informticos. Mtodos de
infeccin
Comentarios (5)
Los virus son cada vez ms sofisticados y actualmente
basta con copiar un archivo para que todo el sistema se
infecte. Los virus permanecen en la memoria de la computadora
y comienzan a infectar todo lo que pasa por la computadora.
En la actualidad, y debido a la vulnerabilidad de los sistemas
informticos al estar permanentemente expuestos por el uso
frecuente de Internet, circulan diferentes tipos de virus que se
modifican y evolucionan con el fin de lograr sus objetivos.
Virus de sobreescritura
Los virus del tipo de sobreescritura poseen la habilidad de destruir
todo o parte del contenido de un archivo infectado por
l, ya que cuando un fichero es infectado por el virus, este escribe
datos dentro del mismo, dejando a este archivo total o
parcialmente intil.
Una caracterstica que define a este tipo de virus informtico, es
que los archivos no aumentarn de tamao en caso de una
infeccin, esto es debido a que el virus oculta su cdigo
reemplazando parte del cdigo propio del archivo infectado.
Este es uno de los virus ms perjudiciales que circulan en la
actualidad.Lamentablemente una de las pocas formas que
existen de erradicar el virus, es eliminado el archivo infectado, con
la consiguiente prdida de los datos escritos en l.
Virus polimrficos
Los virus polimrficos, una tcnica muy sofisticada y que demanda
mucho conocimiento por parte del desarrollador, son aquellos
que poseen la habilidad de encriptarse de un modo
diferente y variable con cada nueva infeccin que realizan.
Su principal caracterstica consiste en que con cada replicacin,
utilizan diferentes claves y algoritmos de encriptacin, de
modo que las cadenas que componen su cdigo, una especie de
firma para los sistemas antivirus, varan de tal forma que nunca
lograrn concordar con las firmas existentes en las bases de datos
que utilizan estos antivirus para su deteccin.
Debido a la utilizacin de esta complicada tcnica, estos virus son
capaces de generar gran cantidad de copias de s mismos,
pero nunca iguales.
Polimorfismo
Este es el metodo mas avanzado de contagio logrado por los programadores de
virus.
La tecnica basica usada es la de insersion del codigo viral en un archivo
ejecutable, pero para evitar el aumento de tamao del archivo infectado, el virus
compacta parte de su codigo y del codigo del archivo anfitrion de manera que la
suma de ambos sea igual al tamao original del archivo. Al ejecutar el programa
infectado actua primero el codigo del virus descompactando en memoria las
porciones previamente compactadas.
Una variante mejorada de esta tecnica permite a los virus usar metodos de
encriptacion dinamicos para disfrazar el codigo del virus y evitar ser detectados
por los antivirus.
Sustitucion
El metodo de sustitucion, usado con variantes por los camaleones y los caballos
de troya, es quizas el metodo mas tosco. Consiste en sustituir el codigo completo
del archivo original por el codigo del virus. Al ejecutar el programa infectado el
unico que actua es el virus, que cumple con sus tareas de contagiar otros archivos
y luego termina la ejecucion del programa reportando algun tipo de error.
Esta tecnica tiene sus ventajas, ya que en cada infectacion virica se eliminan
archivos de programas validos, los cuales son reemplazados por nuevas copias
del virus.
http://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Comoatacan-los-virus.php
http://penta.ufrgs.br/gereseg/unlp/t1aestra.htm
-Infeccin y propagacin
1.
Infeccin: Al ejecutar un archivo infectado (el cdigo del virus se ha i
en el archivo anteriormente) comienza la fase de infeccin, duplicndose e
implantndose en otros archivos ejecutables. Comienza la "invasin" del sist
informtico. La vctima, an no es consciente de la existencia del virus ya qu
permanece oculto y sin causar daos apreciables.
2.
Expansin: El virus pasar a otros ordenadores, a travs de redes info
disquetes y CDs que contengan archivos infectados, software en Internet, ar
adjuntos a mensaje electrnico, etc.
3.
Explosin: Si el virus no ha sido detectado y destruido por algn prog
antivirus, en un momento determinado o bajo determinadas circunstancias, t
control del ordenador infectado, ejecutando la accin para la que fue program
este momento, debido a los trgicos efectos que pueden llegar a ocasionar, s
evidente su existencia, acabando con informacin vital contenida en el sistem
informtico.
Mtodos de propagacin de los virus informticos
Las unidades de disco: son otro mtodo para que un virus se transmita por
ellas se guardan ficheros (adjuntos, comprimidos o descargados), programas
las unidades ms utilizadas estn CDs, DVDs, disquetes o discos extrables.
Existen varios mtodos utilizados por los virus informticos para propagase,
se explican a continuacin:
1.- Aadidura o empalme
https://sites.google.com/site/compusebastian/unidad-iv---virus-informatico/infeccion-y-propagacion
Clases
Todos los virus tienen en comn una caracterstica, y es que crean efectos perniciosos. A conti
presentamos la clasificacin de los virus informticos, basada en el dao que causan y efectos
provocan.
Caballo de Troya:
Es un programa daino que se oculta en otro programa legtimo, y que produce sus efectos perniciosos al eje
ltimo. En este caso, no es capaz de infectar otros archivos o soportes, y slo se ejecuta una vez, aunque es s
mayora de las ocasiones, para causar su efecto destructivo.
Gusano o Worm:
Es un programa cuya nica finalidad es la de ir consumiendo la memoria del sistema, se copia asi mismo suc
hasta que desborda la RAM, siendo sta su nica accin maligna.
Virus de macros:
Un macro es una secuencia de ordenes de teclado y mouse asignadas a una sola tecla, smbolo o comando. S
cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plan
contienen, hacindose pasar por una macro y actuaran hasta que el archivo se abra o utilice.
Virus de sobreescritura:
Sobrescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.
Virus de Programa:
Comnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos pri
atacados ms frecuentemente por que se utilizan mas.
Virus de Boot:
Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y el sector de arranque mae
Boot Record) de los discos duros; tambin pueden infectar las tablas de particiones de los discos.
Virus Residentes:
Se colocan automticamente en la memoria de la computadora y desde ella esperan la ejecucin de algn pro
utilizacin de algn archivo.
Virus de enlace o directorio:
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y com
no es posible localizarlos y trabajar con ellos.
Virus mutantes o polimrficos:
Son virus que mutan, es decir cambian ciertas partes de su cdigo fuente haciendo uso de procesos de encrip
misma tecnologa que utilizan los antivirus. Debido a estas mutaciones, cada generacin de virus es diferente
anterior, dificultando as su deteccin y eliminacin.
Virus falso o Hoax:
Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes distribuidas a travs del co
y las redes. Estos mensajes normalmente informan acerca de peligros de infeccin de virus, los cuales mayor
falsos y cuyo nico objetivo es sobrecargar el flujo de informacin a travs de las redes y el correo electrnic
mundo.
Virus Mltiples:
Son virus que infectan archivos ejecutables y sectores de booteo simultneamente, combinando en ellos la ac
virus de programa y de los virus de sector de arranque.
Para obtener informacin de antivirus para eliminar los diferentes tipo de virus presentados anteriormente vi
antivirus
-Concepto
-Correccin y prevencin
Copias de seguridad:
Realice copias de seguridad de sus datos. stas pueden realizarlas en el soporte que d
disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del orde
protegido de campos magnticos, calor, polvo y personas no autorizadas.
No instale los programas desde los disquetes originales. Haga copia de los discos y uti
realizar las instalaciones.
Evite utilizar copias de origen dudoso, la mayora de las infecciones provocadas por vir
a discos de origen desconocido.
Utilice contraseas:
Ponga una clave de acceso a su computadora para que slo usted pueda acceder a ell
Anti-virus:
Un anti-virus que no est actualizado puede ser completamente intil. Todos los anti-v
existentes en el mercado permanecen residentes en la computadora pata controlar tod
operaciones de ejecucin y transferencia de ficheros analizando cada fichero para dete
tiene virus, mientras el usuario realiza otras tareas.
-Deteccin
Cmo s si mi computadora est infectada?
Los anteriores son sntomas comunes de una infeccin, pero tambin pueden indicar problema
hardware o software que nada tienen que ver con un virus. A menos que ejecute la herramien
Microsoft para la eliminacin de programas malintencionados e instale programas estndar de
y que est al da el software antivirus en su computadora, no hay forma de saber con certeza
computadora est infectada con un virus o no.
Sugerencia Preste atencin a los mensajes que le advierten que ha enviado un correo
que contena un virus. Esto indica que el virus ha reconocido su direccin de correo ele
como remitente de correo electrnico infectado. Esto no significa necesariamente que
computadora est infectada con un virus. Algunos virus pueden falsificar direcciones d
electrnico. Asimismo, existe una categora de programas malintencionados llamada p
seguridad falsos que funcionan haciendo que aparezcan alertas de virus falsas en su c
-Origen y antecedentes
1998: Aparecen un nuevo tipo de virus macro que ataca a las base
en MS-Access. Llega CIH o Chernobyl que sera el primer virus que re
afecta al hardware del ordenador.
mviles,
smartphones,
tablets
incluso
ordenador
se
haya
alistado
un
ejrcito
de
blindados!, nuestro
fortaleza,
nuestro
ordenador
router
una
es
una
muralla
infranqueable.
