tag:blogger.com,1999:blog-18393904672864279092024-03-12T18:22:27.397-06:00VIRUS Y ANTIVIRUSAnonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.comBlogger10125tag:blogger.com,1999:blog-1839390467286427909.post-24601153215249375582012-09-30T16:45:00.003-05:002012-09-30T16:45:56.913-05:00Historia de virus famosos<h3>
<br />
</h3>
Existen multitud de fechas equivocadas y diferentes para los mismos acontecimientos de la<br />
historia de los virus, por ello es bastante complicado establecer fechas exactas.<br />
Tras contrastar diferentes fuentes de información esta sería una breve cronología de la historia de<br />
los virus:<br />
<h2>
<b>- 1939</b>, </h2>
el científico matemático John Louis Von Neumann, escribió "Teoría y organización de<br />
autómatas complejos", donde se mostraba que era posible desarrollar programas que<br />
tomasen el control de otros.<br />
<h2>
<b>- 1949 – 1950</b>. </h2>
en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jóvenes<br />
programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, desarrollaron<br />
inspirados en la teoría de John Louis Von Neumann un “juego” llamado CoreWar.<br />
Los contenedores del CoreWar ejecutaban programas que iban poco a poco disminuyendo<br />
la memoria del computador. Ganaría este “juego” el que conseguiera eliminarlos<br />
totalmente.<br />
El conocimiento de la existencia de CoreWar era muy restringido.<br />
<h2>
<b>- 1972</b></h2>
<b> </b>aparece Creeper desarrollado por Robert Thomas Morris que atacaba a las<br />
conocidas IBM 360. Simplemente mostraba de forma periódica el siguiente mensaje: "I'm a<br />
creeper... catch me if you can!" (soy una enredadera, cójanme si pueden).<br />
Fue aquí donde podríamos decir que apareció el primer antivirus conocido como Reaper<br />
(segadora) el cual eliminaba a Creeper.<br />
<h2>
<b>- 1975,</b> </h2>
John Brunner concibe la idea de un “gusano” informático que crece por las redes.<br />
<h2>
<b>- 1984,</b> </h2>
Fred Cohen en su tesis acuña el término “virus informático”.<br />
Fue en este año donde se empezó a conocer el verdadero peligro de los virus, ya que los<br />
usuarios del BIX BBS, un foro de debates de la ahora revista BYTE, avisaron de la presencia<br />
y propagación de una serie de programas que habían infectado sus computadoras.<br />
<h2>
<b>- 1986,</b> </h2>
aparece lo que se conoce como el primer virus informático, Brain, atribuido a los<br />
hermanos pakistaníes.<br />
<h2>
<b>- 1987,</b> </h2>
el gusano Christmas tree satura la red de IBM a nivel mundial.<br />
<h2>
<b>- 1988,</b> </h2>
Robert Tappan Morris, hijo de uno de los precursores de los virus, difunde un virus a<br />
través de ArpaNet, (precursora de Internet) infectando a unos 6,000 servidores.<br />
<h2>
-<b> 1989, </b></h2>
<b> </b>el virus Dark Avenger también conocido como "vengador de la oscuridad", se<br />
propaga por Europa y Estados Unidos. Sobre dicho virus se han escrito multitud de<br />
artículos e incluso un libro ya que se diferenciaba de los demás en su ingeniosa<br />
programación y su rápida infección.<br />
<h2>
<b>- 1990,</b> </h2>
Mark Washburn crea “1260”, el primer virus polimórfico, que muta en cada<br />
infección.<br />
<h2>
<b>- 1992, </b></h2>
<b> </b>aparece el conocido virus Michelangelo sobre el cual se crea una gran alarma sobre<br />
sus daños y amplia propagación, aunque finalmente fueron pocos los ordenadores<br />
infectados<br />
<h2>
<b>- 1994,</b> </h2>
Good Times, el primer virus broma.<br />
<h2>
<b>- 1995, </b></h2>
<b> </b>aparece Concept con el cual comienzan los virus de macro. Y es en este mismo año<br />
cuando aparece el primer virus escrito específicamente para Windows 95.<br />
<h2>
<b>- 1997,</b></h2>
<b> </b>comienza la difusión a través de internet del virus macro que infecta hojas de cálculo,<br />
denominado Laroux.<br />
<h2>
<b>- 1998,</b> </h2>
aparecen un nuevo tipo de virus macro que ataca a las bases de datos en MS-Access.<br />
Llega CIH o Chernobyl que sera el primer virus que realmente afecta al hardware del<br />
ordenador.<br />
<h2>
<b>- 1999,</b></h2>
<b> </b> cuando comienzan a propagarse por Internet los virus anexados a mensajes de<br />
correo como puede ser Melissa, BubbleBoy, etc. Este último (BubbleBoy) infectaba el<br />
ordenador con simplemente mostrar el mensaje (en HTML).<br />
<h2>
<b>- 2000,</b> </h2>
se conoce la existencia de VBS/Stages.SHS, primer virus oculto dentro del Shell de la<br />
extensión .SHS.<br />
Aparece el primer virus para Palm.<br />
<h2>
<b>- 2001,</b> </h2>
el virus Nimda atacó a millones de computadoras, a pocos días del ataque a las<br />
