virus%2c gusanos y troyanos
TRANSCRIPT
Virus, Gusanos y Troyanos
Prof. Santiago Mena Zorrilla
¿Qué es un Virus informático?Un programa de ordenador que puede infectar otros programas modificándolos
para incluir una copia de sí mismo.
¿Quién los crea?
Tradicionalmente, el perfil de un creador de virus responde al de una persona
joven, con amplios conocimientos de informática, la mayoría programadores
que trabajan en el sector de la Informática y que, en sus ratos libres, se
dedicaban a programar virus.
Actualmente, las cosas han cambiado y con la expansión de Internet cualquier
persona con la suficiente mala intención y unos conocimientos mínimos es
capaz de infectar miles de ordenadores con un virus hecho a la carta.
Posiblemente, el objetivo de estos programadores no es de tipo económico sinomás bien de satisfacción personal: que el programa se propague al mayornúmero posible de ordenadores y redes de ordenadores, obteniendo así elreconocimiento de otrosprogramadores de virus.
Tipos de VirusVirus de archivos:(Files virus). Como su nombre indica, se instalan en los archivos,
utilizando cualquier sistema operativo para propagarse. Pueden infectar todos los tipos de archivos ejecutables del DOS Estándar (Archivos BAT, SYS, EXE, COM) y archivos de otros sistemas operativos como Windows en todas sus versiones (incluyendo sus drivers), OS2, Macintosh y Unix. También son capaces de infectar archivos que contienen código fuente, librerías o módulos de objetos, e incluso archivos de datos.
Virus de sector de arranque maestro:(MBR, Master Boot Record). Infectan el sectorde arranque de los disquetes o discos duros y sustituyen el sector de arranqueoriginal guardando o no una copia de este en otro sector del disco.Tambiénpueden guardar parte del virus en otros sectores además del MBR.Formatear eldisco o disquete no tiene ningún efecto sobre ellos ya que esta acción nomodifica el MBR. La única salida en este caso es un formateo abajo nivel queregenere la tabla de particiones.
Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE
Virus mixtos, bimodales o multiparte: Son una combinación de virus de archivo yvirus de sector de arranque. Se trata de virus muy avanzados, que puedenrealizar múltiples infecciones, combinando diferentes técnicas para ello. Suobjetivo es cualquier elemento que pueda ser infectado: archivos, programas,macros, discos, etc. Se consideran muy peligrosos por su capacidad decombinar muchas técnicas de infección y por los dañinos efectos de susacciones.
Algunos ejemplos de estos virus son: Ywinz.
Virus del BIOS:(Basic Input Output System) Se instalan en la BIOS del ordenador deforma que, cada vez que éste arranca, se infectan los archivos de sistema y eldisco duro queda inservible en pocos minutos.
Virus de compañía:(Companion Virus). Se caracterizan porque no cambian losarchivos infectados sino que crean un clon del archivo infectado que alejecutarse le da el control al virus. Pueden hacerlo de varias maneras, creandoun archivo alternativo (por ejemplo, infecta el archivo xcopy.EXE quepermanece inalterado y se crea un archivo xcopy.COM que contiene el códigoviral, de forma que al ser llamado el xcopy.EXE se ejecuta xcopy.COM). Otravariante es renombrando el archivo original sin cambiarlo y adoptando sunombre el virus.
Algunos ejemplos de este tipo de virus son: Stator, Asimov.1539, Terrax.1069.
Virus de macros: El objetivo de estos virus es la infección de los ficheros creadosusando determinadas aplicaciones que contengan macros: documentos de Word(archivos con extensión .DOC), hojas de cálculo de Excel (archivos con extensión.XLS), bases de datos de Access (archivos con extensión .MDB), presentacionesde PowerPoint (archivos con extensión PPS), archivos de Corel Draw, etc.Lasmacros son micro-programas asociados a un archivo, que sirven para automatizarcomplejos conjuntos de operaciones. Al ser programas, las macros pueden serinfectadas.
Cuando se abre un archivo que contenga un virus de este tipo, las macros secargarán de forma automática, produciéndose la infección. La mayoría de lasaplicaciones que utilizan macros cuentan con una protección antivirus y deseguridad específica, pero muchos virus de macro sortean fácilmente dichaprotección.
Existe un tipo diferente de virus de macro según la herramienta usada: de Word,de Excel, de Access, de PowerPoint, multiprograma o de archivos .RTF. Sinembargo, no todos los programas o herramientas con macros pueden serafectados por estos virus.