Lamentablemente esto no es as, y los cibercriminales lo
saben. Aprovechan nuestra mayor vulnerabilidad, que vosotros
sabis perfectamente cual es verdad?
Bueno pues si aparentemente hemos adoptado las medidas
de seguridad, Qu agujeros nos quedan por tapar?
el
mensaje
parte
de
un
ciberdelincuente,
ESTAR
SEGURO
DE
QUERER
INSTALAR?,
al
USB
de
nuestros
equipos,
YA
ESTAMOS
Los
cibercriminales
utilizan
tcnicas
de
camuflaje
de
sus
explota
(Internet
Explorer,
Chrome,
Firefox,
etc.)
pero
tambin
estn
alojados
en
pginas
web,
por
lo
que
los
vez
ms
generalizada,
la
infeccin
mediante
la
propia
navegacin web.
Aunque os parezca complicado de entender el funcionamiento es
muy simple, solo tienen que atraernos hasta su pgina web
dedicada exclusivamente para su maldad. O en otros casos se
limitan en infectar sitios web, poco protegidos, para hacernos llegar
hasta ellos y transferirnos su regalito
Un claro ejemplo de este tipo de infeccin es el conocido como
Virus de la Polica del que tanto se ha hablado en este blog (ver
todas las entradas sobre el RANSOMWARE), y que todava sigue
cambiando de disfraz para llegar al internauta menos protegido y
menos informado.
DAY),
que
es
como
se
denomina
a cualquier
tienen los
de
ejrcitos
de
ordenadores
zombies,
que
sin
os
lo
digo, debemos
informarnos
debemos
informar,
debemos
educar
todo
nuestro
Es
totalmente
necesario
disponer
de
un
programa
capacidad
para
analizar
todos
nuestros
Adems disponer
de
otros
programas
detecten
los
Debemos
tener
desactivado,
SIEMPRE,
todas
las
No
descuidarnos
mediante
descargas
la
en
hora
de
internet
compartir
(P2P)
por
archivos,
soportes
equipo
y no hayan sido
ESTRATEGIAS DE INFECCIN
Debido a la gran capacidad de evolucin que se les otorga, los nuevos
virus nacen con el conocimiento de las tcnicas utilizadas por las
herramientas antivirus actuales y sabiendo cules son sus puntos dbiles.
En base a ello utilizan tcnicas cada vez ms complejas para ocultarse y
evitar ser detectados. Algunas de las estrategias ms utilizadas son las
siguientes:
Aadidura o empalme: por este mtodo el cdigo del virus se agrega al final
del archivo ejecutable a infectar, modificando las estructuras de arranque del
archivo anfitrin de manera que el control del programa pase primero al virus
cuando se quiera ejecutar el archivo. Este cambio de secuencia permite al virus
realizar sus tareas especificas y luego pasar el control al programa para que este
se ejecute normalmente. La principal desventaja de este mtodo es que el tamao
del archivo infectado es mayor al original, lo que permite una fcil deteccin.
Insercin: los virus que utilizan este mtodo buscan alojarse en zonas
de cdigo no utilizadas o en segmentos de datos dentro de los archivos que
contagian, de esta manera la longitud total del archivo infectado no
aumenta. Este mtodo, parecido al de empalme, exige mayores tcnicas de
programacin de los virus para poder detectar las zonas posibles de
El caso Morris
http://www.tochtli.fisica.uson.mx/antivirus/casos.htm
http://www.spi1.nisu.org/recop/al01/javizq/estrategias.html
1.
Virus informticos
2.
Especies de Virus
3.
Formas de Contagio
4.
5.
6.
Conclusiones
7.
Bibliografa
8.
Anexos
INTRODUCCIN
Hoy resulta muy difcil imaginar un mundo sin computadoras. La idea de una sociedad totalmente
informatizada, que muchos consideraban una mera fantasa, se ha transformado en pocos aos en
realidad, al mismo tiempo que la tecnologa ha avanzado y ha podido ser aplicada a diversos
mbitos de la ciencia y de la vida cotidiana. Introducir una tarjeta magntica en un cajero
automtico y conseguir que ste nos de dinero resulta un buen ejemplo para ilustrar esta compleja
dependencia a la que nos hemos acostumbrado.
En el ao 1981, se fabric la primera computadora personal, lo que supuso el inicio de
una revolucin tecnolgica cuya magnitud slo puede compararse a la invencin de la rueda o de
la mquina a vapor.
Sin embargo, en el ao 1983, un estudiante de la Universidad de California del Sur identificado con
el nombre de Fred Cohen, present un experimento sobre seguridad informtica. Este personaje
fue el iventor del primer virus informtico.
A partir de ese momento, comenz el dolor de cabeza para cualquier sistema.
VIRUS INFORMTICOS
Un virus es un programa o secuencia de instrucciones que un ordenador es capaz de interpretar y
ejecutar, todo virus ha de ser programado y realizado por expertos informticos.
Su misin principal es introducirse, lo ms discretamente posible en un sistema informtico y
permanecer en un estado de latencia hasta que se cumple la condicin necesaria para activarse.
Las posibles vas de transmisin de los virus son: los discos, el cable de una red y el cable
telefnico.
Lo primero que hace un virus tpico, cuando se ejecuta el programa infectado, es situar su
propio cdigo en una parte de la memoria permaneciendo residente en ella. Todo lo que ocurra a
Camaleones: Son una variedad de similar a los Caballos de Troya, pero actan como
otros programas comerciales, en los que el usuario confa, mientras que en realidad estn
haciendo algn tipo de dao. Cuando estn correctamente programados, los camaleones pueden
realizar todas las funciones de los programas legtimos a los que sustituyen (actan como
programas de demostracin de productos, los cuales son simulaciones de programas reales).
Un software camalen podra, por ejemplo, emular un programa de acceso a sistemas remotos
(rlogin, telnet) realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta
a los usuarios) va almacenando en algn archivo los diferentes logins y passwords para que
posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camalen.
En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo
desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el virus
presente su caracterstica de cambio de formas debe poseer algunas rutinas especiales. Si
mantuviera siempre su estructura, est encriptado o no, cualquier antivirus podra reconocer ese
patrn.
Para eso incluye un generador de cdigos al que se conoce como engine o motor de mutacin.
Este engine utiliza un generador numrico aleatorio que, combinado con un algoritmo matemtico,
modifica la firma del virus. Gracias a este engine de mutacin el virus podr crear una rutina de
desencripcin que ser diferente cada vez que se ejecute.
Los mtodos bsicos de deteccin no pueden dar con este tipo de virus. Muchas veces para virus
polimorfos particulares existen programas que se dedican especialmente a localizarlos y
eliminarlos. Algunos softwares que se pueden baja gratuitamente de Internet se dedican solamente
a erradicar los ltimos virus que han aparecido y que tambin son los ms peligrosos. No los
fabrican empresas comerciales sinogrupos de hackers que quieren protegerse de otros grupos
opuestos. En este ambiente el presentar este tipo de soluciones es muchas veces una forma de
demostrar quien es superior o quien domina mejor las tcnicas de programacin.
Las ltimas versiones de los programas antivirus ya cuentan con detectores de este tipo de virus.
Virus sigiloso o stealth: El virus sigiloso posee un mdulo de defensa bastante
sofisticado. Este intentar permanecer oculto tapando todas las modificaciones que haga y
observando cmo el sistema operativo trabaja con los archivos y con el sector de booteo.
Subvirtiendo algunas lneas de cdigo el virus logra apuntar el flujo de ejecucin hacia donde se
encuentra la zona que infectada.
Es difcil que un antivirus se de cuenta de estas modificaciones por lo que ser imperativo que el
virus se encuentre ejecutndose en memoria en el momento justo en que el antivirus corre. Los
antivirus de hoy en da cuentan con la tcnica de verificacin de integridad para detectar los
cambios realizados en las entidades ejecutables.
El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector de arranque de
los disquetes e intercepta cualquier operacin de entrada / salida que se intente hacer a esa zona.
Una vez hecho esto rediriga la operacin a otra zona del disquete donde haba copiado
previamente el verdadero sector de booteo.
Este tipo de virus tambin tiene la capacidad de engaar al sistema operativo. Un virus se adiciona
a un archivo y en consecuencia, el tamao de este aumenta. Est es una clara seal de que un
virus lo infect. La tcnica stealth de ocultamiento de tamao captura las interrupciones del sistema
operativo que solicitan ver los atributos del archivo y, el virus le devuelve la informacin que posea
el archivo antes de ser infectado y no las reales. Algo similar pasa con la tcnica stealth de lectura.
Cuando el SO solicita leer una posicin del archivo, el virus devuelve los valores que debera tener
ah y no los que tiene actualmente.
Este tipo de virus es muy fcil de vencer. La mayora de los programas antivirus estndar los
detectan y eliminan.
Virus lentos: Los virus de tipo lento hacen honor a su nombre infectando solamente los
archivos que el usuario hace ejecutar por el SO, simplemente siguen la corriente y aprovechan
cada una de las cosas que se ejecutan. Por ejemplo, un virus lento nicamente podr infectar el
sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo
en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al
original intacto.
Virus voraces: Estos virus alteran el contenido de los archivos de forma indiscriminada.