Torres Gemelas de la isla de Manhattan.<br />
<h2>
<b>- Actualmente,</b> </h2>
existen multitud de técnicas mucho más sofisticadas y conocidas, lo que<br />
permite que se hagan mayor cantidad de virus (13 diarios según Panda Software) y sean<br />
más complejos. De esta forma aparecen virus como MyDoom o Netsky.<br />
A pesar de esto no solo la sofisticación de los virus ha aumentado la infección de equipos<br />
sino también la “Ingeniería Social” y la, a veces increíble, ingenuidad de usuarios y<br />
administradores que facilitan bastante la labor de los virus.<br />
Aun con todos los avances que se están haciendo en la actualidad para mejorar la<br />
seguridad de los sistemas, no podemos decir que éstos nos reporten la seguridad<br />
necesaria. Por ejemplo el último Sistema Operativo de Microsoft, MS Windows Windows<br />
Vista también es vulnerable a los virus informáticos y exploits.Anonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0tag:blogger.com,1999:blog-1839390467286427909.post-6647725454727269922012-09-30T16:41:00.000-05:002012-09-30T16:41:25.736-05:00¿Cómo funcionan los Virus?<h3>
<br />
</h3>
Se podría decir que la mayor parte de los virus estaban y quizás estén programados en<br />
Ensamblador, lenguaje de bajo nivel que permite trabajar directamente sobre el hardware, sin<br />
tener que interactuar con el Sistema Operativo. Actualmente no todos los virus se desarrollan en<br />
Ensamblador, sino que se utilizan todo tipo de lenguajes de alto nivel, que no permiten realizar<br />
todas las acciones que permite el ensamblador, pero sí facilitan mucho su codificación.<br />
Lo que tratan los virus es de ser ejecutados para con ello poder actuar y replicarse, ya que ningún<br />
usuario ejecutaría un virus de forma intencionada. Los virus deben ocultarse, ya sea tras otros<br />
programas “benignos” o bien utilizando otras técnicas.<br />
Por norma general, un virus intentará cargarse en la memoria para poder ejecutarse, y controlar<br />
las demás operaciones del sistema.<br />
Como formas más comunes de infección de los virus podríamos tener las siguientes:<br />
En el caso de que un virus tratara de cargarse en el arranque, intentaría dos cosas.<br />
- Primero si existe la posibilidad de cargarse en la CMOS, lo cual sería posible si la memoria<br />
no es ROM, sino que es Flash-ROM.<br />
- Si esto no es posible, intentará cargarse en el sector de arranque. El sistema cargará el MBR<br />
en memoria RAM que le indicará las particiones, el tamaño, cual es la activa (en la que se<br />
encuentra el S.O.) para empezar a ejecutar las instrucciones. Es aquí donde el virus deberá<br />
cargar el MBR en un sector alternativo y tomar su posición de tal forma que cada vez que<br />
se arranque el sistema el virus se cargará. Así, ya que el antivirus se carga tras el S.O. la<br />
carga del virus en memoria no será detectada.<br />
Por otro lado, si virus infecta un archivo ejecutable .EXE, intentará rastrear en el código los puntos<br />
de entrada y salida del programa. Teniendo conocimiento de estos dos puntos, el virus se<br />
incrustará antes de cada uno de ellos, asegurándose así de que cada vez que dicho programa se<br />
ejecute, el virus será ejecutado. Una vez esté en ejecución decidirá cual es la siguiente acción a<br />
llevar a cabo, ya sea replicarse introduciéndose en otros programas que estén en memoria en ese<br />
momento, ocultarse si detecta antivirus, etc.<br />
Tanto virus como gusanos, troyanos,…, tienen unos objetivos comunes. Ocultarse al usuario;<br />
reproducirse ya sea en otros ficheros o en el caso de los gusanos autoenviarse; y finalmente llevar<br />
a cabo la acción para la cual ha sido programado, destrucción de datos, obtención de datos<br />
personales, control remoto de la máquina.<br />
Para conseguir dichos objetivos podríamos decir que su estructura se divide en tres módulos<br />
principales:<br />
<h2>
<b>- Módulo de reproducción:</b></h2>
<b> </b> Es la parte encargada de gestionar las rutinas gracias a las<br />
cuales el virus garantiza su replicación a través de ficheros ejecutables. Dichos ficheros<br />
ejecutables cuando sean trasladados a otras computadoras provocarán también la<br />
dispersión del virus.<br />
<h2>
<b>- Módulo de ataque:</b> </h2>
Módulo que contiene las rutinas de daño adicional o implícito. Este<br />
podrá ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un<br />
archivo específico (COMMAND.COM),<br />
<h2>
<b>- Módulo de defensa:</b></h2>
<b> </b> Módulo encargado de proteger el código del virus. Sus rutinas se<br />
ocuparán de disminuir los síntomas que puedan provocar su detección por parte de los<br />
