Virus

Indice
1. Que
son y qué hacer ante ellos?
2. ¿Qué daño
puede hacer un virus a mi sistema?
3. Tipos de Virus de Computación
por su destino de infección
4. Tipos de Virus de Computación
por sus acciones y/o modo de activación
5. Estrategias de infección
usadas por los virus
6. Virus falsos: HOAX
7. Medidas antivirus

1. Que son y qué
hacer ante ellos?

Desde hace algunos años los virus son la
mayor amenaza para los sistemas
informáticos y la principal causa de pérdidas
económicas en las empresas. Vale
subrayar la importancia de evitar el pánico y de entender
que los virus son
controlables, y que es posible hacer que nuestra computadora
nunca sufra una infección grave. Por este motivo el
Departamento de Investigaciones
del Instituto Argentino de Computación (IAC) les brinda información para conocer como se originan
los virus, qué daño puede producir en nuestra
computadora, y
como solucionarlo.
Los primeros virus
informáticos que alcanzaron un gran nivel de
dispersión aparecieron durante la década del 80.
Cuando todo esto empezó, quienes escribían aquellos
primeros virus eran programadores expertos, que conocían
en profundidad lenguajes de
programación de bajo nivel como el Assembler y la
arquitectura
de los procesadores. La
poca disponibilidad de memoria y la
velocidad de
procesamiento de la época exigía programas muy
eficientes para poderse ocultar en ese contexto. Hoy en
día, se necesitan muchos menos conocimientos para escribir
un virus, se pueden generar con cualquier herramienta de programación sencilla, como las incluidas
en el Word o el
Excel.
Además, se cuenta con la ayuda de los más de 35000
web sites de
hacking que existen en Internet.

Otro punto que ha potenciado el avance de los virus es
su forma de infección, ya que en un principio su
dispersión se realizaba por medio del intercambio de
disquetes u otros medios
físicos, pero hoy en día gracias a Internet, un virus
recién desarrollado en Japón
puede infectar miles de computadoras
en todo el mundo en cuestión de segundos.

2. ¿Qué
daño puede hacer un virus a mi sistema?

• Software
• • Modificación de programas
    para que dejen de funcionar
  • Modificación de programas para que
    funcionen erróneamente
  • Modificación sobre los datos
  • Eliminación de programas y/o datos
  • Acabar con el espacio libre en el disco
    rígido
  • Hacer que el sistema
    funcione mas lentamente
  • Robo de información confidencial
• Hardware
• • Borrado del BIOS
  • Quemado del procesador por falsa información del
    sensor de temperatura
  • Rotura del disco rígido al hacerlo leer
    repetidamente sectores específicos que fuercen su
    funcionamiento mecánico

¿Cómo se propagan los virus?

• Disquetes u otro medio de almacenamiento removible
• Software pirata en disquetes o CDs
• Redes de computadoras
• Mensajes de correo
  electrónico
• Software bajado de Internet
• Discos de demostración y pruebas
  gratuitos

Síntomas que indican la presencia de
Virus….

• Cambios en la longitud de los programas
• Cambios en la fecha y/u hora de los archivos
• Retardos al cargar un programa
• Operación más lenta del
  sistema
• Reducción de la capacidad en memoria y/o
  disco rígido
• Sectores defectuosos en los disquetes
• Mensajes de error inusuales
• Actividad extraña en la pantalla
• Fallas en la ejecución de los
  programas
• Fallas al bootear el equipo
• Escrituras fuera de tiempo en el
  disco

3. Tipos de Virus
de Computación por su destino de
infección

Infectores de archivos
ejecutables

• Afectan archivos de extensión EXE, COM, BAT,
  SYS, PIF, DLL, DRV
• Infectores directos

El programa
infectado tiene que estar ejecutándose para que el virus
pueda funcionar (seguir infectando y ejecutar sus acciones
destructivas)

Infectores residentes en memoria
El programa infectado no necesita estar ejecutándose, el
virus se aloja en la memoria y
permanece residente infectando cada nuevo programa ejecutado y
ejecutando su rutina de destrucción

Infectores del sector de arranque
Tanto los discos rígidos como los disquetes contienen un
Sector de Arranque, el cual contiene información
específica relativa al formato del disco y los datos
almacenados en él. Además, contiene un
pequeño programa llamado Boot Program que se ejecuta al
bootear desde ese disco y que se encarga de buscar y ejecutar en
el disco los archivos del sistema
operativo. Este programa es el que muestra el famoso
mensaje de "Non-system Disk or Disk Error" en caso de no
encontrar los archivos del sistema
operativo. Este es el programa afectado por los virus de
sector de arranque. La computadora
se infecta con un virus de sector de arranque al intentar bootear
desde un disquete infectado. En este momento el virus se ejecuta
e infecta el sector de arranque del disco rígido,
infectando luego cada disquete utilizado en la PC. Es importante
destacar que como cada disco posee un sector de arranque, es
posible infectar la PC con un disquete que contenga solo
datos…..