Generalmente uno de estos virus sustituir el programa ejecutable por su propio cdigo. Son muy
peligrosos porque se dedican a destruir completamente los datos que puedan encontrar.
Realice copias de seguridad de sus datos. stas pueden realizarlas en el soporte que desee,
disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y
protegido de campos magnticos, calor, polvo y personas no autorizadas.
Copias de programas originales:
No instale los programas desde los disquetes originales. Haga copia de los discos y utilcelos para
realizar las instalaciones.
No acepte copias de origen dudoso:
Evite utilizar copias de origen dudoso, la mayora de las infecciones provocadas por virus se deben
a discos de origen desconocido.
Utilice contraseas:
Ponga una clave de acceso a su computadora para que slo usted pueda acceder a ella.
Anti-virus:
Tenga siempre instalado un anti-virus en su computadora, como medida general analice todos los
discos que desee instalar. Si detecta algn virus elimine la instalacin lo antes posible.
Actualice peridicamente su anti-virus:
Un anti-virus que no est actualizado puede ser completamente intil. Todos los anti-virus
existentes en el mercado permanecen residentes en la computadora pata controlar todas
las operaciones de ejecucin y transferencia de ficheros analizando cada fichero para determinar si
tiene virus, mientras el usuario realiza otras tareas.
Efectos de los Virus en las Computadoras
Cualquier virus es perjudicial para un sistema. Como mnimo produce una reduccin de
la velocidad de proceso al ocupar parte de la memoria principal. Estos efectos se pueden
diferenciar en destructivos y no destructivos.
Efectos no destructivos:
Emisin de mensajes en pantalla:
Es uno de los efectos ms habituales de los virus. Simplemente causan la aparicin de pequeos
mensajes en la pantalla del sistema, en ocasiones se trata de mensajes humorsticos, de
Copyright, etc. Ejemplo:
Soupy: "Get ready.." cause THERES A VIRUS IN YOUR SOUP!
Casino: "DISK DESTROYER. A SOUVENIR FROM MALTA".
Borrado a cambio de la pantalla:
Tambin es muy frecuente la visualizacin en pantalla de algn efecto generalmente para llamar la
atencin del usuario. Los efectos usualmente se producen en modo texto. En ocasiones
la imagen se acompaa de efectos de sonido. Ejemplo:
Ambulance: Aparece una ambulancia movindose por la parte inferior de la pantalla al tiempo que
suena una sirena.
Walker: Aparece un mueco caminando de un lado a otro de la pantalla.
Efectos destructivos:
Desaparicin de ficheros:
Ciertos virus borran generalmente ficheros con extensin exe y com, por ejemplo una variante del
Jerusalem-B se dedica a borrar todos los ficheros que se ejecutan.
Formateo de discos duros:
El efecto ms destructivo de todos es el formateo del disco duro. Generalmente el formateo se
realiza sobre los primeros sectores del disco duro que es donde se encuentra la informacin
relativa a todo el resto del disco.
CONCLUSIONES
Un virus es un programa pensado para poder reproducirse y replicarse por s mismo,
introducindose en otros programas ejecutables o en zonas reservadas del disco o la memoria.
Sus efectos pueden no ser nocivos, pero en muchos casos hacen un dao importante en el
ordenador donde actan. Pueden permanecer inactivos sin causar daos tales como el formateo
de los discos, la destruccin de ficheros, etc.
Tener siempre a mano un disco de arranque limpio. Este disco de arranque se crea formateando un
disquete con FORMAT/S de forma que se incluyen ficheros de arranque IO.SYS, MSDOS.SYS y
COMMAND.COM. Este disco permitir arrancar el ordenador.
Utilizar un anti-virus
Tener una lista con la configuracin del equipo, es decir, los parmetros de todas
las tarjetas, discos y otros dispositivos.
Los temas de proteccin de los sistemas operativos son preocupantes por los siguientes motivos:
El ms evidente es la necesidad de prevenir la violacin intencionada y maliciosa de una restriccin
de acceso, por parte de un usuario del sistema. Sin embargo, es de importancia ms general la
necesidad de asegurar que cada componente de un programa nicamente utiliza los recursos del
mismo segn los criterios que establezca el sistema operativo.
Para construir un sistema de proteccin se tiene que definir; por un lado, la estrategia de proteccin
(de qu fallos hay que proteger al sistema) y por otro, los mecanismos de proteccin (cmo hacer
que se consiga la proteccin definida por la estrategia).
BIBLIOGRAFA
Enciclopedia Aula Siglo XXI. (2001). Curso de Orientacin Escolar. Grficas Reunidas S.A.
Espaa
En la actualidad son muchas las amenazas a las que los usuarios de sistemas
informticos estamos expuestos: virus, spam, hoaxes, phising, etc. Conoce
estos conceptos? Pues tratemos de enfocarlos de forma clara y rpida.
Iniciemos con lo que denominamos Virus Informtico, un trmino que se
conoce desde hace ms de 20 aos, pero que ha variado notablemente su
definicin con el tiempo. Los programas denominados virus informticos, en
contraposicin de los programas normales, son aquellos capaces de realizar
acciones dainas sin el consentimiento ni el conocimiento del usuario. Los
primeros virus se reproducan de equipo en equipo utilizando los disquetes, que
eran los medios disponibles en ese entonces, lo que reduca la velocidad de
contagio, pero al masificarse las redes e Internet en muchos hogares y
organizaciones, la velocidad en la que se propagan estos programas tuvieron
un incremento significativo. Si al principio se tardaba relativamente mucho
tiempo entre crear el virus y hacerlo llegar al usuario, en la actualidad puede
distribuirse un virus casi inmediatamente despus de su creacin. Actualmente
los virus informticos no son las nicas amenazas a las que se enfrenta el
usuario promedio. Aparece el trmino anglosajn Malware (Malicious Software)
que agrupa a todo componente posible que pueda daar de alguna manera
nuestro sistema informtico. Ahora no se hace distincin si el dao es
ocasionado sin intencin o de forma explcita. En el primer caso (sin intencin)
el malware infecta la mquina husped, consumiendo sus recursos sin realizar
ms acciones, pero tornando lento el sistema o tornndolo inestable. Explcito
es cuando realiza una accin daina premeditada por el programador del
malware, como borrar archivos o formatear el disco.
Origen del Malware
Inicialmente solo se identificaba un tipo de malware. Se lo llam virus
informtico debido a las semejanzas que estos programas presentaban con los
virus biolgicos. Nacieron como experimientos matemticos en laboratorios al
buscarse alternativas para tcnicas de vida artificial. Al principio solo podan
infectar archivos del sistema operativo DOS y mantenan una baja tasa de
reproduccin, sobre todo debido a los mtodos que utilizaban.
Pero ya con software y sistemas operativos ms avanzados, los virus tambin
evolucionaron hasta llegar a las formas de malware actuales, lo que hace
extensa su clasificacin.
Clasificacin del Malware
Aunque clasificar el malware puede resultar agotador y profundo, puede
resumirse en:
De programas ejecutables
Residentes en memoria
De sector de arranque
De correo electrnico
Gusanos (worm)
Exploits
Rootkits
Backdoors
Keyloggers
Ransomware
Spam
Hoax
Scam
Phishing
Spyware
Adware
Virus Informticos
Aunque John von Neumann hacia 1950 estableci por primera vez la idea de
programas auto-replicantes dando origen a muchas investigaciones sobre
Inteligencia y Vida Artificial, fue recin en 1983 que Fred Cohen y Len Adleman
lo definen como virus y experimentan inicialmente sobre un sistema Unix.
Al presente, un Virus Informtico se lo considera al archivo o porcin de cdigo
ejecutable que puede reproducirse, auto-ejecutarse y ocultarse, un modelo
DAS que involucra ser Daino, Auto-replicante y Subrepticio (secretamente).
Estos programas malintencionados que modifican de alguna forma a otro
programa para lograr sus objetivos de reproduccin, funcionan de manera
general segn el siguiente esquema:
Tanto
los
virus
biolgicos
como
los
informticos
carecen
de
combinarlas. Cabe recordar que actualmente los virus informticos son una
parte del denominado Software Malicioso o Malware (Malicious Software). Es un
error muy comn indicar que los gusanos y troyanos son tambin virus
informticos, porque debido a su forma de actuar y reproducirse no pueden ser
considerados como tales, sino como otro tipo malware. Por lo tanto, la
clasificacin de los virus informticos quedara con: virus de programas
ejecutables, virus residentes en memoria, virus de sector de arranque,
macrovirus y virus de correo electrnico.
A lo largo de estas semanas en estos artculos ilustraremos de la mejor manera
lo relacionado a las amenazas informticas (malware) y cmo puede usted
protegerse de ellas y eliminarlas en caso de que infecten sus sistemas.
http://blog.networkec.com/2008/01/13/%C2%BFsabe-como-utilizar-los-mediosinformaticos-en-forma-segura-1ra-parte/
El primer virus atac a una mquina IBM Serie 360 (y reconocido como tal). Fue
llamado Creeper, creado en 1972. Este programa emita peridicamente en la
pantalla el mensaje: I'm a creeper... catch me if you can! (Soy una
enredadera... agrrame si puedes!). Para eliminar este problema se cre el
primer programa antivirus denominado Reaper (cortadora).