antivirus. Utiliza para ello técnicas que pueden ir desde una simple encriptación, a técnicas<br />
muy sofisticadas.Anonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0tag:blogger.com,1999:blog-1839390467286427909.post-5522599315877916252012-09-30T16:39:00.001-05:002012-09-30T16:39:12.586-05:00TIPOS DE VIRUS
<h2>
<b>· Virus residentes</b></h2>
Este tipo de virus se oculta en la memoria principal del sistema (RAM) de tal manera que<br />
pueden controlar todas las operaciones realizadas en el Sistema Operativo, pudiendo así<br />
infectar todos los archivos que deseen. Normalmente sus creadores le indican una serie de<br />
condiciones (fecha, hora,…) bajo las cuales llevará a cabo la acción para la cual fue<br />
programado.<br />
Ejemplos de este tipo de virus son: Randex, CMJ, Meve.<br />
<h2>
<b>· Virus de acción directa</b></h2>
Estos virus no se ocultan en la memoria. Su funcionamiento consiste en que una vez<br />
cumplida una determinada condición, actuarán buscando los ficheros a infectar dentro de<br />
su mismo directorio o en aquellos directorios que se encuentren especificados en la línea<br />
PATH del fichero AUTOEXEC.BAT. Este tipo de virus se puede desinfectar totalmente y<br />
recuperar los archivos infectados.<br />
<h2>
<b>· Virus de sobreescritura</b></h2>
Se escriben dentro del contenido del fichero infectado, haciendo que pueda quedar<br />
inservible. Se ocultan por encima del fichero de tal forma que la única manera de<br />
desinfectarlo es borrar dicho archivo, perdiendo así su contenido.<br />
Algún ejemplo: Trj.Reboot, Trivial.88.D.<br />
<h2>
<b>· Virus de boot o arranque</b></h2>
Son aquellos virus que no infectan a ficheros directamente, sino que actúan sobre los<br />
discos que los contienen, más concretamente al sector de arranque de dichos discos, de tal<br />
manera que si un ordenador se arranca con un disquete infectado, el sector de arranque<br />
del disco duro se infectará. A partir de este momento, se infectarán todas las unidades de<br />
disco del sistema.<br />
Algún ejemplo de virus de boot: Polyboot.B.<br />
<h2>
<b>· Retrovirus</b></h2>
Un Retrovirus es un tipo de virus cuyo objetivo principal es atacar a los antivirus, ya sea de<br />
una forma genérica o un ataque a un antivirus específico. En sí mismo no produce ningún<br />
daño al sistema sino que simplemente permiten la entrada de otros virus destructivos que<br />
lo acompañan en el código.<br />
<h2>
<b>· Virus multipartites</b></h2>
Tipo de virus muy complejo que ataca mediante el uso de diferentes técnicas, infectando<br />
tanto programas, macros, discos, etc. Sus efectos suelen ser bastante dañinos.<br />
Por ejemplo el virus Ywinz.<br />
<h2>
<b>· Virus de macro</b></h2>
Se caracterizan por infectar los ficheros que sean creados con aplicaciones que usen<br />
macros (Word, Excel, PowerPoint, Corel Draw, …).<br />
Las macros son pequeños programas asociados a los ficheros cuya función es automatizar<br />
conjuntos de operaciones complejas. Esto permite que en un documento de texto al existir<br />
un pequeño programa en su interior, dicho programa y en consecuencia dicho documento<br />
pueda ser infectado.<br />
Al abrirse, guardarse, realizar algún tipo de operación, puede que alguna de las macros se<br />
ejecute, en cuyo caso si contiene virus, se ejecutará. La mayoría de las aplicaciones que<br />
utilizan macros están protegidas, pero aun así existen virus que esquivan dichas<br />
protecciones.<br />
Estos son algunos ejemplos: Relax, Melissa.A, Bablas.<br />
<h2>
<b>· Virus de enlace o directorio</b></h2>
La característica principal de este tipo de virus reside en modificar la dirección que indica<br />
donde se almacena un fichero. Así, cuando queramos ejecutar un fichero, si a dicho fichero<br />
se le ha modificado la dirección se ejecutará el virus produciéndose la infección.<br />
Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad<br />
de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar<br />
con ellos.<br />
Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros<br />
originales.<br />
<h2>
<b>· Virus de FAT</b></h2>
Tipo de virus muy dañino ya que atacan a la FAT (Tabla de Asignación de Ficheros), que es<br />
la encargada de enlazar la información del disco. Al atacar dicha tabla, impiden el acceso a<br />
ciertos ficheros o directorios críticos del sistema, provocando pérdidas de la información<br />
contenida en dichos ficheros o directorios.<br />
<h2>
<b>· Virus de fichero</b></h2>
Infectan programas o ficheros ejecutables, por lo que al ejecutarse dicho fichero el virus se<br />
