Escuela Técnica Simón Rodríguez “MARIANO SANTOS MATEOS”

Informática

Realizado por:

LISELL SANCHEZ GAMARRA

CONCEPTO BÁSICOUn virus informático es un software

malintencionado que tiene por objeto alterar el normal funcionamiento de una computadora, sin el permiso o el conocimiento del usuario. Los virus, generalmente, sobrescriben archivos ejecutables o programas por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenado, aunque también existen otros más “inofensivos", que solo se caracterizan por ser molestos.

FUNCIÓNLos virus informáticos tienen la función de

propagarse, no se replican a sí mismos como el gusano informático, dependen de otro software para propagarse, son muy dañinos y pueden causar desde una simple molestia hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas.

El funcionamiento de un virus informático es simple. Se ejecuta un programa infectado, generalmente, por desconocimiento del usuario.

El código del virus queda alojado en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando archivos ejecutables que se ejecuten luego. Finalmente se añade el código del virus al del programa infectado y se graba en disco, con lo cual concluye el proceso de replicado.

CARACTERÍSCASDado que una característica de los virus es el

consumo de recursos, los virus ocasionan problemas tales como: pérdida de productividad, cortes en los sistemas de información o daños a nivel de datos.

Otra de las características es la posibilidad que tienen de ir replicándose. Las redes en la actualidad ayudan a dicha propagación cuando éstas no tienen la seguridad adecuada.

Otros daños que los virus producen a los sistemas informáticos son la pérdida de información, horas de parada productiva, tiempo de reinstalación, etc. Hay que tener en cuenta que cada virus plantea una situación diferente.

CIH Daño estimado: 20 a 80 millones de dólares,

sin contar el precio de la información destruida.

Localización: Desde Taiwan Junio de 1998, CHI es reconocido como uno de los mas peligrosos y destructivos virus jamás vistos. El virus infectó los archivos ejecutables de Windows 95,98 y ME y fué capaz de permanecer residente en memoria de los ordenadores infectados para así infectar otros ejecutables.

¿Porqué?: Lo que lo hizo tan peligroso fué que en poco tiempo afectó muchos ordenadores, podía reescribir datos en el disco duro y dejarlo inoperativo.

Curiosidades: CIH fué distribuido en algun que otro importante software como un Demo del juego de Activision “Sin”.

MELISSA Daño Estimado: 300 a 600 millones de dólares Localización: Un Miércoles 26 de Marzo de

1999, W97M/Melissa llegó a ser portada de muchos rotativos alrededor del mundo. Una estimación asegura que este script afecto del 15% a 20% de los ordenadores del mundo.

Curiosidades: El virus usó Microsoft Outlook para enviarse asimismo a 50 de los usuarios de la lista de contactos. El mensaje contenía la frase, “Here is that document you asked for…don’t show anyone else. ;-) ,” y venía acompañado por un documento Word adjunto, el cual fue ejecutado por miles de usuarios y permitieron al virus infectar los ordenadores y propagarse a través de la red.

ILOVEYOU Daño Estimado: 10 a 15 billones de dólares Localización: También conocido como “Loveletter” y

“Love Bug”, este fue un script de Visual Basic con un ingenioso y irresistible caramelo: Promesas de amor. Un 3 de Mayo de 2000, el gusano ILOVEYOU fue detectado en HONG KONG y fue transmitido vía e-mail con el asunto “ILOVEYOU” y el archivo adjunto, Love-Letter-For-You.TXT.vbs. De igual manera a Melissa se transmitió a todos los contactos de Microsoft Outlook.

¿Porqué?: Miles de usuario fueron seducidos por el asunto ye hicieron clic en el adjunto infectado. El virus también se tomó la libertad de sobrescribir archivos de música, imágenes y otros.

Curiosidades: Como Filipinas no tenía leyes que hablaran sobre la escritura de virus el autor de ILOVEYOU quedó sin cargos.