Sin embargo, el trmino virus no se adoptara hasta 1984, pero stos ya existan
desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro
programadores (H. Douglas Mellory, Robert Morris, Victor Vysottsky y Ken
Thompson) desarrollaron un juego llamado Core War, el cual consista en ocupar
toda lamemoria RAM del equipo contrario en el menor tiempo posible.
Despus de 1984, los virus han tenido una gran expansin, desde los que atacan
los sectores de arranque de disquetes hasta los que se adjuntan en un correo
electrnico.
ndice
[ocultar]
1.1 MS-Windows
2 Caractersticas
3 Mtodos de propagacin
4 Mtodos de proteccin
o
4.1 Activos
4.2 Pasivos
5 Tipos de virus
7 Vase tambin
8 Enlaces externos
MS-Windows[editar]
Las mayores incidencias se dan en el sistema operativo Windows debido, entre
otras causas, a:
alguno, motiva a los creadores de software malicioso a desarrollar nuevos virus; y as,
al atacar sus puntos dbiles, aumentar el impacto que generan.
Unix y derivados[editar]
En este artculo se detectaron los siguientes problemas:
Estos Sistemas Operativos cuentan con una cuota de uso mucho menor, por lo
que son menos interesantes a la hora de llevar a cabo ataques de pishing o similares
cuyo principal objetivo es el de robar informacin, por ejemplo para Data mining.
Los directorios o carpetas que contienen los archivos vitales del sistema operativo
cuentan con permisos especiales de acceso, por lo que no cualquier usuario o
programa puede acceder fcilmente a ellos para modificarlos o borrarlos. Existe una
jerarqua de permisos y accesos para los usuarios.
Caractersticas[editar]
Dado que una caracterstica de los virus es el consumo de recursos, los virus
ocasionan problemas tales como: prdida de productividad, cortes en los sistemas
de informacin o daos a nivel de datos.
Una de las caractersticas es la posibilidad que tienen de diseminarse por medio
de replicas y copias. Las redes en la actualidad ayudan a dicha propagacin
cuando stas no tienen la seguridad adecuada.
Otros daos que los virus producen a los sistemas informticos son la prdida de
informacin, horas de parada productiva, tiempo de reinstalacin, etc.
Hay que tener en cuenta que cada virus plantea una situacin diferente.
Mtodos de propagacin[editar]
Existen dos grandes clases de contagio. En la primera, el usuario, en un momento
dado, ejecuta o acepta de forma inadvertida la instalacin del virus. En la segunda,
el programa malicioso acta replicndose a travs de las redes. En este caso se
habla de gusanos.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir
una serie de comportamientos anmalos o imprevistos. Dichos comportamientos
pueden dar una pista del problema y permitir la recuperacin del mismo.
Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn
las siguientes:
Mtodos de proteccin[editar]
Los mtodos para disminuir o reducir los riesgos asociados a los virus pueden ser
los denominados activos o pasivos.
Activos[editar]
Antivirus: son programas que tratan de descubrir las trazas que ha dejado un
software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar
la contaminacin. Tratan de tener controlado el sistema mientras funciona parando las
vas conocidas de infeccin y notificando al usuario de posibles incidencias de
seguridad. Por ejemplo, al verse que se crea un archivo llamado Win32.EXE.vbs en la
carpeta C:\Windows\%System32%\ en segundo plano, ve que es comportamiento
sospechoso, salta y avisa al usuario.
Pasivos[editar]
No abrir documentos sin asegurarnos del tipo de archivo. Puede ser un ejecutable
o incorporar macros en su interior.
Tipos de virus[editar]
Existen diversos tipos de virus, varan segn su funcin o la manera en que este
se ejecuta en nuestra computadora alterando la actividad de la misma, entre los
ms comunes estn: Recicler: consiste en crear un acceso directo de un programa
y eliminar su aplicacin original, adems al infectar un pendrive convierte a toda la
informacin en acceso directo y elimina el original de modo que los archivos no
son recuperables
Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por s solos. Son
mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus
contactos. Suelen apelar a los sentimientos morales ("Ayuda a un nio enfermo de
cncer") o al espritu de solidaridad ("Aviso de un nuevo virus peligrossimo") y, en
Joke: Al igual que los hoax, no son virus, pero son molestos, un ejemplo: una
pgina pornogrfica que se mueve de un lado a otro, y si se le llega a dar a cerrar es
posible que salga una ventana que diga: OMFG!! No se puede cerrar!.
Otros tipos por distintas caractersticas son los que se relacionan a continuacin:
Virus residentes
Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto,
su objetivo prioritario es reproducirse y actuar en el mismo momento de ser
ejecutados. Al cumplirse una determinada condicin, se activan y buscan los
ficheros ubicados dentro de su mismo directorio para contagiarlos.
Virus de sobreescritura
Los trminos boot o sector de arranque hacen referencia a una seccin muy
importante de un disco o unidad de almacenamiento CD, DVD, memorias USB etc.
En ella se guarda la informacin esencial sobre las caractersticas del disco y se
Ms que un tipo de virus, se trata de una tcnica utilizada por algunos de ellos,
que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a s
mismos para no ser detectados por los programas antivirus. Para realizar sus
actividades, el virus se descifra a s mismo y, cuando ha finalizado, se vuelve a
cifrar.
Virus polimrficos
Son virus que en cada infeccin que realizan se cifran de una forma distinta
(utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una
elevada cantidad de copias de s mismos e impiden que los antivirus los localicen
a travs de la bsqueda de cadenas o firmas, por lo que suelen ser los virus ms
costosos de detectar.
Virus multipartites
1.
2.
3.
Formas de Infeccin
4.
Tcnica de Ocultacin
5.
6.
Virus de Macros
7.
Virus en Internet
8.
9.
10.
Inseguridad Informtica
2.
3.
4.
En este caso, al arrancar con un disco contaminado, el virus se queda residente en memoria RAM,
y a partir de ah, infectar el sector de arranque de todos los disquetes a los que se accedan, ya
sea al formatear o al hacer un DIR en el disco, dependiendo de cmo est programado el virus.
El proceso de infeccin consiste en sustituir el cdigo de arranque original del disco por una
versin propia del virus, guardando el original en otra parte del disco; a menudo el virus marca los
sectores donde guarda el boot original como en mal estado, protegindolos as de posibles
accesos, esto suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de
arranque, por lo que una vez residentes en memoria, efectan una llamada al cdigo de arranque
original, para iniciar el sistema y as aparentar que se ha iniciado el sistema como siempre, con
normalidad. Segundo, este procedimiento puede ser usado como tcnica de ocultamiento.
Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo
que en ste suele copiar una pequea parte de si mismo, y el resto lo guarda en otros sectores del
disco, normalmente los ltimos, marcndolos como defectuosos. Sin embargo, puede ocurrir que
alguno de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser
sobrescritos y as dejar de funcionar el virus.
La tabla de particin esta situada en el primer sector del disco duro, y contiene una serie de bytes
de informacin de cmo se divide el disco y un pequeo programa de arranque del sistema. Al
igual que ocurre con el boot de los disquetes, un virus de particin suplanta el cdigo de arranque
original por el suyo propio; as, al arrancar desde disco duro, el virus se instala en memoria para
efectuar sus acciones. Tambin en este caso el virus guarda la tabla de particin original en otra
parte del disco, aunque algunos la marcan como defectuosa y otros no. Muchos virus guardan la
tabla de particin y a ellos mismos en los ltimos sectores de disco, y para proteger esta zona,
modifican el contenido de la tabla para reducir el tamao lgico del disco. De esta forma el DOS no
tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.
Casi todos los virus que afectan la particin tambin son capaces de hacerlo en el boot de los
disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de disco duro
tendra un campo de trabajo limitado, por lo que suelen combinar sus habilidades.
Con todo, el tipo de virus que ms abunda es el de fichero; en este caso usan como vehculo de
expansin los archivos de programa o ejecutables, sobre todo .EXE y .COM, aunque tambin a
veces .OVL, .BIN y .OVR. AL ejecutarse un programa infectado, el virus se instala residente en
memoria, y a partir de ah permanece al acecho; al ejecutar otros programas, comprueba si ya se
encuentran infectados. Si no es as, se adhiere al archivo ejecutable, aadiendo su cdigo al
principio y al final de ste, y modificando su estructura de forma que al ejecutarse dicho programa
primero llame al cdigo del virus devolviendo despus el control al programa portador y
permitiendo su ejecucin normal.
Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya
que ste aumenta de tamao al tener que albergar en su interior al virus, siendo esta circunstancia
muy til para su deteccin. De ah que la inmensa mayora de los virus sean programados
en lenguaje ensamblador, por ser el que genera el cdigo ms compacto, veloz y de
menor consumo de memoria; un virus no seria efectivo si fuera fcilmente detectable por su
excesiva ocupacin en memoria, su lentitud de trabajo o por un aumento exagerado en el tamao
de los archivos infectados. No todos los virus de fichero quedan residentes en memoria, si no que
al ejecutarse se portador, stos infectan a otro archivo, elegido de forma aleatoria de ese directorio
o de otros.
Los efectos perniciosos que causan los virus son variados; entre stos se encuentran el formateo
completo del disco duro, eliminacin de la tabla de particin, eliminacin de archivos, ralentizacin
del sistema hasta limites exagerados, enlaces de archivos destruidos, archivos de datos y de
programas corruptos, mensajes o efectos extraos en la pantalla, emisin de msica o sonidos.