activará y llevará a cabo las acciones para las cuales ha sido creado.<br />
La mayoría de los virus existentes son de este tipo.<br />
<h2>
<b>· Virus de compañía</b></h2>
Clase de virus de fichero que como su nombre indica acompañan a otros ficheros<br />
existentes antes de llegar al sistema. Pueden ser residentes o de acción directa. Su modo<br />
de actuar consiste en o bien esperar ocultos en la memoria hasta que se produzca la<br />
ejecución de algún programa o bien actuar directamente haciendo copias de sí mismo.<br />
Como ejemplos citamos el virus Stator, Terrax.1069.<br />
<h2>
<b>· De Active Agents y Java Applets</b></h2>
Programas que se ejecutan y se graban en el disco duro cuando el usuario esta en una<br />
pagina web que los usa. Hoy en día cada vez que se necesita ejecutar o guardar cualquiera<br />
de estos programas se le pide la autorización al usuario, el cual será responsable de los<br />
posibles daños que causen.<br />
<h2>
<b>· De HTML</b></h2>
Son más eficaces que los anteriores ya que simplemente con acceder al contenido de la<br />
página web el usuario puede ser infectado, ya que el código dañino se encuentra en el<br />
código HTML de dicha web. Este tipo de virus son desarrollados en Visual Basic Script.<br />
<h2>
<b>· Virus lentos</b></h2>
Como su nombre indica, estos virus infectan de forma lenta. Únicamente infectarán<br />
aquellos archivos que el usuario hará ejecutar por el Sistema Operativo. Son virus muy<br />
difíciles de eliminar ya que cuando se le muestra un aviso al usuario, éste no presta<br />
atención ya que en ese determinado momento estaba realizando alguna acción de la cual<br />
ya esperaba algún aviso. A pesar de esto con este tipo de virus sí son eficaces los demonios<br />
de protección que vigilarán cualquier creación, borrado,…<br />
<h2>
<b>· Virus voraces</b></h2>
Son altamente destructivos ya que se dedican a destruir completamente todos los datos a<br />
los que pueden acceder.<br />
<h2>
<b>· Sigilosos o Stealth</b></h2>
Son virus que poseen módulos de defensa muy sofisticados. Se encuentran en el sector de<br />
arranque y su modo de funcionamiento consiste en engañar al S.O. a la hora de verificar el<br />
tamaño, fecha, nombre,…, de los ficheros.<br />
<h2>
<b>· Reproductores o conejos</b></h2>
Virus cuya característica principal es reproducirse constantemente hasta terminar ya sea<br />
con la capacidad total del disco duro o con la capacidad de la memoria principal. Esto lo<br />
consiguen simplemente creando clones de sí mismos que harán lo mismo que ellos,<br />
reproducirse.Anonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0tag:blogger.com,1999:blog-1839390467286427909.post-88301587398012504762012-09-30T16:36:00.001-05:002012-09-30T16:36:21.109-05:00Virus encriptadosMás que un tipo de virus, son una técnica que usan diversos virus, los cuales se descifran ellos<br />
mismos para poderse ejecutar y acto seguido se vuelven a cifrar. De esta manera lo que intentan<br />
es evitar o dificultar ser detectados por los antivirus.<br />
Virus polimórficos<br />
La diferencia esencial con los virus encriptados reside en que éstos se cifran/descifran de forma<br />
distinta en cada una de sus infecciones. Así consiguen impedir que los antivirus los localicen a<br />
través de la búsqueda de cadenas o firmas. Por esta característica, este tipo de virus son los más<br />
difíciles de detectarse.<br />
Como ejemplos: Elkern, Satan Bug, Tuareg.<br />
<h2>
Gusanos (Worms)</h2>
Pueden no ser considerados como virus, ya que para replicarse no necesitan infectar otros<br />
ficheros. Los gusanos realizarán una serie de copias de sí mismos (sin tener que infectar ningún<br />
otro fichero) a la máxima velocidad posible y enviándose a través de la red. Debido a esa<br />
replicación a alta velocidad pueden llegar a saturar la red a través de la que se propagan. Los<br />
canales más típicos de infección son el Chat, correo electrónico, …<br />
Algún que otro ejemplo de gusano podrían ser los siguientes: PSWBugbear.B, Lovgate.F, Trile.C,<br />
Sobig.D, Mapson.<br />
<h2>
Troyanos o caballos de troya</h2>
Se puede llegar a pensar que los troyanos no son realmente virus, ya que no poseen su principal<br />
característica, la autoreproducción. A pesar de esto, al igual que los gusanos, ambos son tratados<br />
como virus a la hora de ser detectados por los antivirus.<br />
Su nombre hace referencia a la historia griega, así su objetivo consiste en introducirse en el<br />
sistema como un programa aparentemente inofensivo, siendo verdaderamente un programa que<br />
