VIRUS Y BACTERIAS

INFORMATICOS

LEIDY JOHANA LOPEZ RINCON

¿Qué ES UN VIRUS INFORMATICO?

Es un pequeño programa escrito intencionalmente para instalarse en el computador de un usuario sin el conocimiento o el permiso de este.Decimos que es un programa parásito porque el programa ataca a los archivos o al sector de "arranque" y se replica a sí mismo para continuar su propagación.Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. No obstante, absolutamente todos cumplen el mismo objetivo: "propagarse".

MODULOS DE VIRUSMódulo de reproducción

Es el encargado de manejar las rutinas de "parasitación" de entidades ejecutables a fin de que el virus pueda ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de un computador a otro a través de algunos de estos archivos.

Módulo de ataque

Este módulo es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, algunos virus, además de los procesos dañinos que realizan, poseen un módulo de ataque que por ejemplo se activa un determinado día. La activación de este módulo, implica la ejecución de una rutina que implica daños dispares en nuestro computador.

Módulo de defensa

Este módulo, como su nombre indica tiene la misión de proteger al virus. Su presencia en la estructura del virus es optativa, al igual que el módulo de ataque. Sus rutinas apuntan a evitar todo aquello que provoque la eliminación del virus y retardar, en todo lo posible, su detección.

CLASIFICACION DE LOS VIRUS1. Trampas (trap door)Se conocen también como puertas traseras (back door). Consisten en un conjunto de instrucciones no documentadas dentro de un programa o sistema operativo, que permiten acceso sin pasar o dejar rastro en los controles de seguridad. Normalmente son vías de entrada que dejan los programadores, en forma deliberada, para uso particular.

2. Bombas LógicasCorresponden al código oculto dentro de una aplicación que se activa cuando se cumplen determinadas condiciones. Por ejemplo una fecha u hora, tras un determinado número de operaciones, secuencia de teclas o comandos, etc. Ejemplos de este tipo de programas son virus como Viernes 13 o el virus Miguel Ángel.

3. Caballos de TroyaSon programas aparentemente útiles, que contienen código oculto programado para ejecutar acciones no esperadas y generalmente indeseables sobre el computador.Un ejemplo simple de un Caballo de Troya es un programa que hace las veces de una útil calculadora, pero, en la medida que es usada, borra o corrompe archivos del disco duro, sin que el usuario se percate.

4. Bacterias Son aquellos programas cuyo objetivo es replicarse dentro de un sistema, consumiendo memoria y capacidad del procesador, hasta detener por completo la máquina.

5. Gusanos Los gusanos utilizan las redes de comunicaciones para expandirse de sistema en sistema. Es decir, una vez que un gusano entra a un sistema examina las tablas de ruta, correo u otra información sobre otros sistemas, a fin de copiarse en todos aquellos sistemas sobre los cuales encontró información. Este método de propagación presenta un crecimiento exponencial con lo que puede infectar en muy corto tiempo a una red completa. Existen básicamente 3 métodos de propagación en los gusanos:- Correo electrónico - El gusano envía una copia de sí mismo a todos los usuarios que aparecen en las libretas de direcciones que encuentra en el computador dónde se ha instalado.- Mecanismos basados en RPC (Remote Procedure Call) - El gusano ejecuta una copia de sí mismo en todos los sistemas que aparecen en la tabla de rutas (rcopy y rexecute).- Mecanismos basados en RLOGIN - El gusano se conecta como usuario en otros sistemas y una vez en ellos, se copia y ejecuta de un sistema a otro.

6. Virus El virus informático es el programa diseñado para autor replicarse y ejecutar acciones no deseadas dentro del computador. Cuando un archivo infectado es ejecutado o el computador arranca desde un disquete infectado, el virus es ejecutado, permaneciendo en memoria e infectando todos los programas que se ejecuten y todos los discos que se accedan de ahí en adelante.Podemos encontrar los siguientes tipos de virus:- Virus de Archivos : Esta clase de virus sólo se activa cuando un programa infectado es ejecutado. Estos virus atacan principalmente a archivos con extensión *.COM y *.EXE, aunque también pueden infectar las extensiones *.DRV, *.DLL, *.BIN, *.OVL, *.SYS, *.386, *.OVY, *.SCR, *.PIF y otras.- Virus de Sector de arranque (boot) : Estos virus atacan el sector de arranque, registro maestro de arranque (Master Boot Record, MBR) y la tabla de localización de archivos (File Allocation Table, FAT) de las unidades de disco, ya sean estas fijas o removibles. Estos virus se activan cuando el PC se inicializa desde una unidad de disco infectada, alojándose en todas las unidades de disco que se utilicen en el equipo desde ese instante.

