriptación del código del
virus y que tiene por fin enmascarar su código viral y sus acciones en el
sistema. Por este método los virus generan un código que dificulta la detección
por los antivirus.
Anti-debuggers: Es una
técnica de protección que tiende a evitar ser desensamblado para dificultar su
análisis, paso necesario para generar una "vacuna" para el antivirus.
Polimorfismo: Es una técnica
que impide su detección, por la cual varían el método de encriptación de copia
en copia, obligando a los antivirus a usar técnicas heurísticas. Debido a que
el virus cambia en cada infección es imposible localizarlo buscándolo por
cadenas de código, tal cual hace la técnica de escaneo. Esto se consigue
utilizando un algoritmo de encriptación que de todos modos, no puede codificar
todo el código del virus. Una parte del código del virus queda inmutable y es
el que resulta vulnerable y propicio para ser detectado por los antivirus. La
forma más utilizada para la codificación es la operación lógica XOR, debido a
que es reversible: En cada operación se hace necesaria una clave, pero por lo
general, usan una clave distinta en cada infección, por lo que se obtiene una
codificación también distinta. Otra forma muy usada para generar un virus
polimórfico consiste en sumar un número fijo a cada byte del código vírico.
Tunneling: Es una técnica de
evasión que tiende a burlar los módulos residentes de los antivirus mediante
punteros directos a los vectores de interrupción. Es altamente compleja, ya que
requiere colocar al procesador en modo paso a paso, de tal manera que al
ejecutarse cada instrucción, se produce la interrupción 1, para la cual el
virus ha colocado una ISR (interrupt Service Routine), ejecutándose
instrucciones y comprobándose si se ha llegado a donde se quería hasta recorrer
toda la cadena de ISR’s que halla colocando el parche al final de la cadena.
Residentes en Memoria o TSR:
Algunos virus permanecen en la memoria de las computadoras para mantener el
control de todas las actividades del sistema y contaminar todos los archivos
que puedan. A través de esta técnica permanecen en memoria mientras la
computadora permanezca encendida. Para logra este fin, una de las primeras
cosas que hacen estos virus, es contaminar los ficheros de arranque del sistema
para asegurar su propia ejecución al ser encendido el equipo, permaneciendo siempre
cargado en RAM.
CÓMO SABER SI TENEMOS UN VIRUS
La mejor forma de detectar
un virus es, obviamente con un antivirus, pero en ocasiones los antivirus
pueden fallar en la detección. Puede ser que no detectemos nada y aún seguir
con problemas. En esos casos "difíciles", entramos en terreno
delicado y ya es conveniente la presencia de un técnico programador. Muchas
veces las fallas atribuidas a virus son en realidad fallas de hardware y es muy
importante que la persona que verifique el equipo tenga profundos conocimientos
de arquitectura de equipos, software, virus, placas de hardware, conflictos de
hardware, conflictos de programas entre sí y bugs o fallas conocidas de los
programas o por lo menos de los programas más importantes. Las modificaciones del
Setup, cambios de configuración de Windows, actualización de drivers, fallas de
RAM, instalaciones abortadas, rutinas de programas con errores y aún
oscilaciones en la línea de alimentación del equipo pueden generar errores y
algunos de estos síntomas. Todos esos aspectos deben ser analizados y
descartados para llegar a la conclusión que la falla proviene de un virus no
detectado o un virus nuevo aún no incluido en las bases de datos de los
antivirus más importantes.
Aquí se mencionan algunos de
los síntomas posibles:
Reducción del espacio libre
en la memoria RAM: Un virus, al entrar al sistema, se sitúa en la memoria RAM,
ocupando una porción de ella. El tamaño útil y operativo de la memoria se
reduce en la misma cuantía que tiene el código del virus. Siempre en el
análisis de una posible infección es muy valioso contar con parámetros de
comparación antes y después de la posible infección. Por razones prácticas casi
nadie analiza detalladamente su computadora en condiciones normales y por ello
casi nunca se cuentan con patrones antes de una infección, pero sí es posible
analizar estos patrones al arrancar una computadora con la posible infección y
analizar la memoria arrancando el sistema desde un disco libre de infección.
Las operaciones rutinarias
se realizan con más lentitud: Obviamente los virus son programas, y como tales
requieren de recursos del sistema para funcionar y su ejecución, más al ser
repetitiva, llevan a un enlentecimiento global en las operaciones.
Aparición de programas
residentes en memoria desconocidos: El código viral, como ya dijimos, ocupa
parte de la RAM y debe quedar "colgado" de la memoria para activarse
cuando sea necesario. Esa porción de código que queda en RAM, se llama
residente y con algún utilitario que analice la RAM puede ser descubierto. Aquí
también es valioso comparar antes y después de la infección o arrancando desde
un disco "limpio".