permite el control remoto de dicho sistema.<br />
Al igual que los virus, pueden modificar, eliminar, ciertos ficheros del sistema y a mayores pueden<br />
capturar datos confidenciales (contraseñas, números de tarjetas de crédito, etc), y enviarlos a una<br />
dirección externa.<br />
<h2>
Virus falsos</h2>
Hoy en día han surgido ciertos mensajes de correo electrónico, o programas, que pueden ser<br />
confundidos con virus. El principal tipo son los hoaxes, emails engañosos que pretenden alarmar<br />
sobre supuestos virus. Tratan de engañar al usuario proponiendo una serie de acciones a realizar<br />
para eliminar dicho virus que en realidad no existe. Lo más probable es que dichas acciones sean<br />
dañinas.<br />
<h2>
Bombas lógicas</h2>
Tampoco se replican, por lo que no son considerados estrictamente virus. Son segmentos de<br />
código, incrustados dentro de otro programa. Su objetivo principal es destruir todos los datos del<br />
ordenador en cuanto se cumplan una serie de condiciones.<br />
<h2>
Bug-Ware</h2>
Quizás no deban de ser considerados como virus, ya que en realidad son programas con errores en<br />
su código. Dichos errores pueden llegar a afectar o al software o al hardware haciendo pensar al<br />
usuario que se trata de un virus.<br />
<h2>
De MIRC</h2>
Tampoco son considerados virus. El uso de estos virus está restringido al uso del IRC, ya que<br />
consiste en un script, denominado script.ini, programado de forma maliciosa, que se enviará a la<br />
máquina cliente por DCC. Si la victima acepta dicho envío se sustituirá su script.ini por el malicioso,<br />
lo que provocará que el atacante tenga acceso a archivos de clavesAnonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0tag:blogger.com,1999:blog-1839390467286427909.post-86973288158642407962012-09-30T16:35:00.002-05:002012-09-30T16:35:11.632-05:00Métodos de infecciónA la hora de realizar la infección se pueden utilizar diferentes técnicas. Algunas podrían ser las<br />
siguientes:<br />
<h2>
<b>· Añadidura o empalme:</b> </h2>
Consiste en agregar al final del archivo ejecutable el código del<br />
virus, para que así una vez se ejecute el archivo, el control pase primeramente al virus y<br />
tras ejecutar la acción que desee, volverá al programa haciendo que funcione de manera<br />
normal. El inconveniente de esta técnica es que el tamaño del archivo será mayor que el<br />
original haciendo que sea más fácil su detección.<br />
<h2>
<b>· Inserción:</b></h2>
<b> </b> No es una técnica muy usada por los programadores de virus ya que requiere<br />
técnicas de programación avanzadas. El motivo es que este método consiste en insertar el<br />
código del virus en zonas de código no usadas dentro del programa infectado. Así lo que se<br />
consigue es que el tamaño del archivo no varíe, pero el detectar las zonas de código en<br />
donde puede ser insertado el virus es complejo.<br />
<h2>
<b>· Reorientación:</b> </h2>
Es una variante del método de inserción. Consiste en introducir el código<br />
del virus en zonas del disco que estén marcadas como defectuosas o en archivos ocultos<br />
del sistema. Al ejecutarse introducen el código en los archivos ejecutables infectados. La<br />
ventaja principal es que al no estar insertado en el archivo, su tamaño puede ser mayor<br />
con lo que podría tener una mayor funcionalidad. Como inconveniente se encuentra su<br />
fácil eliminación ya que bastaría con eliminar archivos ocultos sospechosos o con<br />
sobrescribir las zonas del disco marcadas como defectuosas.<br />
<h2>
<b>· Polimorfismo:</b></h2>
<b> </b> Es el método más avanzado de contagio. Consiste en insertar el código del<br />
virus en un ejecutable al igual que el método de añadidura o empalme, pero para evitar<br />
que el tamaño del mismo aumente lo que realiza es una compactación del propio código<br />
del virus y del archivo infectado, haciendo que entre ambos el tamaño del archivo no<br />
aumente. Una vez se ejecuta el archivo, el virus actúa descompactando en memoria las<br />
partes del código que había compactado anteriormente. Esta técnica se podría mejorar<br />
usando métodos de encriptación para disfrazar el código del virus.<br />
<h2>
<b>· Sustitución:</b> </h2>
Es el método más primitivo. Consiste en sustituir el código del archivo<br />
infectado por el código del virus. Cuando se ejecuta, actúa únicamente el código del virus,<br />
infectando o eliminando otros archivos y terminando la ejecución del programa mostrando<br />
algún tipo de mensaje de error. La ventaja de esta técnica es que cada vez que se ejecuta<br />
se realizan “copias” del virus en otros archivos.<br />