- Virus Multi Partición : Bajo este nombre se engloban los virus que utilizan los dos métodos anteriores. Es decir, pueden simultáneamente infectar archivos, sectores bootde arranque y tablas FAT.- Retrovirus : Un Retrovirus es un virus informático, que intenta evitar o esconder la operación de un programa antivirus. El ataque puede ser específico a un antivirus o en forma genérica. Normalmente los retrovirus no son dañinos en sí. Básicamente su función consiste en despejar el camino para la entrada de otros virus realmente destructivos, que lo acompañan en el código.- Macro Virus : Estos virus infectan documentos escritos con Microsoft Word, con Excel y otras aplicaciones similares y son los primeros virus conocidos multiplataforma, es decir, infectan tanto PC's como sistemas Macintosh.La vulnerabilidad a este tipo de virus es muy alta, debido a que los documentos son mucho más "móviles" que los programas ejecutables y además, los macro virus son muy fáciles de escribir y/o modificar, lo que hace que su crecimiento y la cantidad de variantes sea muy grande.

7. EncriptadosMás que un tipo de virus, se trata de una técnica que éstos pueden utilizar. Por este motivo, los virus que la utilizan (pudiendo pertenecer a otros tipos o categorías), se suelen denominar también encriptados. Esto es, el virus se cifra, codifica o "encripta" a sí mismo para no ser fácilmente detectado por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y cuando ha finalizado, se vuelve a cifrar.

8. PolimórficosSon virus que emplean una nueva técnica para dificultar su detección por parte de los programas antivirus (generalmente, son los virus que más cuesta detectar). En este caso varían en cada una de las infecciones que llevan a cabo. De esta forma, generan una elevada cantidad de copias de sí mismos.Los virus polimórficos se encriptan o cifran de forma diferente (utilizando diferentes algoritmos y claves de cifrado), en cada una de las infecciones que realizan. Esto hace que no se puedan detectar a través de la búsqueda de cadenas o firmas (ya que éstas serán diferentes en cada cifrado).

9. Bulos (hoax) Un hoax no es unvirus, es un mensaje de correo electrónico que informa sobre la aparición de un nuevo y extremadamente peligroso virus. Pero en realidad, un hoax es una broma, ese virus que anuncia no existe, su única pretensión es llegar a cuanta más gente mejor.Los hoax presentan las siguientes características:- Son mensajes extremadamente serios; intentan provocar un miedo atroz entre los usuarios- Siempre están avalados por alguna persona o entidad seria y de reconocido prestigio (IBM, Microsoft, AOL, Netscape, ...)- Son extremadamente catastrofistas. Textos como "...Le borrará toda la información de su disco duro...", "...Le destrozará su disco duro..." son habituales en los hoax- Suelen incluir líneas en las que le pide que envíe este mensaje a todos sus conocidos para alertarles sobre el peligroMuchas de las personas que reciben este tipo de mensajes creen que esta información es verdadera.Todo esto provoca la falsa alarma entre los usuarios que van recibiendo los mensajes, la propagación de las direcciones de correo de nuestros conocidos y en definitiva todos nuestros contactos, así como el crecimiento de información "basura" por internet.

10. Joke Los jokes no se pueden considerar tampoco como virus. Al igual como los hoax son bromas. Concretamente, los jokes son programas que tienen como principal objetivo hacer pensar al usuario que han sido infectados por un virus. Estos programas tratan de simular los efectos destructivos de un virus, como por ejemplo borrar todos los archivos del disco, girar la pantalla del monitor, derretir la pantalla, abrir la puerta del CD-ROM, etc. Los objetivos de los jokes van desde el simple entretenimiento de los usuarios en su trabajo diario hasta intentar alarmar al usuario que los ejecuta. Los jokes son programas ejecutables principalmente descargados de internet o recibidos por correo electrónico. Se caracterizan por ser sugestivos tanto por el dibujo de su icono y su nombre.

EFECTOS Y SINTOMASEsta sección pretende clasificar y describir cada uno de los posibles síntomas que podemos apreciar, cuando algún virus, gusano o troyano ha producido una infección o se ha activado en nuestro computador.