Tcnica de Ocultacin
Un virus puede considerarse efectivo si, adems de extenderse lo ms ampliamente posible, es
capaz de permanecer oculto al usuario el mayor tiempo posible; para ello se han desarrollado
varias tcnicas de ocultamiento o sigilo. Para que estas tcnicas sean efectivas, el virus debe estar
residente en memoria, puesto que debe monitorizar el funcionamiento del sistema operativo. La
base principal del funcionamiento de los virus y de las tcnicas de ocultamiento, adems de la
condicin de programas residentes, la intercepcin de interrupciones. El DOS y los programas de
aplicacin se comunican entre s mediante el servicio de interrupciones, que son como subrutinas
del sistema operativo que proporcionan una gran variedad de funciones a los programas. Las
interrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco, abrir ficheros, fijar
la hora del sistema, etc. Y es aqu donde el virus entra en accin, ya que puede sustituir alguna
interrupcin del DOS por una suya propia y as, cuando un programa solicite un servicio de esa
interrupcin, recibir el resultado que el virus determine.
Entre las tcnicas ms usuales cabe destacar el ocultamiento o stealth, que esconde los
posibles signos de infeccin del sistema. Los sntomas ms claros del ataque de un virus los
encontramos en el cambio de tamao de los ficheros, de la fecha en que se crearon y de sus
atributos, y en la disminucin de la memoria disponible.
Estos problemas son indicadores de la posible presencia de un virus, pero mediante la tcnica
stealth es muy fcil (siempre que se encuentre residente el virus) devolver al sistema la informacin
solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo es fundamental
que cuando vayamos a realizar un chequeo del disco duro arranquemos el ordenador con un disco
de sistema totalmente limpio.
La autoencriptacin o self-encryption es una de las tcnicas vricas ms extendidas. En la
actualidad casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que
infectan un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su
bsqueda. No obstante, todo virus encriptado posee una rutina de desencriptacin, rutina que es
aprovechada por los antivirus para encontrar el origen de la infeccin.
El mayor avance en tcnicas de encriptacin viene dado por el polimorfismo. Gracias a l un virus
no slo es capaz de encriptarse sino que adems vara la rutina empleada cada vez que infecta un
fichero. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del
mismo virus, y ante esta tcnica el tradicional mtodo de bsqueda de cadenas caractersticas
se muestra intil.
Otra tcnica bsica de ocultamiento es la intercepcin de mensajes de error del sistema.
Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar
escribir en el obtendramos el mensaje: "Error de proteccin contra escritura leyendo unidad A
Anular, Reintentar, Fallo?", por lo que descubriramos el anormal funcionamiento de nuestro
equipo. Por eso, al virus le basta con redireccionar la interrupcin a una rutina propia que evita la
salida de estos mensajes, consiguiendo as pasar desapercibido.
Prevencin, Deteccin y Eliminacin
Una buena poltica de prevencin y deteccin nos puede ahorrar sustos y desgracias. Las medidas
de prevencin pasan por el control, en todo momento, del software ya introducido o que se va a
introducir en nuestro ordenador, comprobando la fiabilidad de su fuente. Esto implica el escaneo,
con un buen programa antivirus, de todo el software que nos llega, y ante la ms mnima duda lo
mejor es deshacerse inmediatamente de este.
Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software ms importante
del ordenador, debe ser totalmente fiable; si ste se encuentra infectado, cualquier programa que
ejecutemos resultara tambin contaminado. Por eso, es imprescindible contar con una copia en
disquetes del sistema operativo, protegidos stos contra escritura; esto ultimo es muy importante,
no solo con el S.O. sino con el resto de disquetes que poseamos. Es muy aconsejable mantenerlos
siempre protegidos, ya que un virus no puede escribir en un disco protegido de esta forma. Por
ltimo es tambin imprescindible poseer un buen software antivirus, que detecte y elimine cualquier
tipo de intrusin en el sistema.
Virus para Windows 95/98
La existencia de estos sistemas operativos con bastantes diferencias tcnicas respecto a
desarrollos anteriores merece un estudio especial para comprobar cmo reaccionan ante virus
conocidos y el tipo de proteccin que ofrecen.
Ante la infeccin del sector de arranque (boot sector) Windows 95 reacciona sorprendentemente
bien, o al menos mucho mejor que sus antecesores. De hecho, frente a cualquier modificacin del
sector de arranque el sistema presenta un mensaje durante la inicializacin. Nos anuncia que algo
se ha cambiado y que la causa de tal hecho puede ser un virus de boot, aunque no
necesariamente.
Tambin debemos precisar que si hay un error al comprobar la tabla de particiones, el sistema nos
da el mismo aviso que en el caso anterior, lo que sin duda puede ser motivo de confusin. En
general siempre que en Windows 95 o 98 se d cuenta de un fallo en el sistema de ficheros que le
impida trabajar con la VFAT a pleno rendimiento, se inicia con el Sistema de archivos en modo
compatibilidad MS-DOS, sugiriendo como posible causa el ataque de un virus.
Que Microsoft achaque estos fallos a la accin de un virus es una solucin un tanto drstica, ya
que una falsa alarma puede ser tan peligrosa como la presencia real de un ingenio vrico.
A W98 no se conocen an una gran cantidad de virus, sin embargo, la lista crece cada da y nadie
que use este sistema operativo est a salvo.
Problemas con Windows 95
Este sistema operativo de Microsoft ha creado ms de un problema a las empresas de seguridad, y
no slo por el trabajo adicional de reprogramar sus desarrollos para adecuarse a las caractersticas
del entorno, sino tambin por algunos fallos de diseo propios de W95.
En MS-DOS (tambin en Windows 3.1) se podan solicitar informes al sistema de todas las
actividades realizadas, y todo ello en tiempo real. Es decir, a travs de un residente era factible
conseguir informacin sobre acciones como abrir, leer y escribir en ficheros, cambio de atributos,
etc. Cuando hablamos de tiempo real nos referimos al hecho de recibir la informacin solicitada en
el mismo momento en que se realiza la accin.
Desgraciadamente en W95 la cosa vara, ya que a pesar de tratarse de un sistema operativo
multitarea no se envan informes en tiempo real, sino cada determinados intervalos de tiempo o
cuando el procesador est menos ocupado. Por este motivo la programacin de un controlador
capaz de monitorizar el sistema con seguridad es muy difcil, ya que el antivirus recibe la
informacin de que se va a producir una infeccin cuando el fichero ya est infectado.
A pesar de ello, gran parte de los antivirus para Windows 95 incluyen drivers virtuales o
controladores VxD capaces de mantener bajo su atenta mirada el sistema en todo momento. De
todas formas, la realizacin de un driver de este tipo para W95 no es una tarea sencilla y acarrea
bastantes problemas. Adems, es importante que la proteccin se ofrezca en todo momento, es
decir, que se controle la interfaz grfica, la versin previa del sistema operativo, las sesiones DOS
y el modo MS-DOS 7.0 (arrancando sin la interfaz o al apagar el sistema). Desde luego todas estas
acciones no son controlables por un driver VxD exclusivamente.
Virus de Macros
Esta entre las novedades surgidas ltimamente en el mundo de los virus, aunque no son
totalmente nuevos, parece que han esperado hasta 1995 para convertirse en una peligrosa
realidad. Por desgracia, ya existe un nmero importante de virus de este tipo catalogados, que han
sido escritos en WordBasic, el potente lenguaje incluido en Microsoft Word.
Estos virus slo afectan a los usuarios de Word para Windows y consisten en un conjunto
de macros de este procesador de textos. Aunque el peligro del virus se restringe a los usuarios de
Word, tiene una importante propagacin ya que puede infectar cualquier texto, independientemente
de la plataforma bajo la que ste se ejecute: Mac, Windows 3.x, Windows NT, W95 y OS/2. Este es
el motivo de su peligrosidad, ya que el intercambio de documentos en disquete o por red es mucho
ms comn que el de ejecutables.
El primer virus de este tipo que sali a la luz se llamaba WordMacro/DMV y era inofensivo, ya
que slo anunciaba su presencia y guardaba un informe de sus acciones. Escrito por Joel
McNamara para el estudio de los virus de macros, fue desarrollado en 1994 pero su autor guard
el resultado hasta que observ la aparicin del virus conocido por WordMacro/Concept. Tras
ello, McNamara decidi hacer pblico su desarrollo esperando que la experiencia adquirida sirviera
de enseanza para todos los usuarios. Y aunque probablemente tenga un efecto negativo,
McNamara ha publicado tambin las pautas para crear virus que afecten a los ficheros de Excel.
WinMacro/Concept, tambin conocido como WW6Infector, WBMV-Word Basic Macro Virus
o WWW6 Macro, no es demasiado molesto, ya que al activarse infecta el fichero normal.dot y
slo muestra en pantalla un cuadro de dilogo con el texto 1. Microsoft tiene disponible un
antivirus llamado prank.exe que distribuye gratuitamente entre sus usuarios registrados, pero
que tambin puede encontrarse en numerosas BBS, Internet o Compuserve.