Macrovirus
Son los virus mas populares de la actualidad. No se transmiten a
través de archivos ejecutables, sino a través de
los documentos de las
aplicaciones que poseen algún tipo de lenguaje de
macros. Entre
ellas encontramos todas las pertenecientes al paquete Office (Word, Excel,
Power Point,
Access) y
también el Corel Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el
virus toma el control y se
copia a la plantilla base de nuevos documentos, de
forma que sean infectados todos los archivos que se abran o creen
en el futuro…
Los lenguajes de macros como el
Visual Basic For
Applications son muy poderosos y poseen capacidades como para
cambiar la configuración del sistema operativo, borrar
archivos, enviar e-mails, etc.

De Actives Agents y Java Applets
En 1997, aparecen los Java applets y
Actives controls. Estos pequeños programas se graban en el
disco rígido del usuario cuando está conectado a
Internet y se ejecutan cuando la página web
sobre la que se navega lo requiere, siendo una forma de ejecutar
rutinas sin tener que consumir ancho de banda. Los virus
desarrollados con Java applets y Actives controls acceden al
disco rígido a través de una conexión www de
manera que el usuario no los detecta. Se pueden programar para
que borren o corrompan archivos, controlen la memoria,
envíen información a un sitio web,
etc.

De HTML
Un mecanismo de infección más eficiente que el de
los Java applets y Actives controls apareció a fines de
1998 con los virus que incluyen su código
en archivos HTML. Con solo
conectarse a Internet, cualquier archivo HTML de una
página
web puede contener y ejecutar un virus. Este tipo de virus se
desarrollan en Visual Basic
Script. Atacan a usuarios de Win98, 2000 y de las últimas
versiones de Explorer. Esto se debe a que necesitan que el
Windows
Scripting Host se encuentre activo. Potencialmente pueden borrar
o corromper archivos.

Trojanos/Worms
Los troyanos son programas que imitan programas útiles o
ejecutan algún tipo de acción aparentemente
inofensiva, pero que de forma oculta al usuario ejecutan el
código
dañino.
Los troyanos no cumplen con la función de
autorreproducción, sino que generalmente son
diseñados de forma que por su contenido sea el mismo
usuario el encargado de realizar la tarea de difusión del
virus. (Generalmente son enviados por e-mail)

4. Tipos de Virus
de Computación por sus acciones y/o
modo de activación

Bombas
Se denominan así a los virus que ejecutan su acción
dañina como si fuesen una bomba. Esto significa que se
activan segundos después de verse el sistema infectado o
después de un cierto tiempo (bombas de tiempo)
o al comprobarse cierto tipo de condición lógica
del equipo. (bombas
lógicas). Ejemplos de bombas de tiempo son los virus que
se activan en una determinada fecha u hora determinada. Ejemplos
de bombas lógicas son los virus que se activan cuando al
disco rígido solo le queda el 10% sin uso, etc.

Camaleones
Son una variedad de virus similares a los caballos de Troya que
actúan como otros programas parecidos, en los que el
usuario confía, mientras que en realidad están
haciendo algún tipo de daño. Cuando están
correctamente programados, los camaleones pueden realizar todas
las funciones de los
programas legítimos a los que sustituyen (actúan
como programas de demostración de productos, los
cuales son simulaciones de programas reales).
Un software
camaleón podría, por ejemplo, emular un programa de
acceso a sistemas remotos
realizando todas las acciones que ellos realizan, pero como tarea
adicional (y oculta a los usuarios) va almacenando en
algún archivo los
diferentes logins y password para que posteriormente puedan ser
recuperados y utilizados ilegalmente por el creador del virus
camaleón.

Reproductores
Los reproductores (también conocidos como conejos-rabbits)
se reproducen en forma constante una vez que son ejecutados hasta
agotar totalmente (con su descendencia) el espacio de disco o
memoria del sistema.
La única función de
este tipo de virus es crear clones y lanzarlos a ejecutar para
que ellos hagan lo mismo. El propósito es agotar los
recursos del
sistema, especialmente en un entorno multiusuario interconectado,
hasta el punto que el sistema principal no puede continuar con el
procesamiento normal.