CODE RED Daño Estimado: 2.6 billones de dólares Localización: Code Red fue un gusano que

infecto ordenadores por primera vez el 13 de Julio de 2001. Fue un virulento bug porque su objetivo era atacar a ordenadores que tuvieran el servidor (IIS) Microsoft’s Internet Information Server. El gusano era capaz de explotar una importante vulnerabilidad de este servidor.

Curiosidades: Tambien conocido como “Bady”, Code Red fue diseñado para el maximo daño posible. En menos de una semana infectó casi 400.000 servidores y mas de un 1.000.000 en su corta historia.

SQL SLAMMER Daño Estimado: Como SQL Slammer

apareció un sábado su daño ecónomico fue bajo. Sin embargo este atacó 500.000 servidores.

Curiosidades: SQL Slammer, tambien conocido como “Sapphire”, data del 25 de Enero de 2003 y su principal objetivo son servidores, el virus era un archivo de 376-byte que generaba una dirección Ip de manera aleatoria y se enviaba asimismoa estas IPs. Si la IP corría bajo un Microsoft’s SQL Server Desktop Engine sin parchear podía enviarse de nuevo a otras IPs de manera aleatoria.Slammer infectó 75,000 ordenadores en 10 minutos.

BLASTER Daño Estimado: 2 a 10 billones de dolares,

cientos de miles de ordenadores infectados.

Localización: El verano de 2003 se dió a conocer Blaster tambien llamado “Lovsan” o “MSBlast”.El virus se detectó un 11 de Agosto y se propagó rapidamente, en sólo dos días. Transmitio gracias a una vulnerabilidad en Windows 2000 y Windows XP, y cuando era activado abría un cuadro de diálogo en el cual el apagado del sistema era inminente.

SOBIG.F Daño Estimado: De 5 a 10 billones de dólares y

más de un millón de ordenadores infectados. Localización: Sobig tambien atacó en Agosto

de 2003 un horrible mes en materia de seguridad. La variante mas destructiva de este gusano fué Sobig.F, que atacó el 19 de Agosto generando mas de 1 millón de copias de él mismo en las primeras 24 horas.

Curiosidades: El virus se propagó vía e-mail adjunto archivos como application.pif y thank_you.pif. Cuando se activaba se transmitía. El 10 de Septiembre de 2003 el virus se desactivó asimismo y ya no resultaba una amenaza, Microsoft ofreció en su día $ 250.000 a aquel que identificara a su autor.

BAGLE Daño Estimado: 10 millones de dólares y

subiendo… Localización: Bagle es un sofisticado gusano que

hizó su debut el 18 de Enero de 2004.El código infectaba los sistemas con un mecanismo tradicional, adjuntando archivos a un mail y propagandose el mismo.El peligro real de Bagle es que existen de 60 a 100 variantes de él, cuando el gusano infectaba un ordenador abría un puerto TCP que era usado remotamente por una aplicación para acceder a los datos del sistema.

Curiosidades: La variante Bagle.B fue diseñada para detenerse el 28 de Enero de 2004 pero otras numerosas variantes del virus siguen funcionando.

MYDOOM Daño Estimado: Ralentizó el rendimiento

de internet en un 10% y la carga de páginas en un 50%.

Localización: Durante unas pocas horas del 26 de Enero de 2004, MyDoom dio la vuelta al mundo. Era transmitido vía mail enviando un supuesto mensaje de error aunque también atacó a carpetas compartidas de usuarios de la red Kazaa.

Curiosidades: MyDoom estaba programado para detenerse después del 12 de Febrero de 2004.

SASSER Daño Estimado: 10 millones de dólares Localización: 30 de Abril de 2004 fue su fecha

de lanzamiento y fue suficientemente destructivo como para colgar algunas comunicaciones satélites de agencia francesas. También consiguió cancelar vuelos de números compañías aéreas.

