Manual creado por: Mirna Gabriela Higueros García
INTRODUCCIÓN…………………………………………….
2
VIRUS………………………………………………………….
3
MÉTODOS DE PROPAGACIÓN……………………………
3
TIPOS DE VIRUS…………………………………………….
4
OTROS TIPOS DE VIRUS………………………………….
5
ANTIVIRUS……………………………………………………
7
FUNCIOMANIENTO DEL ANTIVIRUS…………………….
9
SEGURIDAD Y MÉTODOS DE PROTECCIÓN………….
9
TIPOS DE VACUANAS……………………………………....
10
CONCLUSION……………………………………………….
11
1
Manual creado por: Mirna Gabriela Higueros García
El presente trabajo contiene información acerca de algunos virus y antivirus que existen el en mundo de la informática su manera de propagación y los métodos que se pueden utilizar para estar seguros. El manual está diseñado de manera clara y precisa para que el lector pueda detectar los virus que pueden estar asechando su ordenador y así mismo informarse acerca de las maneras de prevención que existen para evitar una infección de este tipo.
2
Manual creado por: Mirna Gabriela Higueros García
Un virus es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos. Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen además una carga dañina, con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil. El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.
Existen dos grandes clases de contagio. En la primera, el usuario, en un momento dado, ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda, el programa malicioso actúa replicándose a través de las redes. En este caso se habla de gusanos. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o imprevistos. Dichos comportamientos pueden dar una pista del problema y permitir la recuperación del mismo. 3
Manual creado por: Mirna Gabriela Higueros García
Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:
Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto). Ingeniería social, mensajes como ejecute este programa y gane un premio, o, más comúnmente: Haz 2 clics y gana 2 tonos para móvil gratis. Entrada de información en discos de otros usuarios infectados. Instalación de software modificado o de dudosa procedencia.
Existen diversos tipos de virus, varían según su función o la manera en que este se ejecuta en nuestra computadora alterando la actividad de la misma, entre los más comunes están:
Consiste en robar información o alterar el sistema del hardware
o en un caso extremo permite que un usuario externo pueda controlar el equipo. Tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. Son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario. no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas novatos. Al igual que los hoax, no son virus, pero son molestos, un ejemplo: una página pornográfica que se mueve de un lado a otro, y si se le llega a dar a cerrar es posible que salga una ventana que diga: OMFG!! No se puede cerrar!. : 4
Manual creado por: Mirna Gabriela Higueros García
La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados Entre esta categoría podemos mencionar a este tipo de virus: Meve, MrKlunky Randex, CMJ,.
Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos.
Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles.
Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco o unidad de almacenamiento CD,DVD, memorias USB En ella se guarda la información esencial sobre las características del disco y se encuentra un programa que permite arrancar el ordenador. Este tipo de virus no infecta ficheros, sino los discos que los contienen, el virus de boot infectará a su vez el disco duro.
5
Manual creado por: Mirna Gabriela Higueros García
Los ficheros se ubican en determinadas direcciones, que el sistema operativo conoce para poder localizarlos y trabajar con ellos. Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan los ficheros. De este modo, al intentar ejecutar un programa infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya que éste habrá modificado la dirección donde se encontraba originalmente el programa, colocándose en su lugar. Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros originales.
Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar.
Son virus que en cada infección que realizan se cifran de una forma distinta, utilizando diferentes algoritmos y claves de cifrado. De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.
Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc.
Infectan programas o ficheros Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos.
6
Manual creado por: Mirna Gabriela Higueros García
La tabla de asignación de ficheros o FAT (del inglés File Allocation Table) es la sección de un disco utilizada para enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema. Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas partes del disco, donde se almacenan los ficheros críticos para el normal funcionamiento del ordenador.
Nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos. Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus informáticos, sino bloquearlo, desinfectar y para prevenir una infección de los mismos, así como actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits. El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador. Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas para el ordenador, con técnicas como Heurística, HIPS. El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección. Actualmente hay una gran mayoría de antivirus pero no todos se asemejan al pretendido por todos, un antivirus eficaz en todos los sentidos. Estos programas como se ha mencionado tratan de encontrar la traza de los 7
Manual creado por: Mirna Gabriela Higueros García
programas maliciosos mientras el sistema esté funcionando. Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad. Como programa que esté continuamente funcionando, el antivirus tiene un efecto adverso sobre el sistema en funcionamiento. Una parte importante de los recursos se destinan al funcionamiento del mismo. Además dado que están continuamente comprobando la memoria de la máquina, dar más memoria al sistema no mejora las prestaciones del mismo. Otro efecto adverso son los falsos positivos, es decir al notificar al usuario de posibles incidencias en la seguridad, éste que normalmente no es un experto de seguridad se acostumbra a dar al botón de autorizar a todas las acciones que le notifica el sistema. De esta forma el antivirus funcionando da una sensación de falsa seguridad. Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se empleará para la generación de discos de recuperación y emergencia. Sin embargo no se recomienda en una red el uso continuo de antivirus. El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas. Aunque si los recursos son suficientes. Este extra de seguridad puede ser muy útil. Sin embargo los filtros de correos con detectores de virus son imprescindibles, ya que de esta forma se asegurará una reducción importante de decisiones de usuarios no entrenados que pueden poner en riesgo la red.
Un antivirus es creado con una lista de códigos maliciosos en lo que lleva al antivirus a examinar en la base de datos de un archivo, si en la lista de códigos maliciosos hay un código en el que está en un archivo, este será reconocido como un virus informático. Pero se logró porque si el antivirus tiene esa lista de códigos, y se trata de examinar el mismo antivirus, debería reconocerse que es un virus informático Pero podría haber otros datos en el antivirus y poder reconocerlo como una prueba de códigos para el mismo funcionamiento del antivirus... en pocas palabras: que el antivirus no se detecte como un virus debido a la lista de códigos maliciosos que tiene para detectar los virus en los datos, habrían otros datos de funcionamiento en el antivirus que impedirían el acceso a Examinar la lista de códigos (no impedir examinar, sino darle una excepción al mismo antivirus para hacer el trabajo del mismo).
8
Manual creado por: Mirna Gabriela Higueros García
En el mundo de la informática existen varias empresas que se dedican a la fabricación de antivirus. Dichas empresas desde sus comienzos han tratado de crear unos sistemas estables que le brinden seguridad y tranquilidad a los usuarios. Día a día ellas tienen la encomienda de reconocer nuevos virus y crear los antídotos y vacunas para que la infección no se propague como plagas en el mundo de las telecomunicaciones. Entre los antivirus existentes en el mercado se pueden mencionar: Panda Antivirus, Norton Antivirus, McAfee VirusScan, Dr. Solomon’s Tool Kit, Esafe, F-Prot, IBM Antivirus PcCillin Si Afortunadamente, las infecciones informáticas pueden ser prevenibles por el usuario. Con una buena combinación de sentido común unido a un buen antivirus se puede precaver a gran escala. Además se debe concienciar a los usuarios con políticas de seguridad en el uso del correo electrónico y otros programas que se bajan de Internet. Hay que ejercer un cuidado extremo cuando se está abriendo un archivo que acabamos de recibir. Nunca se debe abrir un archivo si no se sabe el lugar de procedencia y mucho menos si no tiene que ver con el trabajo. Antes de abrir el archivo se tiene que verificar con el antivirus. Los recordatorios deben ser memos enviados por el correo electrónico describiendo las mejores prácticas para combatir los virus. Enviando documentos de los virus nuevos sus estragos y la forma de erradicarlo del sistema. Por último el material de referencia puede ser información para actualizar el antivirus o comunicados que sacan las empresas creadoras de antivirus. En las medianas empresas se requiere por lo menos dos tipos de antivirus, uno para el correo electrónico y otro para los clientes y servidores. Una buena práctica es tener dos antivirus distintos ya que trabajan de distintas maneras. Tal vez mientras uno es bueno detectando nuevos virus el otro es bueno enviado actualizaciones recientes..
Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.
9
Manual creado por: Mirna Gabriela Higueros García
Sólo detección: Son vacunas que sólo
actualizan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.
Detección y desinfección: son vacunas
que detectan archivos infectados y que pueden desinfectarlos.
Detección y aborto de la acción: son
vacunas que detectan archivos infectados y detienen las acciones que causa el virus. Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados. Comparación de firmas de archivo: son vacunas que comparan las firmas de los atributos guardados en tu equipo. Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar archivos. Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario. Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por la actividad del sistema operativo. .
10
Manual creado por: Mirna Gabriela Higueros Garc铆a
Es importante conocer acerca de este tema puesto que es algo fundamental para la vida diaria ya que con esta informaci贸n podemos prevenir que nuestro ordenador sea infectado y con ello nuestra empresa se vea perjudicada o nuestra misma informaci贸n personal.
11