Estos son algunos ejemplos: Relax, Melissa.A, Bablas, O97M/Y2K.
Retrovirus: Especialmente diseñados para infectar programas antivirus, para lo cualincluyen rutinas que les permiten evitar ser detectados y deshabilitar o dañardeterminados antivirus.
Virus de sobreescritura: Sobrescriben el contenido de los ejecutables con su propiocódigo fuente, destruyendo el contenido original. El ejecutable infectado notrabaja apropiadamente y no puede ser restaurado. Se caracterizan porque losarchivos infectados no aumentan de tamaño, a no ser que el virus ocupe másespacio que el propio archivo (esto se debe a que se colocan encima del archivoinfectado, en vez de ocultarse dentro del mismo).La única forma de limpiar unarchivo infectado por un virus de sobreescritura es borrarlo, perdiéndose sucontenido.
Algunos ejemplos de este tipo de virus son: Way, Trj.Reboot y Trivial.88.D
Virus parasitos: Cambian el contenido de archivos infectados al transferirles su copiay permiten que los archivos sean parcial o completamente utilizables.La copia delvirus puede ser agregada al inicio o final del archivo afectado o insertada en elmedio.
Virus mutantes: (Companion Virus). Son los que al infectar realizan modificacionesen el código para evitar ser detectados o eliminados. Algunos ejemplos de estetipo de virus son: NATAS o SATÁN y Miguel Angel.
Virus sin punto de entrada: (Entry Point Obscuring). No graban las instrucciones depaso de control al virus en el encabezamiento de los archivos .COM y no cambianla dirección del punto de entrada en el encabezamiento de los archivos .EXE. Lainstrucción para el salto al código viral lo graban en algún punto del medio delarchivo infectado, por lo que no toman el control inmediatamente al ejecutarseel archivo, si no después de una llamada a la rutina que contiene la instruccióndel salto, que puede ser una rutina poco ejecutada como por ejemplo unmensaje de error específico. Como resultado, el virus puede permanecer"dormido" o "latente" por tiempo muy prolongado y ser activado en condicioneslimitadas o muy específicas.
Ejemplos de este tipo de virus son los siguientes: Lucretia, Zhengxi, CNTV,MidInfector, NexivDer, Avatar.Positron y Markiz.
Virus de Java y Active X: Un control ActiveX, un plug-in o cualquier elemento activono dejan de ser archivos ejecutables que se añaden a un navegador paraagregarle ciertas características. Al ser ejecutables pueden contener códigomalicioso
Virus BAT: Son de los más antiguos, se basan en la capacidad del DOS de ejecutararchivos .BAT de proceso por lotes. Inicialmente fáciles de detectar al estarescritos en modo texto, no podían ocultarse y tenían un poderlimitado.Actualmente son más modernos y versátiles, estando desarrollados enWinScript (evolución del .BAT para Windows).
Virus de script: A este tipo pertenecen los virus de script para mIRC y los orientados a redes como los virus de HTML, VBS, JavaScript o JScript. Pueden desconectar al usuario del IRC y acceder a información sensible del PC o sw la LAN, abrir el archivo de claves del Windows, bajar el "etc/passwd“ en el caso de sistemas operativos basados en UNIX o abrir una sesión FTP.
Virus Bomba de tiempo: Este tipo de virus se caracteriza por ocultarse en lamemoria del sistema o en los discos y en los archivos de programas ejecutablescon tipo COM o EXE a la espera de una fecha o una hora determinadas paraactivarse. Algunos de estos virus no son destructivos y solo exhiben mensajes enlas pantallas al llegar el momento de la activación. Llegado el momento, seactivan cuando se ejecuta el programa que las contiene.
Características de los virusLatencia: Un virus es capaz de permanecer inactivo hasta que un hecho externo hace que
el programa se ejecute o que el sector de arranque sea leído. De esa forma elprograma del virus se activa y se carga en la memoria del ordenador desde dondepuede esperar un evento que dispare su sistema de destrucción o de duplicación de símismo.
Tipo de residencia: Hace unos años, la mayoría de los virus se caracterizaban por serresidentes en memoria. De esta forma, cada vez que arrancaba el ordenador, el virushacía de las suyas infectando los archivos del disco duro. Menos comunes son losvirus no residentes que no necesitan permanecer en la memoria después que elprograma huésped se haya cerrado. Ahora, los virus tienden a camuflarse para evitarla detección y reparación. Para ello, el virus reorienta la lectura del disco y modificalos datos sobre el tamaño del directorio infectado en la FAT para evitar que sedescubran bytes extra que aporta el virus.