Sin embargo, la evolucin de este tipo de virus sigui su camino y pronto se detectaron dos nuevas
creaciones llamadas WordMacro/Nuclear y WordMacro/Colors. El primero de ellos puede
llegar a introducir un virus tradicional en el sistema o modificar la salida impresa o por fax en
determinados momentos. El WordMacro/Colors, tambin conocido por Rainbow o arco iris,
cambia (cada 300 ejecuciones de la macro) la configuracin de colores de Windows.
De momento la macros conocidas para Word no son capaces de infectar las versiones nacionales
del programa, los usuarios espaoles pueden estar tranquilos ya que los comandos del lenguaje de
macros han sido traducidos al castellano y las macros creadas con versiones en ingls no
funcionan. No obstante, siempre es posible que alguien traduzca el virus o cree uno nuevo. Por
ltimo, aclarar que aunque otros procesadores de texto como WordPerfect o AmiPro son capaces
de leer documentos escritos con Word, en estos casos el virus no entra en accin por lo que no se
corre ningn peligro.
Virus en Internet
En ocasiones se propagan rumores que dan por cierto noticias de dudosa procedencia. Ms o
menos esto es lo que ha sucedido de un tiempo a esta parte con el virus por correo electrnico de
Internet conocido por Good Times. Lgicamente las primeras noticias de esta maligna creacin
aparecieron en la red de redes, en un mensaje alarmante que deca que si algn usuario reciba
un mensaje con el tema Good Times no deba abrirlo o grabarlo si no quera perder todos los
datos de su disco duro. Posteriormente el mensaje recomendaba que se informara a todo el mundo
y se copiara el aviso en otros lugares. En esta ocasin el rumor es totalmente falso, aunque
todava sigue existiendo gente que se lo cree y no es raro encontrar en algn medio
de comunicacin electrnica nuevo reenvos del mensaje original. De hecho, es totalmente inviable
la posibilidad de una infeccin va correo electrnico.
El riesgo de contraer un virus en la Internet es menor que de cualquier otra manera, tanto los
mensajes de correo, como las pgina WEB transfieren datos. Slo si te traes un software por la red
o viene como archivo adjunto en un e-mail y lo instalas en tu ordenador puedes contraer un virus.
Mucho cuidado con los ficheros Word o Excel adjuntos a un e-mail, podran contener virus de
macro.
Qu debemos buscar en un Antivirus?
A la hora de decidirnos por un antivirus, no debemos dejarnos seducir por la propaganda con
mensajes como "detecta y elimina 56.432 virus". Realmente existen miles de virus, pero en
muchsimos casos son mutaciones y familias de otros virus; esto est bien, pero hay que tener en
cuenta que una inmensa mayora de virus no han llegado ni llegaran a nuestro pas.
Por lo que de poco nos sirve un antivirus que detecte y elimine virus muy extendidos en Amrica y
que desconozca los ms difundidos en Espaa. Por tanto, estaremos mejor protegidos por un
software que, de alguna forma, est ms "especializado" en virus que puedan detectarse en
nuestro pas. Por otro lado, hemos de buscar un software que se actualice el mayor numero posible
de veces al ao; puesto que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha
frecuencia, el estar al da es absolutamente vital.
Cmo reaccionar ante una Infeccin?
La prevencin y la instalacin de un buen antivirus son las mejores armas con las que cuenta el
usuario ante el ataque de los virus. Sin embargo, siempre cabe la posibilidad de que en un
descuido se introduzca un inquilino no deseado en el PC. Ante esta situacin lo primero que
debemos hacer es arrancar el ordenador con un disco de sistema totalmente libre de virus.
Posteriormente deberemos pasar un antivirus lo ms actualizado posible, ya que si es antiguo
corremos el riesgo de que no remotoice mutaciones recientes o nuevos virus.
En el disco de sistema limpio incluiremos utilidades como mem.exe, chkdsk.exe, sys.com,
fdisk.exe y todos los controladores para que el teclado funcione correctamente. Si disponemos
de dos o ms antivirus es muy recomendable pasarlos todos para tener mayor seguridad a la hora
de inmunizar el PC.
Si la infeccin se ha producido en el sector de arranque podemos limpiar el virus con la orden sys
c:, siempre y cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la
tabla de particiones podemos ejecutar fdisk /mbr.
Variantes muy relacionadas con los Virus
En ocasiones de habla de estas variantes como si de virus se tratara, cuando en realidad son
conceptualmente diferentes. Algunos antivirus pueden detectarlos.
Troyanos: Todos recordamos el famoso caballo de Troya? Los troyanos construyeron un caballo
gigantesco de madera y lo regalaron a sus enemigos como seal de reconciliacin. Pero dentro del
enorme regalo iban soldados, que de esta manera se metieron dentro de la ciudad para destrozar
todo lo que encontraron a su paso. As pues, un programa de ordenador trojan o troyano es algo
similar. La vctima utiliza este programa para realizar una serie de funciones (editar textos, fotos,
crakear un programa, etc.), pero al mismo tiempo, y sin su conocimiento, el programa realiza una
serie de funciones ocultas (desde instalar un programa de acceso remoto con Back Orifice, hasta
enviar por correo electrnico datos personales, instalar un virus, etc.). Este tipo de programas
tambin puede realizar algo que resulte desastroso para el sistema (formatear el disco duro, borrar
la BIOS del sistema, etc.).
Worms: Son programas que se reproducen transmitindose de un sistema a otro, copindose a si
mismos, y usando las redes informticas para extenderse. Hoy en da con la difusin de Internet, el
correo electrnico es su principal va de transmisin. Generalmente no causan graves daos a los
sistemas, pero pueden colapsar las redes.
Inseguridad Informtica
El 5 de noviembre de 1988 qued sealado para siempre en la historia de la
"inseguridad" informtica. El personal que estaba trabajando en los ordenadores de
la Universidad de Cornell vio sorprendido y asustado como sus computadoras, uno a uno e
irremediablemente, quedaban bloqueados. Estos eran los primeros sntomas de una terrible
epidemia "bloqueante" que atac seguida y rpidamente a las Universidades de Stanford,
California, Princeton, al propio MIT, a la Rand Corporation, a la NASA, hasta un total aproximado
de 6.000 ordenadores, 6.000!, que permanecieron inactivos durante dos o tres das, con un coste
estimado de 96 millones de dlares (ms de 10.000 millones de pesetas). Causa: un simple y nico
gusano "worm", activado slo una vez, resultado de un sencillo trabajo de autoprcticas de Robert
T. Morris, "bienintencionado e inofensivo" estudiante de la Universidad de
Cornell. Eficiencia demostrada. Un solo Worm, 6.000 ordenadores inactivos, 96.000.000 de dlares
de prdidas.
La epidemia vrica ha alcanzado en pocos aos una magnitud escalofriante. Segn el experto
virlogo Vesselin V. Bontchev, nacen cada da 2 o 3 virus.
Las amenazas a la informtica no terminan con los virus. Los "crackers y programadores de
virus" constituyen una potente fuerza de ataque a la seguridad informtica. Personas dotadas de
probados conocimientos, utilizando tecnologas de alto nivel, agrupados en clubes, celebrando
Congresos Internacionales, con seminarios y clases: su nivel de peligrosidad alcanza
altsimos valores.
Fraudes, sabotajes, espionaje comercial e industrial, vandalismo, terrorismo, desastres naturales
como el fuego y el agua, amenazan constantemente a nuestros sistemas de proceso de datos,
convirtiendo a la Seguridad Informtica en un importantsimo objetivo a alcanzar en la empresa,
toda vez que est en peligro su ms preciado tesoro: la informacin.
Por otra parte, las empresas han cambiado su estilo de trabajo, apoyndose y dependiendo
fuertemente del sistema informtico y de las telecomunicaciones. La ofimtica, las Bases de
Datos corporativas o distribuidas, el EDI, el SWIFT, el homebaking, la necesidad de sistemas
y comunicaciones "trusted", los sistemas distribuidos, etc., colocan a la Seguridad Informtica en la
cspide de los objetivos a alcanzar en la empresa.
Si no existe seguridad no hay calidad en la Informacin, si sta no es segura, exacta, precisa y
rabiosamente actual, es decir, si no es de calidad, las operaciones y decisiones sern equivocadas
y si stas son errneas la empresa muere.
Monografas
Nuevas
Publicar
Blogs
Foros
Busqueda avanzada
Buscar
Descargar
Imprimir
Comentar
Pgina siguiente
Partes: 1, 2
Clases de Virus
Existen diversos tipos de virus, varan segn su funcin o la manera en que ste se
ejecuta en nuestra computadora alterando la actividad de la misma, entre los ms
comunes estn:
Troyano: que consiste en robar informacin o alterar el sistema del hardware o en
un caso extremo permite que un usuario externo pueda controlar el equipo.
Gusano: tiene la propiedad de duplicarse a s mismo. Los gusanos utilizan las
partes automticas de un sistema operativo que generalmente son invisibles al
usuario.
Bombas Lgicas o de Tiempo: son programas que se activan al producirse un
acontecimiento determinado. La condicin suele ser una fecha (Bombas de
Tiempo), una combinacin de teclas, o ciertas condiciones tcnicas (Bombas
Lgicas). Si no se produce la condicin permanece oculto al usuario.
Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son
mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus
contactos. Suelen apelar a los sentimientos morales ("Ayuda a un nio enfermo de
cncer") o al espritu de solidaridad ("Aviso de un nuevo virus peligrossimo") y, en
fundamentales para garantizar que el virus ser cargado cada vez que se
encienda la computadora.