<h2>
<b>· Tunneling:</b> </h2>
Técnica compleja usada por programadores de virus y antivirus para evitar las<br />
rutinas al servicio de interrupción y conseguir control directo sobre ésta.<br />
El demonio de protección de los antivirus cuelga de todas las interrupciones usadas por los<br />
virus (INT 21, INT 13, a veces INT 25 Y 26), de tal forma que cuando un virus pretende<br />
escribir/abrir un ejecutable el antivirus recibe una alerta donde comprobará si es o no virus<br />
y le permite o no su acceso. Si la llamada no tiene peligro el módulo del antivirus llamará a<br />
la INT 21 original. De esta forma un virus con tunneling intentará obtener la dirección<br />
original de la INT 21 que está en algún lugar del módulo residente del antivirus. Si se<br />
consigue obtener esa dirección podrá acceder directamente a INT 21 sin necesidad de<br />
pasar por el antivirus. De esta forma le "pasará por debajo", lo "tuneleará".<br />
<br />Anonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0tag:blogger.com,1999:blog-1839390467286427909.post-60055625553894410382012-09-30T16:29:00.001-05:002012-09-30T16:50:08.322-05:00ANTIVIRUS<br />
<h2>
¿Qué son?</h2>
Los antivirus son programas cuyo objetivo es combatir y eliminar virus informáticos. La efectividad<br />
de los antivirus va a depender ampliamente, tanto del antivirus del que se trate, como de su<br />
configuración y lo que es más importante, de mantener una base de definiciones de virus<br />
completamente actualizada.<br />
Estos programas tienen como cometido fundamental la detección de los virus, para<br />
posteriormente llevar a cabo la acción, elegida por el usuario, sobre ellos.<br />
Un antivirus no es la solución definitiva. Con esto no queremos decir que no minimice los riesgos<br />
de infección, pero sí que no todos los virus se pueden detectar a tiempo, que no todos los virus se<br />
pueden desinfectar, y por tanto muchas veces no podremos recuperar los datos.Anonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0tag:blogger.com,1999:blog-1839390467286427909.post-35932534757605294442012-09-30T16:27:00.001-05:002012-09-30T16:27:06.012-05:00¿Cómo funcionan los Antivirus?<h2>
<b>Identificación</b></h2>
Para identificar un virus primero deberemos detectarlo y luego determinar de cuál se trata.<br />
A la técnica de identificación se le conoce como “scanning”. Los programas antivirus poseen<br />
cadenas propias de cada virus. Dichas cadenas las usará el antivirus como “huella” para identificar<br />
si un fichero se trata o no de virus y si es así cuál es en concreto.<br />
Teóricamente se deberían comprobar todos los archivos del sistema con todas y cada una de las<br />
cadenas de virus que tiene en la base de datos el antivirus, pero esto en la práctica no es eficiente<br />
ya que sería bastante costoso.<br />
Para que este proceso sea posible, y un usuario pueda identificar un virus, con anterioridad otro<br />
usuario debe haber informado de su presencia a las empresas desarrolladoras de antivirus para<br />
que éstas creen la cadena del virus y preparen su desinfección si es que es posible. Por ello es tan<br />
importante tener actualizadas las bases de datos y que la empresa desarrolladora de nuestro<br />
antivirus saque con frecuencia actualizaciones de las firmas.<br />
Esto último es lo que hace que la técnica de scanning sea algo débil, ya que para que un virus sea<br />
detectado depende de que tengamos su firma en nuestro antivirus. Durante ese transcurso de<br />
tiempo el virus es libre.<br />
<h2>
<b>Detección</b></h2>
Es muy interesante detectar un virus antes de que ocasione daños. Por ello es primordial<br />
detectarlo por encima de identificarlo. La técnica de scanning es algo débil por lo que aparecen<br />
otras técnicas que nos permiten detectar a un virus aunque no sepamos exactamente cual es.<br />
Entre ellas se encuentran el análisis heurístico y la comprobación de integridad.<br />
· Análisis heurístico<br />
Puede ser considerada como la técnica de detección de virus más común. Está técnica analizará los<br />
distintos ficheros en búsqueda de instrucciones, o secuencia de ellas, dañinas para el sistema.<br />
Algunos posibles ejemplos serian instrucciones de que intentarán replicarse, modificaciones en la<br />
FAT, acceso a los contactos de nuestro programa de correo, etc.<br />
No obstante alguna de las instrucciones comentadas antes no tienen porqué ser dañinas. Por ello<br />
esta técnica conlleva multitud de falsas alarmas.<br />
<h2>
<b>· Comprobación de integridad</b></h2>
Técnica de detección que consiste en una vigilancia continua de algunos sectores del sistema<br />