Gusanos (Worms)
Los gusanos son programas que constantemente viajan a
través de un sistema informático interconectado, de
PC a PC, sin dañar necesariamente el hardware o el software de los sistemas que
visitan.
La función principal es viajar en secreto a través
de equipos anfitriones recopilando cierto tipo de
información programada (tal como los archivos de
passwords) para enviarla a un equipo determinado al cual el
creador del virus tiene acceso.

Backdoors
Son también conocidos como herramientas
de administración remotas ocultas. Son
programas que permiten controlar remotamente la PC infectada.
Generalmente son distribuidos como troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del
sistema operativo, al cual monitorea sin ningún tipo de
mensaje o consulta al usuario. Incluso no se lo vé en la
lista de programas activos. Los
Backdoors permiten al autor tomar total control de la PC
infectada y de esta forma enviar, recibir archivos, borrar o
modificarlos, mostrarle mensajes al usuario, etc….

5. Estrategias de
infección usadas por los virus

Añadidura o empalme:
El código del virus se agrega al final del archivo a
infectar, modificando las estructuras de
arranque del archivo de manera que el control del programa pase
por el virus antes de ejecutar el archivo. Esto permite que el
virus ejecute sus tareas específicas y luego entregue el
control al programa. Esto genera un incremento en el
tamaño del archivo lo que permite su fácil
detección.

Inserción:
El código del virus se aloja en zonas de código no
utilizadas o en segmentos de datos para que el tamaño del
archivo no varíe. Para esto se requieren técnicas
muy avanzadas de programación, por lo que no es muy
utilizado este método.

Reorientación:
Es una variante del anterior. Se introduce el código
principal del virus en zonas físicas del disco
rígido que se marcan como defectuosas y en los archivos se
implantan pequeños trozos de código que llaman al
código principal al ejecutarse el archivo. La principal
ventaja es que al no importar el tamaño del archivo el
cuerpo del virus puede ser bastante importante y poseer mucha
funcionalidad. Su eliminación es bastante sencilla, ya que
basta con rescribir los sectores marcados como
defectuosos.

Polimorfismo:
Este es el método mas
avanzado de contagio. La técnica consiste en insertar el
código del virus en un archivo ejecutable, pero para
evitar el aumento de tamaño del archivo infectado, el
virus compacta parte de su código y del código del
archivo anfitrión, de manera que la suma de ambos sea
igual al tamaño original del archivo. Al ejecutarse el
programa infectado, actúa primero el código del
virus descompactando en memoria las porciones necesarias. Una
variante de esta técnica permite usar métodos de
encriptación dinámicos para evitar ser detectados
por los antivirus.

Sustitución:
Es el método mas tosco. Consiste en sustituir el
código original del archivo por el del virus. Al ejecutar
el archivo deseado, lo único que se ejecuta es el virus,
para disimular este proceder reporta algún tipo de error
con el archivo de forma que creamos que el problema es del
archivo.

Ejemplos de virus y sus acciones

• Happy99: Programa enviado por mail, abre una ventana
  con fuegos artificiales. Manipula la conectividad con
  Internet.
• Melissa: Macrovirus de Word. Se envía a
  sí mismo por mail. Daña todos los archivos
  .doc
• Chernobyl (W95.CIH): Borra el primer Mb del HD, donde
  se encuentra la FAT. Obliga a formatear el HD. Además
  intenta rescribir el BIOS de la
  PC lo que obliga a cambiar el mother. Se activa el 26 de
  abril.
• Michelangelo: Virus de boot sector. Se activa el 6 de
  marzo. Sobre escribe la FAT, dejando el disco
  inutilizable.
• WinWord.Concept: Macrovirus que infecta la plantilla
  Normal.dot. Hace aparecer mensajes en la pantalla y mal
  funcionamiento del Word.
• FormatC: Troyano que infecta el Word, al abrir un
  archivo infectado formatea el disco rígido.
• Back Orifice2000 (BO2K): Funcionalmente es un virus y
  sirve para el robo de información. Permite tomar control
  remoto de la PC o del servidor
  infectados, con la posibilidad de robar información y
  alterar datos.
• VBS/Bubbleboy: Troyano que se ejecuta sin necesidad
  de abrir un attachment, y se activa inmediatamente
  después de que el usuario abra el mail. No genera
  problemas
  serios.