Segn la secuencia de booteo de las PCs, el microprocesador tiene seteada de
fbrica la direccin de donde puede obtener la primera instruccin a ejecutar. Esta
direccin apunta a una celda de la memoria ROM donde se encuentra la subrutina
POST (Power On Self Test), encargada de varias verificaciones y de comparar
el registro de la memoria CMOS con el hardware instalado (funcin checksum). En
este punto sera imposible que el virus logre cargarse ya que la memoria ROM
viene grabada de fbrica y no puede modificarse (hoy en da las memorias FlashROM podran contradecir esto ltimo).
Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada
"bootstrap ROM" que copia el MBR (Master Boot Record) en memoria RAM. El
MBR contiene la informacin de la tabla de particiones, para conocer las
delimitaciones de cada particin, su tamao y cul es la particin activa desde
donde se cargar el SO. Vemos que en este punto el procesador empieza a ejecutar
de la memoria RAM, dando la posibilidad a que un virus tome partida. Hasta ac el
SO todava no fue cargado y en consecuencia tampoco el antivirus. El accionar
tpico del virus sera copiar el MBR en un sector alternativo y tomar su posicin.
As, cada vez que se inicie el sistema el virus lograr cargarse antes que el SO y
luego, respetando su deseo por permanecer oculto har ejecutar las instrucciones
del MBR.
El PC se "re-bootea" frecuentemente
Tcnicas de prevencin
Copias de seguridad
No instale los programas desde los disquetes originales. Haga copia de los
discos y utilcelos para realizar las instalaciones.
No acepte copias de origen dudoso
Evite utilizar copias de origen dudoso, la mayora de las infecciones
provocadas por virus se deben a discos de origen desconocido.
Utilice contraseas
Ponga una clave de acceso a su computadora para que slo usted pueda
acceder a ella.
Analice siempre con un software Antivirus los archivos en disquete o CdRom antes de abrirlos o copiarlos a su computador.
Antivirus
Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar
y eliminar virus informticos.
Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e
Internet, los antivirus han evolucionado hacia programas ms avanzados que no
slo buscan detectar un Virus informticos, sino bloquearlo, desinfectar y prevenir
una infeccin de los mismos, as como actualmente ya son capaces de reconocer
otros tipos de malware, como spyware, rootkits, etc.
El funcionamiento de un antivirus vara de uno a otro, aunque su
comportamiento normal se basa en contar con una lista de virus conocidos y su
formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista
los archivos almacenados o transmitidos desde y hacia un ordenador.
Adicionalmente, muchos de los antivirus actuales han incorporado funciones de
deteccin proactiva, que no se basan en una lista de malware conocido, sino que
analizan el comportamiento de los archivos o comunicaciones para detectar cules
son potencialmente dainas para el ordenador, con tcnicas como Heurstica,
HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria
que se encarga de analizar y verificar todos los archivos abiertos, creados,
modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el
ordenador est en uso.
Asimismo, cuentan con un componente de anlisis bajo demando (los conocidos
scanners, exploradores, etc), y mdulos de proteccin de correo electrnico,
Internet, etc.
Antivirus populares
Kaspersky Anti-virus.
Panda Security.
Norton antivirus.
McAfee.
BitDefender.
F-Prot.
F-Secure.
NOD32.
PC-cillin.
ZoneAlarm AntiVirus.
Tipos de antivirus
Cortafuegos (Firewall)
Programa que funciona como muro de defensa, bloqueando el acceso a un sistema
en particular. Se utilizan principalmente en computadoras con conexin a una red,
fundamentalmente Internet. El programa controla todo el trfico de entrada y
salida, bloqueando cualquier actividad sospechosa e informando adecuadamente
de cada suceso.
Antiespas (Antispyware)
Aplicacin que busca, detecta y elimina programas espas (spyware) que se instalan
ocultamente en el ordenador.
Los antiespas pueden instalarse de manera separada o integrado con paquete de
seguridad (que incluye antivirus, cortafuegos, etc).
Antipop-ups
Utilidad que se encarga de detectar y evitar que se ejecuten las ventanas pop-ups
cuando navegas por la web. Muchas veces los pop-ups apuntan a contenidos
pornogrficos o pginas infectadas.
Algunos navegadores web como Mozilla Firefox o Internet Explorer 7 cuentan con
un sistema antipop-up integrado.
Antispam
Aplicacin o herramienta que detecta y elimina el spam y los correos no deseados
que circulan va email.
Funcionan mediante filtros de correo que permiten detectar los emails no
deseados. Estos filtros son totalmente personalizables.
Adems utilizan listas de correos amigos y enemigos, para bloquear de forma
definitiva alguna casilla en particular.
Algunos sistemas de correo electrnico como Gmail, Hotmail y Yahoo implementan
sistemas antispam en sus versiones web, brindando una gran herramienta en la
lucha contra el correo basura.
Leer ms:http://www.monografias.com/trabajos77/virus-informaticos/virusinformaticos2.shtml#ixzz3k7WqWCG3
Nuevas tcnicas
Los virus y dems amenazas evolucionan constantemente hacia nuevos formatos y
tcnicas que multiplican el riesgo de infeccin para los usuarios. Estos son los virus y
amenazas que han destacado recientemente por marcar un hitotecnolgico:
Estos son otros ejemplos que destacan por el ingenio de sus creadores:
o Afectan archivos de extensin EXE, COM, BAT, SYS, PIF, DLL, DRV
o Infectores directos
El programa infectado tiene que estar ejecutndose para que el virus pueda
funcionar (seguir infectando y ejecutar sus acciones destructivas)
Infectores del sector de arranque (boot)
Tanto los discos rgidos como los disquetes contienen un Sector de Arranque, el
cual contiene informacin especfica relativa al formato del disco y los datos
almacenados en l. Adems, contiene un pequeo programa llamado Boot
Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y
ejecutar en el disco los archivos del sistema operativo. Este programa es el que
muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de no
encontrar los archivos del sistema operativo. Este es el programa afectado por los
virus de sector de arranque. La computadora se infecta con un virus de sector de
arranque al intentar bootear desde un disquete infectado. En este momento el
virus se ejecuta e infecta el sector de arranque del disco rgido, infectando luego
cada disquete utilizado en el PC. Es importante destacar que como cada disco
posee un sector de arranque, es posible infectar el PC con un disquete que
contenga solo datos.....
generalmente son diseados de forma que por su contenido sea el mismo usuario
el encargado de realizar la tarea de difusin del virus. (Generalmente son
enviados por e-mail)
Tcnicas de programacin
Apoyados en la capacidad de evolucin dada por sus programadores, los nuevos
virus nacen con el conocimiento de las tcnicas utilizadas por las herramientas
antivirus actuales y sabiendo cuales son sus puntos dbiles. En base a ello utilizan
tcnicas cada vez ms complejas para ocultarse y evitar ser detectados. Algunos
de los mtodos de ocultacin ms utilizados son los siguientes:
Stealth (Ocultamiento)
El ocultamiento o stealth consiste en esconder los signos visibles de la
infeccin que puedan delatar la presencia del virus en el sistema. Se
trata de evitar todos los sntomas que indican la presencia de un virus.
El signo fundamental de infeccin es no obstante la modificacin del
fichero infectado. Una tcnica de camuflaje usada por un virus residente
puede ser la siguiente:
gusanos que a su vez llevan algn virus de otro tipo, y que gracias al correo
electrnico se propagan fcilmente por Internet.
Tcticas antivricas
En primer lugar hay que comentar las formas ms comunes de propagacin de los
virus:
El disco duro aparece con sectores en mal estado. Algunos virus usan
sectores del disco para camuflarse, lo que hace que aparezcan como
daados o inoperativos.
Los grupos de noticias o news, como no, son listas de correo y usan su propio
sistema de transmisin por Internet (NNTP).
Ambos sistemas, adems de permitir la comunicacin con otras personas, tambin
facilitan la transferencia de archivos. Aqu es donde hay que tener especial
cuidado y aceptar slo lo que llegue de un remitente conocido y de confianza.
Pero el correo electrnico es el medio de transmisin preferido por los virus, por lo
que hay que tener especial cuidado en su utilizacin.
Cualquier correo recibido puede contener virus aunque no lleve un fichero adjunto
(attachment). Adems, en el caso que lo llevase no es necesario ejecutar el
archivo adjunto de un mensaje de correo para ser infectado; en algunos sistemas
basta nicamente con abrir el mensaje, o visualizarlo mediante la vista previa.