Tiempos de carga mayores:
Corresponde al enlentecimiento global del sistema, en el cual todas las
operaciones se demoran más de lo habitual.
Aparición de mensajes de
error no comunes: En mayor o menor medida, todos los virus, al igual que
programas residentes comunes, tienen una tendencia a "colisionar" con
otras aplicaciones. Aplique aquí también el análisis pre / post-infección.
Fallos en la ejecución de
los programas: Programas que normalmente funcionaban bien, comienzan a fallar y
generar errores durante la sesión.
MEDIDAS DE PROTECCIÓN EFECTIVAS
Obviamente, la mejor y más
efectiva medida es adquirir un antivirus, mantenerlo actualizado y tratar de
mantenerse informado sobre las nuevas técnicas de protección y programación de
virus. Gracias a Internet es posible mantenerse al tanto a través de servicios
gratuitos y pagos de información y seguridad. Hay innumerables boletines
electrónicos de alerta y seguridad que advierten sobre posibles infecciones de
mejor o menor calidad. Existen herramientas, puede decirse indispensables para
aquellos que tienen conexiones prolongadas a Internet que tienden a proteger al
usuario no sólo detectando posibles intrusiones dentro del sistema, sino
chequeando constantemente el sistema, a modo de verdaderos escudos de
protección. Hay herramientas especiales para ciertos tipos de virus, como por
ejemplo protectores especiales contra el Back Oriffice, que certifican la
limpieza del sistema o directamente remueven el virus del registro del sistema.
FORMAS DE PREVENCIÓN Y ELIMINACIÓN DEL VIRUS
Copias de seguridad
Realice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y protegido de campos magnéticos, calor, polvo y personas no autorizadas.
Copias de programas originales
No instale los programas desde los disquetes originales. Haga copia de los discos y utilícelos para realizar las instalaciones.
No acepte copias de origen dudoso
Evite utilizar copias de origen dudoso, la mayoría de las infecciones provocadas por virus se deben a discos de origen desconocido.
Utilice contraseñas
Ponga una clave de acceso a su computadora para que sólo usted pueda acceder a ella.
martes, 22 de abril de 2014
LOS ANTIVIRUS
QUE ES ...
son programas cuyo objetivo es detectar o eliminar virus informáticos. Nacieron durante la década de 1980.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectar archivos y prevenir una infección de los mismos. Actualmente son capaces de reconocer otros tipos demalware, como spyware, gusanos, troyanos, rootkits, etc.
es un
programa de computadora cuyo propósito es combatir y erradicar los virus informáticos. Para que el antivirus sea productivo y
efectivo hay que configurarlo cuidadosamente de tal forma que aprovechemos
todas las cualidades que ellos poseen. Hay que saber cuales son sus fortalezas
y debilidades y tenerlas en cuenta a la hora de enfrentar a los virus.
Debemos tener claro que según en la vida humana hay
virus que no tienen cura, esto también sucede en el mundo digital y hay que
andar con mucha precaución. Un antivirus es una solución para minimizar
los riesgos y nunca será una solución definitiva, lo
principal es mantenerlo actualizado. Para mantener el sistema estable y seguro el antivirus debe estar siempre actualizado,
tomando siempre medidas preventivas y correctivas y estar constantemente
leyendo sobre los virus y nuevas tecnologías.
QUE HACE...
El antivirus normalmente escanea cada archivo en la
computadora y lo compara con las tablas de virus que guarda en disco. Esto
significa que la mayoría de los virus son eliminados del sistema después que
atacan a éste. Por esto el antivirus siempre debe estar actualizado, es
recomendable que se actualice una vez por semana para que sea capaz de combatir
los virus que son creados cada día. También, los antivirus utilizan la técnica
heurística que permite detectar virus que aun no están en la base de datos del antivirus. Es sumamente útil para las
infecciones que todavía no han sido actualizadas en las tablas porque trata de
localizar los virus de acuerdo a ciertos comportamientos ya preestablecidos.
El aspecto más importante de un antivirus es detectar virus en la computadora y
tratar de alguna manera de sacarlo y eliminarlo de nuestro sistema. Los
antivirus, no del todo facilitan las cosas, porque ellos al estar todo el
tiempo activos y tratando de encontrar un virus, al instante
esto hace que consuman memoria de la computadora y tal vez la vuelvan un poco
lentas o de menos desempeño.