Forma de infección: Los primeros virus se infectaban a través de archivos ejecutablesinfectados en disquetes que, al ser introducidos en la unidad de disco flexible,infectaban la RAM o el sector de arranque. Otra vía de infección era a través deprogramas descargados de BBS (Bulletin Board System o Sistema de Tablero deAnuncios) o a través de copias de software no original, infectadas a propósito oaccidentalmente. También se pusieron muy de moda (y siguen vigentes) los virus queinfectaban cualquier archivo que contenga "ejecutables" o "macros".
Composición: En todo virus informático se pueden distinguir tres módulos principales: módulo de reproducción, módulo de ataque y módulo de defensa
El módulo de reproducción es el encargado de manejar las rutinas de"parasitación" de entidades ejecutables (o archivos de datos, en el casode los virus macro) a fin de que el virus pueda ejecutarsesubrepticiamente. De esta manera, logra tomar el control del sistema einfectar otras entidades permitiendo trasladarse de un ordenador a otro através de algunos de estos archivos.
El módulo de ataque es de carácter optativo y en caso de ir incorporado es elencargado de manejar las rutinas de daño adicional del virus. Porejemplo, el conocido virus Michelangelo, además de producir los dañostípicos de un virus de su clase, tiene un módulo de ataque que se activacuando el reloj del ordenador indica 6 de Marzo. En estas condiciones larutina actúa sobre la información del disco rígido volviéndola inutilizable.
El módulo de defensa tiene, obviamente, la misión de proteger al virus ycomo el de ataque, puede estar o no presente en la estructura. Susrutinas están diseñadas para evitar todo aquello orientado a laeliminación del virus y a retardar, en todo lo posible, su detección.
Daños producidos por los virusDe acuerdo a la gravedad de los efectos producidos por un virus, los daños se
pueden clasificar en seis categorías
Daños triviales: La eliminación del daño se produce en un intervalo de tiempo muybreve. Un ejemplo es el virus FORM un virus de tipo infector genérico del sectorde arranque maestro que no daña información del disco duro, pero puedegenerar fallos en disquetes y que se activa el 18 de cada mes de forma que cadavez que se presiona una tecla hace sonar el beep. Deshacerse de este virusimplica, generalmente, segundos o minutos.
Daños menores: Un ejemplo de este tipo de daño es el producido por el virusJerusalem. Este virus borra, los viernes 13, todos los programas que se intentenusar después de que el virus haya infectado la memoria residente. En el peor delos casos, habrá que reinstalar los programas perdidos. En menos de treintaminutos puede estar solucionado el problema.
Daños moderados: Son los típicos daños causados cuando un virus formatea el discoduro, mezcla los componentes de la FAT o sobreescribe los datos de disco duro.La reparación de estos daños implica reinstalar el sistema operativo y restaurarlos datos y programas utilizar el último backup. El tiempo empleado en lareparación depende de la cantidad de información a restaurar y de la capacidaddel disco duro. Una hora puede ser suficiente.
Daños mayores: alta capacidad de pasar desapercibidos, pueden lograr que ni aúnrestaurando un backup volvamos al último estado de los datos. Un ejemplo deesto es el virus Dark Avenger, que infecta archivos y acumula la cantidad deinfecciones que realizó. Cuando este contador llega a 16, elige un sector del discoal azar y en él escribe la frase: "Eddie lives … somewhere in time" (Eddie vive …en algún lugar del tiempo). Esto puede haber estado sucediendo durante unlargo periodo de tiempo sin que nos hayamos percatado de ello, hasta el día enque se detecta la presencia del virus de forma que cuando queramos restaurar elúltimo backup notaremos que también contiene sectores con la citada frase, asícomo también los backups anteriores a ese. Puede que lleguemos a encontrar unbackup limpio, pero será tan viejo que muy probablemente hayamos perdido unagran cantidad de archivos que fueron creados con posterioridad.
Daños severos: Los daños severos tienen lugar cuando un virus no detectado realizacambios mínimos, graduales y progresivos de forma que no sabemos cuándo losdatos son correctos o han cambiado ya que el virus ha actuado de formasilenciosa sin dejar pistas tan claras como en el caso del Dark Avenger (la dichosafrasecita)
Daños ilimitados: Suelen ser debidos a troyanos y no se limitan a fastidiar elfuncionamiento del disco duro o de cualquier otro elemento del ordenador sinoque intentan pasar lo más desapercibidos posibles con objeto de obtener clavesde acceso y privilegios que les permitan explotar otros recursos como cuentasbancarias, obtención de la dirección IP, accesos a sitios restringidos quealmacenan información privilegiada, etc.