Para prevenir esto, lo mejor es escnear mediante un buen antivirus, siempre
actualizado, todos los mensajes recibidos, incluso los que provengan de alguien
conocido, ya que muchos virus utilizan las libretas de direcciones de algunos
programas de correo para extenderse por toda la red, sin que el usuario de esa
libreta se de cuenta. Un indicativo de posible virus es la existencia en el asunto del
mensaje de palabras en un idioma diferente al utilizado normalmente por el
remitente.
ltimamente, con motivo de las Navidades empiezan a circular e-mails y
pequeas aplicaciones grficas en forma de felicitaciones de Pascua o del nuevo
ao que, tras un inocente aspecto, pueden contener virus que aprovechan stos
das para infectar los equipos de los usuarios desprevenidos. A pesar de no
tratarse de una artimaa novedosa, lo cierto es que todos los aos hay usuarios
que caen en las "triquiuelas" de cdigos maliciosos "camuflados" en e-mails con
textos llenos de buenos deseos. Un claro ejemplo lo constituye el gusano
Win32/SKA, ms conocido como Happy99, que intenta engaar al usuario
hacindole creer que el mensaje que ha recibido es una felicitacin por el nuevo
ao. Otros ejemplos de la amenaza encubierta a la que nos referimos son los virus
W32/Navidad.B, VBS/HappyTime, y el descubierto recientemente W32/Reezak.A
que es un gusano que utiliza como reclamo una felicitacin navidea, por lo que
en Navidades puede llegar a provocar muchas incidencias entre todos los
usuarios. Este gusano llega incluido en un fichero denominado Christmas.exe
adjunto a un mensaje de correo electrnico en cuyo asunto de mensaje se indica
un "Feliz ao nuevo".
Por ltimo, tambin debe tenerse en cuenta que es recomendable tener cuidado al
navegar por pginas web de autora dudosa o cuyos contenidos no inspiren
confianza, ya que suelen ser aprovechadas para instalar cdigos maliciosos -casi
siempre troyanos-, en el ordenador de las personas que las visitan. Son los virus
HTML. Estos virus han causado un cierto temor ante la posibilidad de contagio por
el mero hecho de navegar por Internet y acceder a una pgina Web en la que se
encuentre uno de estos virus en HTML.
Realmente, estos virus son muy similares a los virus de Macro de Word, ya que
estn construidos en un lenguaje muy similar -en el caso de los virus HTML estn
desarrollados en Visual Script- y tienen las mismas caractersticas de replicacin
que los de macro.
Pero las posibilidades reales de infectarse navegando son limitadas. Estos virus
nicamente podran contagiar a los ficheros HTML que estn en el mismo
ordenador, nunca a un ordenador remoto. Aqu hay que comentar la Navegacin
OFF-LINE, que consiste en dejar un ordenador bajndose informacin y
guardndola en cach, para que en un determinado momento los usuarios puedan
ir viendo las pginas web en local, con el consiguiente ahorro de tiempo en las
conexiones. Al estar todas las pginas en local, si una de ellas tuviera un virus
HTML, podra infectar a las dems.
En numerosas ocasiones, los programas de correo electrnico se ven obligados a
enviar los mensajes en formato HTML para permitir su lectura en otros sistemas
que utilizan formatos de texto no compatibles con los del programa que los
gener. Al tener una pgina HTML en el ordenador, puede resultar infectada, con
el consiguiente peligro de reenviar una infeccin tras leer el correo electrnico.
W32/SirCam
Nombre: W32/SirCam
Alias: Sircam, W32/Sircam-A, W32.Sircam.Worm@mm, W32/SirCam@mm,
Backdoor.SirCam, BackDoor.SirCam.188, I-Worm.Sircam, W32.Sircam,
Win32.SirCam.137216
Tipo: Virus infector de archivos, gusano y caballo de Troya
Origen: Mexico
Tamao: 137,216 bytes
Fecha: 17/07/01
Gravedad: Alta (borra archivos de Windows y filtra informacin del usuario)
SirCam, est escrito en Borland Delphi, y con caractersticas de troyano y gusano
de Internet, es capaz de enviarse a si mismo por correo electrnico en
distintos mensajes en ingls y espaol, junto a documentos y otros archivos
de la mquina infectada, a todos los usuarios de la libreta de direcciones de
Windows, as como a todas las direcciones encontradas en los archivos
temporales de Internet (cach). Esto encierra adems el peligro de enviar
informacin confidencial de la computadora infectada.
Posiblemente su alto nivel de propagacin, haya sido favorecida tanto por sus
caractersticas (un mensaje en espaol, aunque es capaz adems de enviarse con
En castellano:
Asunto: [Nombre archivo adjunto sin extensin]
Texto:
Hola como estas ?
En ingls:
C:\Windows\System\SCam32.exe
Crea tambin el siguiente valor en el registro, a los efectos de cargarse en
memoria, cada vez que Windows se reinicia:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = C:\WINDOWS\SYSTEM\SCam32.exe
Agrega adems esta entrada en el registro, donde guarda informacin que utiliza
para su funcionamiento (datos para el envo de los mensajes):
HKLM\Software\SirCam
FB1B (los nombres de los archivos guardados en C:\Recycled)
FB1BA (la direccin IP del SMTP)
FB1BB (la direccin e-mail del emisor)
FC0 (la cantidad de veces que se ha ejecutado)
FC1 (la versin del gusano)
FD1 (el nombre del archivo ejecutado, sin la extensin)
Luego, busca todos los archivos con las siguientes extensiones, que se
encuentren en la carpeta "Mis Documentos" de la computadora infectada
(generalmente C:\Mis Documentos), y en el escritorio (C:\WINDOWS\Escritorio):
.DOC
.GIF
.JPG
.JPEG
.MPEG
.MOV
.MPG
.PDF
.PIF
.PNG
.PS
.ZIP
.XLS
La ubicacin de "Mis Documentos" y el escritorio de Windows, lo toma de las
claves "Personal" y "Desktop"
deHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.
Luego, graba la lista de estos nombres en el archivo SCD.DLL, creado en el
directorio SYSTEM:
C:\Windows\System\SCD.DLL
W32/Badtrans.B
Nombre: W32/Badtrans.B
Alias: WORM_BADTRANS.B, W32/Badtrans-B, Backdoor-NK.svr, BadTrans, IWorm.Badtrans, W32.Badtrans.29020@mm, IWorm_Badtrans,
TROJ_BADTRANS.B, BADTRANS.B, I-WORM.BADTRANS, W32/BadTrans.B-mm
Variantes: badtrans-a
Tipo: Gusano y caballo de Troya
Tamao: 29,020 Bytes
Fecha: 24/11/01
pif
scr
Un par de ejemplos de estas combinaciones:
New_Napster_Site.MP3.scr
README.DOC.pif
Como antes se ha mencionado, esta variante utiliza una vulnerabilidad conocida
(Automatic Execution of Embedded MIME type) para ejecutarse sin necesidad de
abrir el adjunto, es decir, con solo leer el mensaje o verlo en el panel de vista
previa, se ejecuta el virus.
Cuando esto ocurre, el gusano se copia a si mismo en el directorio System de
Windows, como Kernel32.exe, y tambin crea all los archivos cp_25389.nls,
y kdll.dll:
C:\Windows\System\KERNEL32.EXE
C:\Windows\System\cp_25389.nls
C:\Windows\System\kdll.dll
Hay que recordar que en esa misma carpeta existe el archivo Kernel32.dll, que es
un archivo legtimo de Windows.
Adems, el gusano borra su copia original del directorio en que fue ejecutado.
Luego se registra a si mismo como un servicio, para permanecer en memoria sin
aparecer en la lista de tareas que se estn ejecutando (por lo tanto permanece
oculto al pulsar CTRL+ALT+SUPR).
El archivo CP_25389.NLS son datos cifrados del virus.
El archivo KDLL.DLL es un troyano con capacidad de robar las contraseas de la
mquina infectada (Trojan.PSW.Hooker, Backdoor-NK.svr, Troj.PWS.A).
El registro de Windows es modificado para que el gusano se ejecute
automticamente en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = "kernel32.exe"
Como la clave "RunOnce" se ejecuta una sola vez (y Windows la borra luego de
ejecutar su contenido), el gusano la vuelve a crear cada vez.
Troyano liberado por el BadTrans.B
Nombre: Troj/PWS-AV
Trojan/Platan
Nombre: Trojan/Platan
Alias: W32/Platan.Trojan, Trojan.IExpand, Trojan.PWS.ASP.b, W32.PSW.Platan,
DUNpws.bz.
Variantes: Ninguna
Tipo: Caballo de Troya, Ladrn de Passwords.
Origen: Rusia.
Fecha: 24/03/2000
Gravedad: Media.
Platan, es un troyano cuya principal funcin es robar los passwords de la conexin
telefnica del equipo infectado y reenviarlos al autor del virus.
Hasta el momento este troyano ha sido reportado por usuarios, siendo distribuido
como una archivo de nombre IEXPAND.EXE, que al ser ejecutado, agrega la
siguiente entrada al Registro de Windows, para ejecutarse con el prximo inicio
del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run
La ejecucin del programa no muestra ninguna accin al usuario. l mismo se
ejecutar como un proceso "oculto", no mostrando su existencia en la lista de
tareas activas (por lo tanto permanece oculto al pulsar CTRL+ALT+SUPR).
El troyano elimina los
programas \Windows\REGEDIT.EXE y \Windows\System\MSCONFIG.EXE, para
que los cambios al registro no puedan ser vueltos atrs por el usuario. Adems,
copia el archivo IEXPAND.EXE al directorio \Windows\System.
Utilizando su propia rutina de envo de mensajes, y un servidor SMTP ruso, el
troyano enva el nombre de usuario y password de las cuentas de conexin
telefnica a distintas direcciones preseteadas del creador del virus. Adems, enva
otra informacin del equipo, como los nmeros. telefnicos de los ISPs, tipo de
CPU, etc.
http://spi1.nisu.org/recop/al01/salva/platan.html