En un principio comenzaremos estableciendo un criterio aproximado para los determinar los posibles grados de daño que los virus pueden realizar en nuestro computador:

Sin daños. En este caso los virus no realizan ninguna acción tras la infección. Generalmente, suelen ser virus que solamente se dedican a propagarse e infectar otros elementos y/o equipos (se envían a sí mismos por correo electrónico, IRC, o a través de la red).

Daños imprevisibles. Son aquellos que generalmente causan los troyanos. Éstos son programas que pueden estar manipulados de forma remota (desde otro computador) por una persona que está produciendo un ataque (atacante o hacker). Este tipo de programas cada vez son más complejos y cuentan con más utilidades y funciones de ataque. Con el programa cliente -en el computador del atacante-, el programa servidor -en el computador de la víctima- y una conexión a través de un puerto de comunicaciones en el computador de la víctima, es posible realizar cualquier acción en éste último.

Daño mínimo. Solamente realizan acciones que son molestas al usuario, sin afectar a la integridad de la información, ni de otras áreas del equipo (presentación mensajes por pantalla, animaciones en pantalla,... etc.).

Daño moderado/escaso. En este caso pueden presentarse modificaciones de archivos o pérdidas moderadas de información, pero nunca serán totalmente destructivas (desaparecen algunos archivos, o el contenido de parte de ellos). Las posibles acciones realizadas por el virus, serían reparables.

Daño grave. Pérdida de grandes cantidades de información y/o archivos. Aun así, parte de los datos podrían ser recuperables, aunque el proceso sería algo complicado y tedioso.

Daño muy grave/irreparable. En este caso se podría perder toda la información contenida en las unidades de disco infectadas (incluidas las unidades de red). Se podría además perder la estructura de cada una de las unidades de disco (por lo menos de la principal), mediante el formateo de éstas. Estos daños son muy difícilmente reparables y algunos de ellos irreparables. Además, se atacarán también e otros sistemas de memoria como la RAM, la CMOS y la BIOS, así como los sistemas de arranque y todos los archivos propios del sistema.

Algunos de los síntomas o efectos que podemos apreciar en nuestro computador, cuando el virus ha producido su infección o se ha activado (en función de la condición de activación), podrían ser los siguientes:

Nota: tenga en cuenta que algunos de los síntomas aquí comentados, podrían tener como causa otros problemas ajenos a los virus.

Lentitud. Se puede apreciar que el computador trabaja mucho más despacio de lo habitual. Tarda mucho más en abrir las aplicaciones o programas que utilizamos. Incluso el propio sistema operativo emplea mucho más tiempo en realizar operaciones sencillas que antes no le llevaban tanto tiempo.

Ejecución / Apertura. Cuando tratamos de poner en marcha un determinado programa o abrir un determinado archivo, este no se ejecuta o no se abre.

Desaparición de archivos y carpetas. Los archivos contenidos en algunas carpetas concretas (generalmente aquellas que pertenecen al sistema operativo o a ciertas aplicaciones), han desaparecido porque el virus las ha borrado. También podrían desaparecer directorios o carpetas completas.

Mensajes de error inesperados y no habituales. Aparecen cuadros de diálogo con mensajes absurdos, jocosos, hirientes, agresivos,... etc; que generalmente no aparecen en situaciones normales.

Imposible acceder al contenido de archivos. Cuando se abre un archivo, se muestra un mensaje de error, o simplemente esto es imposible. Puede ser que el virus haya modificado la Tabla de Asignación de Archivos, perdiéndose así las direcciones en las que éstos comienzan.

Disminución de espacio en la memoria y el disco duro. El tamaño libre en el disco duro disminuye considerablemente. Esto podría indicar que el virus ha infectado una gran cantidad de archivos y que se está extendiendo dentro del computador. Cuando ejecutamos algún programa, además aparecen mensajes indicando que no tenemos memoria suficiente para hacerlo (aunque esto no sea cierto, pues no tenemos muchos programas abiertos).

Sectores defectuosos. Se indica que alguna sección del disco en el que estamos trabajando, tiene errores y que es imposible guardar un archivo, o realizar cualquier tipo de operación en ella.

Alteración en las propiedades de los archivos. El virus modifica alguna o todas las características del archivo al que infecta. De esta manera, podremos apreciar, que la fecha/hora asociada a él (la de su creación o última modificación) es incorrecta, se han modificado sus atributos, el tamaño ha cambiado (cuando esto no debería suceder),...