Daños al softwareLos más generales son los siguientes:
Modificación de las aplicaciones instaladas hasta el punto de que nopuedan ejecutarse.
Modificación de las aplicaciones instaladas de forma que sufuncionamiento produzca continuos errores.
Modificación de los datos.
Eliminación de aplicaciones y/o datos.
Agotamiento paulatino del espacio libre existente en el disco duro.
Ralentización del sistema.
Obtención fraudulenta de información confidencial.
Daños al Hardware
Borrado de la información de la BIOS.
Destrucción del microprocesador por exceso el de temperatura provocada por unafalsa información del sensor de temperatura.
Rotura del disco duro al provocar que las cabezas lectoras lean repetidamentesectores específicos que fuercen su funcionamiento mecánico.
Mal funcionamiento de tarjetas como la de red, sonido y vídeo.
Bloqueos del ordenador que provocan continuos reinicios.
Reinicios aleatorios sin causa aparente.
Síntomas típicos infección• El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente.
• El tamaño del programa cambia sin razón aparente.
• El disco duro se queda sin espacio o informa de falta de espacio sin que esto sea necesariamente así.
• El pilotito indicador del disco duro continúa parpadeando aunque no se este trabajando ni haya protectores de pantalla activados.
• Aparecen archivos de la nada o con nombres y extensiones extrañas.
• Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en ventanas tipo DOS).
• Cambios en la fecha y / u hora de los archivos.
• Ralentización en la carga de aplicaciones.
• Iniciación del sistema operativo más lenta de lo habitual.
• Sectores defectuosos en los disquetes.
• Mensajes de error inusuales.
• Actividad extraña en la pantalla.
• Errores continuos e inesperados en la ejecución de los programas.
• Errores continuos y persistentes al arrancar o inicializar el equipo.
• Escrituras fuera de tiempo en el disco.
Troyanos
Programa camuflado dentro de otro (de ahí el nombre, asociado al caballo que losgriegos utilizaron para ganar su guerra contra Troya) cuyo objetivo era conseguirque un usuario de un ordenador lo ejecutara pensando que en realidad estabaejecutando un programa lícito.
Conjunto de instrucciones no autorizadas incrustadas en el código fuente de unprograma legal que ejecutan funciones desconocidas para el usuario y nodeseadas por el mismo. Cualquier programa que aparentemente haga unafunción deseable y necesaria pero que no la cumpla y/o contenga instruccionesno autorizadas en el mismo, las cuales ejecutan funciones desconocidas para elusuario.
Cualquier programa que contenga otro subprograma con instrucciones nodeseadas o virus.
Cualquier programa que permita operaciones de monitoreo y/o control remoto delordenador de un usuario sin su conocimiento ni consentimiento. Este tipo deprogramas son llamados también "Backdoor" lo que se traduce a Puerta Trasera.
Objetivo de los troyanosEste tipo de código malicioso es el más empleado a la hora de espiar y obtener sin
permiso información delicada o discrecional y el interés del atacante podría incluir pero no estar limitado a:
Información de tarjetas de crédito (utilizadas a menudo para registro de
dominios o compras)
Cualquier dato de cuentas (contraseñas de correo, contraseñas de acceso telefónico, contraseñas de servicios Web, etc)
Documentos confidenciales
Direcciones de correo electrónico (por ejemplo, detalles de contacto de clientes)
Diseños o fotografías confidenciales
Información de calendario relativa al paradero de los usuarios
Utilización de su equipo para propósitos ilegales, como hacking, scan, flood o infiltrarse en otros equipos de la red o de Internet.
Captar las pulsaciones del teclado del ordenador víctima, de forma que cualquiertecla pulsada queda registrada. De esta forma el dueño del troyano puederegistrar las claves, contraseñas, números de tarjetas de crédito, etc.introducidas por el usuario del ordenador víctima.
Espiar la ejecución de las aplicaciones que se ejecutan en el escritorio delordenador víctima: lectura de los mensajes de correo, conversacionesmantenidas con el programa de mensajería instantánea, páginas web visitadas,vídeo conferencias establecidas, etc.
Acceder y leer el contenido de los archivos logs que almacenan las conversacionesmantenidas a través de programas clientes de mensajería instantánea. Así, porejemplo Messenger (en alguna de sus versiones) crea una carpeta llamada "mychats logs".
Visualizar el historial de páginas visitadas.