Un buen antivirus es uno que se ajuste a nuestras
necesidades. No debemos dejarnos seducir por tanta propaganda de los antivirus que dicen que detectan y
eliminan 56,432 virus o algo por el estilo porque la mayoría de esos virus o
son familias derivadas o nunca van a llegar al país donde nosotros
estamos. Muchos virus son solamente de alguna región o de algún país en
particular.
A la hora de comprar un buen antivirus debemos
saber con que frecuencia esa empresa saca actualizaciones de las tablas de virus ya
que estos son creados diariamente para infectar los sistemas. El antivirus debe
constar de un programa detector de virus que siempre este activo en la memoria
y un programa que verifique la integridad de los sectores críticos del disco
duro y sus archivos ejecutables. Hay antivirus que cubren esos dos procesos,
pero si no se puede obtener uno con esas características hay que buscar dos
programas por separado que hagan esa función teniendo muy en cuenta que no se produzca ningún
tipo de conflictos entre ellos.
Un antivirus además de protegernos el sistema
contra virus, debe permitirle al usuario hacer alguna copia del archivo
infectado por si acaso se corrompe en el proceso de limpieza, también la copia
es beneficiosa para intentar una segunda limpieza con otro antivirus si la
primera falla en lograr su objetivo.
En
la actualidad no es difícil suponer que cada vez hay más gente que está
consciente de la necesidad de hacer uso de algún antivirus como medida de
protección básica. No obstante, en principio lo deseable sería poder tener un panorama de los distintos productos que
existen y poder tener una guía inicial para proceder a evaluarlos.
CONOZCA ALGUNOS DE LOS ANTIVIRUS
Lo recomendable es utilizar un solo antivirus gratuito (bien sea para su computadora o su movil). Este software es igual de poderoso que el que se ofrece de forma pagada. Lo que hacen estos 10 antivirus gratuitos para Windows es establecer una capa protectora sobre el resto de programas en su computadora y evitar así que sean amenazados o siquiera intervenidos
NOTA :
CABE RESALTAR QUE ALGUNOS SOLO VIENEN CON TIEMPO DE PRUEBA.. ES A LO QUE LLAMAMOS ''DEMO''.
1. Microsoft Security Essentials : Este antivirus es desarrollado por Microsoft y es totalmente gratuito para Genuine Windows users. El antivirus de uso personal para una PC corriendo en Windows.
2. AVG Free Antivirus: El costo de AVG es significativo. Pero su versión gratuita es óptima para usuarios de computadoras personales. Fácil de usar y es muy rápido instalarlo.
3. Avast! Free Antivirus: El Avast estuvo experimentando problemas, pero ocupa muy poca memoria en su computadora y toma apenas minutos instalarse. Lo negativo quizá sea que usted debe registrarse previamente para poder descargarlo.
4. Bitdefender : El Bitdefender no disminuye la velocidad de su computadora. La versión más nueva incluye la posibilidad de evitar que se robe su información personal vía e-mail, las redes sociales o mensajes instantáneos.
5.Avira AntiVir Personal: Lo mejor de Avira es que trabaja excelentemente detectando malware. Pero no incluye escaneo de e-mail en su versión gratuita. El falso positivo se elimina cuando usted abre un e-mail infectado. Avira entonces entra en acción.
6.Comodo Antivirus, Firewall Proactive Security: Este programa era pagado pero ahora se ofrece gratuitamente tanto para su uso personal como para los negocios. Las definiciones de virus se hacen diariamente y su Host Intrusion Detection le protege incluso antes que infecten su máquina.
7. Emsisoft Anti-Malware: Este programa era conocido como A – Squared Free y servía para detectar y remover solo trojans en un comienzo. Pero la inclusión del Ikarus antivirus engine remueve desde trojans hasta bots, keyloggers y dialers. El software incluye antivirus y anti-spyware.
8. Rising Antivirus: La edición gratuita de Raising Antiviruses un producto chino pero ofrece las mismas opciones que otros antivirus. Protege activamente su propia información de cuenta y se actualiza cada dejando un día. Si lo que busca es instalar un antivirus y olvidarse del resto, este software es uno de los mejores.
9. PC Tools Antivirus : Este programa para free antivirus protection efectúa escaneos automáticos y predeterminados. Lo negativo es que su versión gratuita no ofrece actualizaciones adecuadas y tampoco tiene soporte para el cliente.
10. Spyware Doctor with Antivirus 2010: Este software es otro producto de PC Tools y le permite detectar casi todas las infecciones que otros antivirus realizan. Como su nombre lo indica trabaja como anti-spyware y antivirus. Se actualiza automáticamente de forma diaria
Suscribirse a:
Entradas (Atom)