Errores del sistema operativo. Al realizar ciertas operaciones -normales y soportables por el sistema operativo en otro tipo de circunstancias- aparecen mensajes de error, se realizan otras acciones no deseadas, o simplemente no ocurre nada.

Archivos duplicados. Si existe un archivo con extensión EXE, aparecerá otro con el mismo nombre que éste, pero con extensión COM (también programa). El archivo con extensión COM será el virus. El virus lo hace así porque, si existen dos archivos con el mismo nombre, el sistema operativo ejecutaría siempre en primer lugar el que tenga extensión COM.

Archivos renombrados. El virus habrá cambiado el nombre de los archivos a los que ha infectados y/o a otros concretos.

Problemas al prender el computador. El computador no arranca, o no lo hace de la forma habitual. Sería conveniente prender el computador con un disco de sistema o arranque y analizar todas las áreas del computador con un antivirus n línea de comandos.

Bloqueo del computador. En situaciones donde tenemos pocos programas abiertos (o ninguno) y la carga del sistema no es elevada, éste se bloquea (se queda "colgado") y nos impide continuar trabajando. Será necesario utilizar la combinación de teclas CTRL+ALT+SUPR. para poder eliminar la tarea que se ha bloqueado, o reiniciar el sistema.

El computador se apaga (se reinicia). Sin realizar ninguna operación extraña y mientras estamos trabajando normalmente con el computador, éste se apaga automáticamente y se vuelve a encender (se reinicia). Evidentemente, todo aquello que no hayamos guardado o grabado, se habrá perdido definitivamente.

El programa se cierra. Mientras estamos trabajando con una aplicación o programa, ésta se cierra sin haber realizado ninguna operación indebida o alguna que debería haber producido esta acción.

Se abre y cierra la bandeja del CD-ROM. Sin que intervengamos para nada en el equipo, la bandeja de la unidad lectora de CD-ROM, se abre y se cierra de forma autónoma. Esta acción es muy típica de los troyanos.

El teclado y/o el ratón no funcionan correctamente. Cuando utilizamos el teclado, éste no escribe lo que queremos, o realiza acciones que no corresponden a la combinación de teclas que hemos pulsado. Por otra parte, el puntero del ratón se mueve de forma autónoma por toda la pantalla, sin que nosotros lo movamos (o cuando lo movemos, realiza ciertas animaciones no habituales).

Desaparecen secciones de ventanas y/o aparecen otras nuevas. Determinadas secciones (botones, opciones de menú, residentes en la barra de tareas de Windows, textos,...) que deberían aparecer en una determinada ventana, han desaparecido y no se muestran en ella. También sería posible que en pantallas donde no debería aparecer nada, se muestren iconos extraños o contenidos que no son habituales en ellas (por ejemplo en la barra de tareas de Windows, junto al reloj del sistema).

EFECTOS DESTRUCTIVOS DE LOS VIRUS

Los efectos perniciosos que causan los Virus son variados; entre éstos se encuentran el formateo completo del disco duro, eliminación de la tabla de partición, eliminación de archivos, ralentización del sistema hasta limites exagerados, enlaces de archivos destruidos, archivos de datos y de programas corruptos, mensajes o efectos extraños en la pantalla, emisión de música o sonidos.

Formas de ocultamiento

Un Virus puede considerarse efectivo si, además de extenderse lo más ampliamente posible, es capaz de permanecer oculto al usuario el mayor tiempo posible; para ello se han desarrollado varias técnicas de ocultamiento o sigilo. Para que estas técnicas sean efectivas, el Virus debe estar residente en memoria, puesto que debe monitorizar el funcionamiento del sistema operativo. La base principal del funcionamiento de los Virus y de las técnicas de ocultamiento, además de la condición de programas residentes, la intercepción de interrupciones. El DOS y los programas de aplicación se comunican entre sí mediante el servicio de interrupciones, que son como subrutinas del sistema operativo que proporcionan una gran variedad de funciones a los programas. Las interrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco, abrir ficheros, fijar la hora del sistema, etc. Y es aquí donde el Virus entra en acción, ya que puede sustituir alguna interrupción del DOS por una suya propia y así, cuando un programa solicite un servicio de esa interrupción, recibirá el resultado que el Virus determine.Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que esconde los posibles signos de infección del sistema. Los síntomas más claros del ataque de un Virus los encontramos en el cambio de tamaño de los ficheros, de la fecha en que se crearon y de sus atributos, y en la disminución de la memoria disponible.Estos problemas son indicadores de la posible presencia de un Virus, pero mediante la técnica stealth es muy fácil (siempre que se encuentre residente el Virus) devolver al sistema la información solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo es fundamental que cuando vayamos a realizar un chequeo del disco duro arranquemos el ordenador con un disco de sistema totalmente limpio.