Monitorizar los procesos, programas activos, aplicaciones en marcha, historial deprogramas utilizados, etc.
Visualizar el contenido de la carpeta Mis documentos, consultar el historial dedocumentos abiertos recientemente pudiendo borrarlos o modificarlos.
Síntomas de infección por troyano1.La unidad de CD-ROM se abre y cierra sin intervención del usuario.2. La pantalla del ordenador se ve invertida o al revés.3. El fondo del escritorio cambia por sí solo. Este tipo de comportamiento puede ser iniciado por el atacante,
colocando imágenes obscenas copiadas por el mismo.4. La página de inicio del navegador es una página extraña o desconocida para el usuario y/o se ejecuta
automáticamente, colocando como página de inicio una página desconocida para el usuario, normalmente una página de carácter pornográfico.
5. La apariencia del escritorio de Windows cambia por si sola.6. El protector de pantalla cambia por sí solo.7. Los botones del ratón invierten su función.8. El puntero del ratón desaparece.9. El puntero del ratón se desplaza sólo a lo largo y ancho de la pantalla.10. El ordenador reproduce sonidos grabados por el micrófono con anterioridad, sin conocimiento del usuario.11. El volumen del sonido cambia solo.12. Los programas ejecutan solos.13. El ordenador puede iniciar una conversación con el usuario.14. El ordenador se empeña en mostrar el contenido del portapapeles de Windows.15. Mensajes extraños de advertencia, información o error aparecen sin razón alguna en la pantalla del ordenador.16. El ordenador marca un número de teléfono automáticamente.17. La fecha y hora del ordenador cambian por sí solos.18. La barra de tareas desaparece de forma inesperada.19. El ordenador se apaga de forma aleatoria.20. Aparecen compras extrañas que nunca hemos realizado con nuestra tarjeta de crédito.21. Aparecen archivos bloqueados o en uso inesperadamente.22. El teclado deja de funcionar inesperadamente.23. Cada vez que intenta reiniciar el ordenador aparece una mensaje de que todavía hay usuarios conectados al
sistema.24. La secuencia de teclas Ctrl+Alt+Del deja de funcionar.
Precauciones contra troyanos Tener un antivirus y/o antitroyanos monitorizando constantemente nuestro
ordenador.
Realizar escaneos esporádicos a todo el sistema con antivirus y/o antitroyanos.
Tener instalado y activo un cortafuegos.
Utilizar monitores de sistema y registro, ya sean específicos o se encuentrenformando parte de un cortafuegos, antitroyanos, antivirus,...
Desconfiar de todo archivo obtenido por cualquiera de las vías de Internet,especialmente de aquellos con los que tengamos algún problema en su primeraejecución.
Escanear como norma general todo fichero que entre en nuestro sistema.
Utilizar siempre un cortafuegos para detectar intentos de comunicación de
un posible troyano con el dueño del mismo.
Panda,Norton,Windows Defender McAffe
GusanosUn gusano (worm) es un tipo de virus cuya característica principal consiste en la
capacidad de poder reenviarse a sí mismo. Efectivamente, esta es la grandiferencia entre los virus y los gusanos: la capacidad que tienen estos últimos deutilizar el ordenador de cualquier usuario para infectar otros ordenadores, víaInternet.
Al contrario de lo que ocurre con los virus informáticos (en el sentido estricto, sonprogramas que tienen la capacidad de copiarse a sí mismos y de modificar elcódigo de programas para infectarlos), los gusanos son programas completos quepueden funcionar por sí solos, y que por tanto no necesitan afectar el código deotros programas para replicarse y, su presencia y permanencia se basanormalmente en errores o debilidades (vulnerabilidades) de los protocolos dered o de los programas incluidos en los sistemas operativos que los utilizan. Esdecir, los gusanos tienen por finalidad copiarse así mismos tantas veces como seaposible hasta conseguir saturar la memoria del sistema.
Su entrada la hacen por el correo y su salida por alli tambien
Precauciones contra gusanos
La mayoría de los antivirus pueden configurarse para explorar automáticamentenuestro ordenador así como para detectar, identificar y proteger contra losdaños que pueda causar un virus, pero también es muy importante actualizar elsoftware antivirus periódicamente y mantenerlo activo en todo momento, sobretodo porque de esta forma detectará los mensajes de correo contaminados.
Hacer en todos los casos copias de seguridad de los datos de la computadora
Finalmente, no es necesario adoptar una actitud hipocondríaca cuando se trata
de protegernos contra virus o gusanos informáticos. Lo mejor es "prevenir y no
lamentar".