Estudio sobre virus informaticos




descargar 118.71 Kb.
títuloEstudio sobre virus informaticos
página2/3
fecha de publicación03.02.2016
tamaño118.71 Kb.
tipoDocumentos
b.se-todo.com > Derecho > Documentos
1   2   3

CARACTERÍSTICAS DE LOS VIRUS.


El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y más difícil de detectar), que permanece inactivo hasta que un hecho externo hace que el programa sea ejecutado o el sector de "booteo" sea leído. De esa forma el programa del virus es activado y se carga en la memoria de la computadora, desde donde puede esperar un evento que dispare su sistema de destrucción o se replique a sí mismo.
Los más comunes son los residentes en la memoria que pueden replicarse fácilmente en los programas del sector de "booteo", menos comunes son los no-residentes que no permanecen en la memoria después que el programa-huesped es cerrado.
Los virus pueden llegar a "camuflarse" y esconderse para evitar la detección y reparación. Como lo hacen:


  1. El virus re-orienta la lectura del disco para evitar ser detectado;

  2. Los datos sobre el tamaño del directorio infectado son modificados en la FAT, para evitar que se descubran bytes extra que aporta el virus;

  3. encriptamiento: el virus se encripta en símbolos sin sentido para no ser detectado, pero para destruir o replicarse DEBE desencriptarse siendo entonces detectable;

  4. polimorfismo: mutan cambiando segmentos del código para parecer distintos en cada "nueva generación", lo que los hace muy difíciles de detectar y destruir;

  5. Gatillables: se relaciona con un evento que puede ser el cambio de fecha, una determinada combinación de tecleo; un macro o la apertura de un programa asociado al virus (Troyanos).


Los virus se transportan a través de programas tomados de BBS (Bulletin Boards) o copias de software no original, infectadas a propósito o accidentalmente. También cualquier archivo que contenga "ejecutables" o "macros" puede ser portador de un virus: downloads de programas de lugares inseguros; e-mail con "attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existen virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o Html NO PUEDEN contener virus, aunque pueden ser dañados por estos.
Los virus de sectores de "booteo" se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el sector o sobreescribirlo. Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M. (No crean vamos a caer en el chiste fácil de decir que el más extendido de los virus de este tipo se llama MS

Windows 98).
En cambio los virus de programa, se manifiestan cuando la aplicación infectada es ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa que se ejecute a continuación. Puede solaparse infecciones de diversos virus que pueden ser destructivos o permanecer inactivos por largos periodos de tiempo.


  1. DAÑOS DE LOS VIRUS.


Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.


  1. DAÑOS TRIVIALES.


Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.


  1. DAÑOS MENORES.


Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.


  1. DAÑOS MODERADOS.


Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobreescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.


  1. DAÑOS MAYORES.


Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último backup notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.


  1. DAÑOS SEVEROS.


Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ...).

  1. DAÑOS ILIMITADOS.


Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.


  1. SÍNTOMAS TÍPICOS DE UNA INFECCIÓN.




  • El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.

  • El tamaño del programa cambia sin razón aparente.

  • El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente así.

  • Si se corre el CHKDSK no muestra "655360 bytes available".

  • En Windows aparece "32 bit error".

  • La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado, porque no siempre es así).

  • No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.

  • Aparecen archivos de la nada o con nombres y extensiones extrañas.

  • Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido).

  • Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS).

  • En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A".

  • En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows ’98 (No puedo evitarlo, es mas fuerte que yo...!!).


Una infección se soluciona con las llamadas "vacunas" (que impiden la infección) o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados. Hay cierto tipo de virus que no son desactivables ni removibles, por lo que se debe destruir el archivo infectado.


  1. VIRUS INFORMÁTICOS ARGENTINOS.


Al igual que todos los países informatizados, la Argentina cuenta con una producción local de virus informáticos.
Si bien estos no son de los más complejos (en su mayoría, buenas copias y variaciones de virus conocidos) representan un problema, ya que muchos de ellos no están incluidos en las bases de datos de los programas antivirus.
Veamos algunos ejemplos:


  • PING PONG:


Este virus fue el primero en hacer explosión en Argentina. Fue descubierto en marzo de 1988 y en poco tiempo estuvo en nuestro país, en donde se convirtió rápidamente en epidemia.
La falta de conocimiento sobre los virus ayudó a que se diseminara ampliamente y fuera incontrolable en un principio. En centros universitarios como la Facultad de Ciencias Exactas de la UBA o la Facultad de Informática de la Universidad de Morón era difícil encontrar un disco sin infectar.