6. Virus falsos:
HOAX

¿Qué son?
Falsas alarmas de virus
Ejemplos: Join The Crew, Win a Holiday, Solidaridad con
Brian

¿Qué no hay que hacer?
Responder esas cadenas, ya que crea saturación de los
servidores de
mail y, además son usadas para levantar direcciones de
e-mails para luego enviar publicidades.
Email Bombing and Spamming
Descripción
E-mail bombing es el envío reiterado de un mismo mail a
una cuenta en particular.
E-mail spamming es una variante del bombing, es el envío
de e-mail a cientos o miles de usuarios. El problema se
acrecienta si alguien responde el mensaje a todos.
Spamming y bombing pueden ser combinados con e-mail spoofing, que
consiste en alterar la dirección del emisor del destinatario,
haciendo imposible conocer quien originó la cadena.
Cuando una gran cantidad de mensajes son dirigidos a un mismo
servidor, este
puede sufrir un DoS (Denial of Service), o que el sistema se
caiga como consecuencia de utilizar todos los recursos del
servidor, o completar el espacio en los discos.

¿Qué puede hacer usted?
En principio es imposible de prevenir ya que cualquier usuario de
e-mail puede spam cualquier otra cuenta de e-mail, o lista de
usuarios.
Se deben activar las opciones de filtrado de mensajes
Práctica de seteo de opciones de filtrado de
mensajes

¿Qué no debe hacer?
Responder esas cadenas, ya que crea saturación de los
servidores de
mail y además son usadas para levantar direcciones de
e-mails para luego enviar publicidades.

E-mail con attachments
¿Qué hacer cuando se reciben?
No lo abra a menos que necesite su contenido
En este caso, primero grábelo en el HD y luego
pásele un antivirus.

¿Qué hacer si debe enviarlos?
Si es un documento de texto
grábelo con formato RTF
De lo contrario ejecute su antivirus antes de adosar el
archivo

Contenido activo en el e-mail
¿Qué es?
Páginas con xml, java,
Actives objects, etc.

¿Cuándo se ejecuta?
Al visualizar la página

¿Cómo me protejo?
Solo se puede limitar el riesgo con las
opciones de la Zona de Seguridad
empleada.
Practica de cambiar opciones de seguridad…..
Web scripts malignos

¿Qué son?
Un "script" es un tipo de programa de computación usado en
la programación de sitios web. (Ej.: Javascript, Perl,
Tcl, VBScript, etc). Un script consiste en comandos de
texto. Cada
vez que el browser recibe estos comandos, los
interpreta y los ejecuta. Esto significa que un script puede ser
incluido en cualquier página web como si fuese texto. En
principio un script no es necesariamente un programa maligno,
sino que se utiliza su funcionalidad con fines
malignos.

¿Cómo me llegan?
Al visitar una página web que contenga en su código
algún script.

¿Qué pueden hacer?
Monitorear la sesión del usuario, copiar datos personales
a un tercer sitio, ejecutar programas de forma local, leer las
cookies del usuario y reenviarlas a un tercero, etc. y todo esto
sin que el usuario se entere en absoluto.

¿Cómo se soluciona este problema?
Deshabilitando todos los lenguajes de script en las opciones de
seguridad del explorador.

¿Cómo afecta mi navegación esta
solución?
Indudablemente va a limitar su interacción con algunos web
sites. Cada día se utilizan más los scripts para
dotar a las páginas de un site de un comportamiento
personalizado y más dinámico. Tal vez lo
recomendable es deshabilitar estas opciones al visitar
páginas de sitios no confiables.

Práctica en Explorer para deshabilitar estas
opciones…
Seguridad en Internet…..
Cookies

7. Medidas
antivirus

Nadie que usa computadoras es inmune a los virus de
computación.
Un programa antivirus por muy bueno que sea se vuelve obsoleto
muy rápidamente ante los nuevos virus que aparecen
día a día.

• Desactivar arranque desde disquete en el setup para
  que no se ejecuten virus de boot.
• Desactivar compartir archivos e impresoras.
• Analizar con el antivirus todo archivo recibido por
  e-mail antes de abrirlo.
• Actualizar antivirus.
• Activar la protección contra macrovirus del
  Word y el Excel.
• Sea cuidadoso al bajar archivos de Internet (Analice
  si vale el riesgo y si el
  sitio es seguro)
• No envíe su información personal ni
  financiera a menos que sepa quien se la solicita y que sea
  necesaria para la transacción.
• No comparta discos con otros usuarios.
• No entregue a nadie sus claves, incluso si lo llaman
  del servicio de
  Internet u otro.
• Enseñe a sus niños
  las practicas de seguridad, sobre todo la entrega de
  información.
• Cuando realice una transacción
  asegúrese de utilizar una conexión bajo
  SSL
• Proteja contra escritura el
  archivo Normal.dot
• Distribuya archivos RTF en vez de DOCs
• Realice backups

Autor:

Departamento de Investigaciones
del IAC