Prevención, detección y eliminación.

Una buena política de prevención y detección nos puede ahorrar muchos inconvenientes. Las medidas de prevención pasan por el control, en todo momento, del software ya introducido o que se va a introducir en nuestro ordenador, comprobando la fiabilidad de su fuente. Esto implica la actitud de no aceptar software no original, ya que el pirateo es una de las principales fuentes de contagio de un Virus, siendo también una practica ilegal y que hace mucho daño a la industria del software.Por supuesto, el Sistema Operativo (SO), que a fin de cuentas es el elemento software más importante del ordenador, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa que ejecutemos resultara también contaminado. Por eso, es imprescindible contar con una copia en disquetes del sistema operativo, protegidos éstos contra escritura; esto último es muy importante, no solo con el S.O. sino con el resto de disquetes que poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya que un Virus no puede escribir en un disco protegido de esta forma. Por último es también imprescindible poseer un buen software antiVirus, que detecte y elimine cualquier tipo de intrusión en el sistema.

Antivirus y Vacunas

A partir de la proliferación de los Virus, se ha desarrollado igualmente una industria dedicada a la creación de programas, llamados Vacunas, que tienen como finalidad detectarlos, erradicarlos y prevenir las infecciones virales.El problema con los Virus es que están, escritos en códigos de programación muy diferentes, que tienen características de funcionamiento muy diversas, lo que hace que los programas antiVirus, antibióticos o vacunas, como se les denomina, sólo sean eficaces para combatir el tipo de Virus para el cual fueron diseñados.Existe gran cantidad de Vacunas, pero debemos tener en cuenta que se han descubierto muchos más Virus, los cuales aunados a las modificaciones que se les agregan, representan grandes retos para los programadores que se dedican a ayudar en la cruzada AntiVirus. En diferentes partes del mundo sin embargo, existen asociaciones que se han dedicado a la creación de programas AntiVirus que ayudan a erradicar muchos Virus, y se actualizan de tal manera que son capaces de reconocer un Virus días después de haberse conocido.En caso de encontrar algún Virus, el programa da un mensaje que indica el directorio, nombre del archivo y nombre del Virus, que se encontró, veamos un ejemplo:\DOS\COMMAND.COM se encontró DARK AVENGER [DAV] \LOTUS\123.EXE se encontró MICHELANGELO [MICH] \WP51\WP.EXE se encontró STONED [STONED].El primer mensaje indica que al revisar el programa del COMMAND.COM, se encontró que el Virus Dark Avenger, había incrustado en él algunas instrucciones ajenas. De igual modo, MICH y STONED modificaron los ejecutables de Word Perfect y Lotus.Si al hacer su revisión, el programa, no encuentra Virus en el sistema, lo señala emitiendo el siguiente mensaje:

"Su sistema y unidades de disco están libres de Virus".

¡Nos guste o no, tendremos que aprender a convivir con ellos!

Este mismo programa destruye los Virus, haciendo la función de antibiótico.El antibiótico o antiVirus saca el Virus parásito del programa ejecutable, dejándolo limpio. Lamentablemente en muchas ocasiones el programa queda dañado, por lo que no correrá en el futuro.La creciente conexión de usuarios a Internet y el envío de correos electrónicos por esa vía, permiten a los piratas infectar con gran facilidad a muchos usuarios de todo el mundo. Sin embargo, podemos afirmar que si se siguen los pasos pertinentes y se emplean antiVirus apropiados para la función que se realiza, entonces la posibilidad de infección se reduce ostensiblemente.Mencionaremos ahora algunos antiVirus destacados:Panda NOD 32AVP (Kaspersky) NortonSophos InoculateIT,F - Secure MacAfeeDe cada uno de los cuales podemos destacar virtudes y defectos, en dependencia de la tarea que le asignemos.

HIPERVINCULOSLos siguientes hipervínculos encontraras mas información sobre los virus y las bacterias informáticos:

https://www.youtube.com/watch?v=7vqshsymVr4

https://www.youtube.com/watch?v=pwDoVho0lvQ

¡GRACIAS!