controlando que estos no sean alterados sin el permiso del usuario.<br />
Esta comprobación se realiza tanto en archivos como en sectores de arranque.<br />
Para poder usar está técnica lo primero que deberá hacer el antivirus será crear un registro con las<br />
características (nombre, tamaño, fecha….) de cada uno de los archivos y aplicar sobre cada uno de<br />
ellos un algoritmo que nos dará un valor, en principio único (aunque en ocasiones dos ficheros<br />
distintos han producido checksum idénticos), denominado checksum.<br />
En el momento en que un virus se introduzca en un fichero será detectado por el antivirus al<br />
realizar la consiguiente comprobación de checksum, ya que al aplicar dicho algoritmo sobre el<br />
fichero el checksum resultante no será el mismo.<br />
El método de comprobación de integridad para un MBR o para el sector de boot es bastante<br />
similar, pero en este caso no solo se hará un checksum sino que también se hará una copia de<br />
seguridad de dichos datos. De esta forma cuando el antivirus se encuentre monitorizando si<br />
encuentra alguna diferencia entre los checksum avisará al usuario y dará la posibilidad de<br />
restaurar con las copias de seguridad hechas anteriormente.<br />
Obviamente para que esta técnica sea efectiva, todos los checksum y copias de seguridad deben<br />
realizarse antes de que el sistema esté infectado, ya que si no es así los checksum a pesar de que<br />
un fichero contenga virus estarán correctos.<br />
<h2>
<b>Eliminación</b></h2>
Podría parecer sencillo el hecho de desinfectar o eliminar un virus de un fichero ya que la idea es<br />
sencilla: extraer el código dañino del fichero infectado, que normalmente como ya dijimos se sitúa<br />
en el inicio y fin del fichero. Pero no es una tarea tan sencilla ya que por lo general los antivirus<br />
son capaces de eliminar un pequeño porcentaje de los virus, exactamente de los que se tiene un<br />
amplio conocimiento, por lo general los más conocidos.<br />
Incluso en los casos en los que la eliminación sea posible puede ser peligrosa ya que si el virus no<br />
está perfectamente identificado las técnicas usadas para su eliminación no serán las adecuadas.<br />
Por todo ello quizás lo más adecuado en los casos en que la seguridad sea crítica es borrar dichos<br />
ficheros infectados y restaurarlos con la correspondiente copia de seguridad. Incluso si no estamos<br />
seguros o si la infección se ha realizado en los sectores de arranque la solución pasaría por<br />
formatear la unidad correspondiente (si tenemos la seguridad de que no han sido infectadas las<br />
demás unidades del sistema).<br />
<h2>
<b> Demonios de protección</b></h2>
Conocidos en el ámbito de UNIX como demonios de protección y el de MSDOS como TSR, éstos<br />
son módulos del antivirus que residen en memoria evitando la entrada de cualquier virus y<br />
controlando aquellas operaciones que se consideren sospechosas. Controlará operación de<br />
creación de nuevos ficheros, borrado, copia, etc.<br />
Dichos demonios serán cargados antes que cualquier otro programa para poder detectar desde un<br />
principio la carga en memoria de los posibles virus.<br />
<h2>
<b>Cuarentena</b></h2>
Ya que la eliminación de los virus, como ya indicamos, no siempre es posible, en muchas ocasiones<br />
la solución podría consistir en borrar el fichero. Esto es un procedimiento arriesgado ya que puede<br />
que realmente el fichero no esté infectado, y que no se tenga copia de seguridad para restaurarlo<br />
por lo que borrarlo supondría perderlo. Es aquí cuando surge el concepto de cuarentena.<br />
Todos aquellos ficheros que sospechemos que realmente no están infectados o que nos queremos<br />
asegurar de su infección (porque no podemos permitirnos borrarlos así como así) se pondrán en<br />
cuarentena. La cuarentena consiste en encriptar dicho fichero y guardarlo en un directorio creado<br />
para tal efecto.<br />
Esto paralizará el posible daño del virus, si es que realmente se trata de un virus, o restaurarlo en<br />
el momento en que nos aseguremos de que no es un virus.<br />
<h2>
<b>Bases de datos de antivirus</b></h2>
Para que la técnica de scanning sea efectiva, las definiciones, cadenas o firmas de los virus deben<br />
estar actualizadas. De esto se ocuparán las compañías de antivirus que controlarán los virus<br />
siguiendo sus posibles modificaciones y sacarán nuevas firmas.<br />
No obstante no solo es imprescindible mantener actualizadas dichas firmas sino que también es<br />