Ese mismo desconocimiento llevó a que pasara bastante tiempo hasta que se empezaran a tomar medidas. Sólo después de algunos meses, en revistas especializadas en informática, empezaron a publicarse formas de desinfectar los discos, y como consecuencia de ello se aplicaron políticas de seguridad en las universidades.
Lo positivo de esto fue que la gente comenzara a conocer el D.O.S. más profundamente, por ejemplo el boot sector: qué es y para qué sirve, ya que las máquinas eran utilizadas pero pocos sabían cómo funcionaban realmente.
Como tenía un síntoma muy evidente (una pelotita que rebotaba), se pensó que todos los virus debían ser visibles, pero los siguientes fueron más subrepticios, y se limitaban a reproducirse o destruir sin avisar al usuario.
El Ping Pong original no podía infectar discos rígidos, pero la versión que se popularizó en el país fue la B, que sí podía hacerlo. Se creó una variante en Argentina, que probablemente fue la primera variante de virus originada en el país, el Ping Pong C, que no mostraba la pelotita en la pantalla. Este virus está extinto en este momento ya que sólo podía funcionar en máquinas con procesador 8088 ó 8086, porque ejecutaba una instrucción no documentada en estos e incorrecta en los modelos siguientes.


  • AVISPA:


Escrito en Noviembre de 1993 que en muy poco tiempo se convirtió en epidemia. Infecta archivos .EXE
Al ejecutarse, si no se encontraba ya residente en memoria, intenta infectar los archivos XCOPY, MEM, SETVER y EMM386 para maximizar sus posibilidades de reproducción, ya que estos archivos son de los más frecuentemente utilizados.

Este virus está encriptado siempre con una clave distinta (polimórfico), para dificultar su detección por medio de antivirus heurísticos.


  • MENEM TOCOTO:


Esta adaptación del virus Michelangelo apareció en 1994. En los disquetes se aloja en el boot sector, y en los discos rígidos en la tabla de particiones. Es extremadamente sencillo y, por ende, fácil de detectar.


  • CAMOUFLAGE II:


Aparecido por primera vez en 1993. Infecta el boot sector de los disquetes ubicados en la unidad A y la tabla de partición de los discos rígidos. Es bastante simple y fácil de ser detectado.


  • LEPROSO:


Creado en 1993, en Rosario, provincia de Santa Fé. Se activa el día 12 de Enero (cumpleaños del autor), y hace aparecer un mensaje que dice: "Felicitaciones, su máquina está infectada por el virus leproso creado por J. P.. Hoy es mi cumpleaños y lo voy a festejar formateando su rígido. Bye... (Vamos Newell's que con Diego somos campeones)."


  • PINDONGA:


Virus polimórfico residente en memoria que se activa los días 25 de febrero, 21 de marzo, 27 de agosto y 16 de septiembre, cuando ataca, borra toda la información contenida en el disco rígido.



  • TEDY:


Es el primer virus argentino interactivo. Apareció hace poco tiempo. Infecta archivos con extensión .EXE, y se caracteriza por hacer una serie de preguntas al usuario.
Una vez activado, una pantalla muestra:

¡TEDY, el primer virus interactivo de la computación!

Responda el siguiente cuestionario:

  1. ¿Los programas que Ud. utiliza son originales? (s/n)

  2. ¿Los de Microsoft son unos ladrones? (s/n)

Si se responde afirmativamente a la primer pregunta, el virus contestará: 5 archivos menos por mentiroso

En caso contrario:

2 archivos menos por ladrón

En cuanto a la segunda pregunta, el único mensaje que se ha visto es:

Te doy otra oportunidad para responder bien.
Con este virus, los archivos infectados aumentan su tamaño en 4310 bytes.


  1. ¿QUÉ NO ES UN VIRUS?.


Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario. Estos no-virus carecen de por lo menos una de las tres características identificatorias de un virus (dañino, autorreproductor y subrepticio). Veamos un ejemplo de estos no - virus: "Hace algunos años, la red de I. B. M., encargada de conectar más de 130 países, fue virtualmente paralizada por haberse saturado con un correo electrónico que contenía un mensaje de salutación navideña que, una vez leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas de distribución de correo del usuario. Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser leídos por sus destinatarios que el tráfico se volvió demasiado alto, lo que ocasionó la caída de la red".
Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una computadora es necesariamente un virus.
Por ello, daré algunas de las pautas principales para diferenciar entre qué debe preocuparnos y qué no:
BUGS (Errores en programas).
Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo puede comenzar a ir mal dentro del programa, y este a negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desde la última grabación. Esto, en muchos casos, se debe a ERRORES del programa. Todos los programas lo suficientemente complejos tienen bugs.
FALSA ALARMA.
Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de verificaciones, llegamos a la conclusión de que se trata de un virus, pero nos encontramos con una FALSA ALARMA luego de correr nuestro programa antivirus.
Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes preguntas puede ser de ayuda:


  • ¿Es sólo un archivo el que reporta la falsa alarma (o quizás varios, pero copias del mismo)?.




  • ¿Solamente un producto antivirus reporta la alarma? (Otros productos dicen que el sistema está limpio).




  • ¿Se indica una falsa alarma después de correr múltiples productos, pero no después de bootear, sin ejecutar ningún programa?.


Si al menos una de nuestras respuestas fue afirmativa, es muy factible que efectivamente se trate de una falsa alarma.
PROGRAMAS CORRUPTOS.
A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto quiere decir que no siempre que encontremos daños en archivos deberemos estar seguros de estar infectados.


  1. ¿QUÉ ES UN ANTIVIRUS?.


No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existentes.
Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
El modelo más primario de las funciones de un programa antivirus es la detección de su presencia y, en lo posible, su identificación. La primera técnica que se popularizó para la detección de virus informáticos, y que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la técnica de scanning. Esta técnica consiste en revisar el código de todos los archivos contenidos en la unidad de almacenamiento -fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de código que puedan pertenecer a un virus informático. Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de búsqueda.
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos, cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de identificación como una solución antivirus completa se encontró en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori: es necesario que un virus informático alcance un grado de dispersión considerable para que sea enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identificará, y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual puede causar graves daños sin que pueda ser identificado.
Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus.
En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de mayor dispersión, permite una importante gama de posibilidades.
Un ejemplo típico de un antivirus de esta clase es el Viruscan de McAfee, que se verá más adelante.
En virtud del pronto agotamiento técnico de la técnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones de métodos para búsquedas de virus informáticos (y de sus actividades), que no identifican específicamente al virus sino a algunas de sus características generales y comportamientos universalizados.
Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc.
Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos.
De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, códigos de instrucciones potencialmente pertenecientes a un virus informático. Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchisimas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminación de cualquier falsa alarma generada por un método heurístico.
Algunos de los antivirus de esta clase son F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit.
Ahora bien, otra forma de detectar la presencia de un virus informático en un sistema consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad.
Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus -que siempre esté residente en memoria- y un programa que verifique la integridad de los sectores críticos del disco rígido y sus archivos ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.
1   2   3

similar:

Estudio sobre virus informaticos iconEstudio sobre virus informaticos

Estudio sobre virus informaticos iconGUÍa de estudio: los virus

Estudio sobre virus informaticos iconDiccionario de Términos Informáticos

Estudio sobre virus informaticos iconAntología legislación informática: delitos informaticos

Estudio sobre virus informaticos iconLas células están en equilibrio llamado homeostasis y hay estímulos...

Estudio sobre virus informaticos iconÉste es un trabajo sobre el estudio de la Parálisis Cerebral

Estudio sobre virus informaticos iconQue sólo puede multiplicarse dentro de las células de otros organismos....
«agente que causa enfermedades infecciosa» se usó por primera vez en 1728,15 antes del descubrimiento de los virus por Dmitri Ivanovski...

Estudio sobre virus informaticos iconLey que amplia y modifica la ley n° 26626 sobre el virus de inmunodeficiencia...

Estudio sobre virus informaticos iconEl Hospital Donostia colabora en un estudio internacional sobre demencia...

Estudio sobre virus informaticos iconSobre el estudio realizado a 20 pacientes portadores de trastornos...




Todos los derechos reservados. Copyright © 2019
contactos
b.se-todo.com