Curiosidades: Sasser no era transmitido vía mail y no requería usuarios para propagarse. Cada vez que el gusano encontraba sistemas Windows 2000 y Windows Xp no actualizados este era replicado, los sistemas infectados experimentaban una gran inestabilidad.

Sasser fue escrito por un joven alemán de 17 años que propago el virus en su 18 cumpleaños. Como el escribió el código siendo un menor salió bien parado aunque fue declarado culpable de sabotaje informático.

BOMBA LÓGICA Programa informático que se instala en

un ordenador y permanece oculto hasta cumplirse una o más condiciones preprogramadas para entonces ejecutar una acción.

A diferencia de un virus, una bomba lógica jamás se reproduce por sí sola.

TROYANO Se denomina troyano (o caballo de Troya,

traducción fiel del inglés Trojan horse aunque no tan utilizada) a un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona.

Un troyano no es en sí un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" sólo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo.

MACRO-VIRUS Los macro virus son una nueva familia

de virus que infectan documentos y hojas de cálculo. Fueron reportados a partir de Julio de 1995, cambiando el concepto de aquella época, de que los virus tan sólo podían infectar o propagarse a través de archivos ejecutables con extensiones .EXE o .COM

Hoy en día basta con abrir un documento o una hoja de cálculo infectados para que un sistema limpio de virus sea también infectado.

Los macro virus tiene 3 características básicas: 1) Infectan documentos de MS-Word o Ami Pro, hojas de

cálculo de MS-Excel y archivos de bases de datos en MS-Access.

2) Poseen la capacidad de infectar y auto-copiarse en un mismo sistema, a otros sistemas o en unidades de red a las cuales estén conectadas.

3) Haciendo uso de las funciones de la interfaz de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express.

A pesar de que los macro virus son escritos en los lenguajes macro de MS-Word o MS-Excel y por consiguiente deberían infectar únicamente a documentos y hojas de cálculo, es posible desarrollar macro virus que ejecuten llamadas al sistema operativo, dando órdenes de borrar archivos o hasta de reformatear al disco duro

GUSANO INFORMÁTICO Un gusano (también llamados IWorm por su

apocope en inglés, I = Internet, Worm = Gusano) es un Malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.

A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos siempre dañan la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.

Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.

MÉTODOS DE PROTECCIÓN Antirus: Los antivirus son programas

cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware). Básicamente, un antivirus compara el código de cada archivo con una base de datos de los códigos (también conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado.

Cortafuegos: Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.

¿CÓMO ELIMINAR EL MALWARE?

Los 11 Pasos fundamentales de una buena eliminación son:

1. Descargar y/o actualizar las principales herramientas de eliminación (Ad-Aware SE, Spybot S&D, SpywareBlaster, etc).

2. Apagar el "Restaurar Sistema" (System Restore) Solo en Win ME y XP.

3. Iniciar el sistema en "Modo a Prueba de Fallos" (modo seguro)

4. Ejecutar las herramientas antispyware y eliminar los intrusos que estos encuentren.

5. Utilizar "Disk Cleaner" para limpiar cookies y temporales.

6. Reiniciar el sistema en modo normal.

7. Escanear el PC con Antivirus Online

8. Repetir los pasos 4 y 5 en modo normal

9. Comprobar que el problema o malware haya desaparecido.

10. En caso que el problema persista, ejecutar HijackThis y pegar su lo para ser analizado en el un foro o blog dedicado a la erradicación de virus.

11. Una vez eliminados los parásitos de su sistema le recomendamos, mantener su antivirus siempre actualizado, complementarlo con un antispyware como "SpyBot S&D" (residente en memoria) y "SpywareBlaster" al igual que instalar algún cortafuegos como Outpost Firewall o Zone Alarm.

REFERENCIAS

Wikipedia

www.ForosSpyware.com

www.PerAntivirus.com

PUBLICACIÓN Esta presentación fue publicada en Slide

Share.net por:

LISSELL SANCHEZ