importante mantener actualizado el programa antivirus en sí, ya que nos proporcionará técnicas<br />
mejoradas de análisis heurístico, mejora de los demonios de protecciónAnonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0tag:blogger.com,1999:blog-1839390467286427909.post-33409228642341849152012-09-30T16:23:00.002-05:002012-09-30T16:23:55.415-05:00¿Cómo elegir un buen antivirus?Un buen antivirus podría ser aquel que detecta infinidad de virus o que posee un demonio de<br />
protección muy potente. Sin embargo esto no es del todo correcto, ya que dependerá de las<br />
necesidades del usuario. No es lo mismo una multinacional o un gobierno que una pyme o usuario<br />
doméstico.<br />
Según el ámbito en que nos encontremos elegiremos entre máxima seguridad, rendimiento o un<br />
compendio entre ambas. Por norma general un aumento de la seguridad provocará una bajada en<br />
el rendimiento. A pesar de todo esto podríamos decir que existen una serie de características a<br />
tener en cuenta a la hora de elegir un antivirus:<br />
· Frecuencia en las actualizaciones de las firmas de virus.<br />
· Tener un demonio de protección. Aquí se deberá elegir el que más se adecue a nuestras<br />
necesidades ya que existen gran cantidad de demonios que quitan demasiados recursos.<br />
· Contar con un módulo para comprobar la integridad tanto de ficheros como de los sectores<br />
de arranque.<br />
· Opción a realizar copias de seguridad de los ficheros infectados.<br />
· Módulo de cuarentena para los ficheros infectadosAnonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0tag:blogger.com,1999:blog-1839390467286427909.post-11097808044862362012012-09-29T19:37:00.001-05:002012-09-30T16:46:53.074-05:00¿Que es un Virus?<a href="http://www.blogger.com/blogger.g?blogID=1839390467286427909" name="inicio"> </a>En la Real Academia nos encontramos con la siguiente definición del termino virus: “Programa<br />
introducido subrepticiamente en la memoria de un ordenador que, al activarse, destruye total o<br />
parcialmente la información almacenada”.<br />
De una forma más coloquial y quizás más correcta podríamos decir que un virus informático es<br />
programa que se copia automáticamente (sin conocimiento ni permiso del usuario), ya sea por<br />
medios de almacenamiento o por Internet, y que tiene por objeto alterar el normal<br />
funcionamiento del ordenador, que puede ir desde una simple broma; acceso a tus datos<br />
confidenciales; uso de tu ordenador como una maquina zombie; borrado de los datos; etc.<br />
En un principio estos programas eran diseñados casi exclusivamente por los hackers y crackers que<br />
tenían su auge en los Estados Unidos y que hacían temblar a las grandes compañías. Tal vez esas<br />
personas lo hacían con la necesidad de demostrar su creatividad y su dominio de las<br />
computadoras, por diversión o como una forma de manifestar su repudio a la sociedad que los<br />
oprimía. Hoy en día, resultan un buen medio para el sabotaje corporativo, espionaje industrial y<br />
daños a material de una empresa en particular.<br />
Un virus puede ser o no, muy peligroso, pero independientemente de dicho grado, si el sistema a<br />
comprometer es crítico, un virus de bajo grado de peligrosidad podrá causar graves daños. Si por<br />
el contrario dicho virus es muy peligroso y afecta a una computadora familiar sus daños serán<br />
mínimos. Por ello desde el punto de vista de una empresa o gran corporación, un virus sea cual<br />
sea, debe ser considerado siempre como peligroso.<br />
<h3>
Características comunes</h3>
<b>· Dañino:</b> Todo virus causa daño, ya sea de forma implícita, borrando archivos o modificando<br />
información, o bien disminuyendo el rendimiento del sistema. A pesar de esto, existen<br />
virus cuyo fin es simplemente algún tipo de broma.<br />
<b>· Autoreproductor: </b>La característica que más diferencia a los virus es ésta, ya que ningún<br />
otro programa tiene la capacidad de autoreplicarse en el sistema.<br />
<b>· Subrepticio: </b>Característica que le permite ocultarse al usuario mediante diferentes<br />
técnicas, como puede ser mostrarse como una imagen, incrustarse en librerías o en<br />
programas, <br />
Anonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0tag:blogger.com,1999:blog-1839390467286427909.post-64421573351947392272012-09-20T23:24:00.000-05:002012-09-30T23:43:05.122-05:00¿Que es un virus Informatico?<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.youtube.com/embed/wbUVBZHsUZQ?feature=player_embedded' frameborder='0'></iframe></div>
<br />Anonymoushttp://www.blogger.com/profile/04279005178123756330noreply@blogger.com0