I.E. PNP “Mariano Santos Mateos”

“El virus informático”

NOMBRE:

Mayra Alexandra Castro Arana

GRADO Y SECCIÓN:

3º “C”

PROFESORA:

Mercedes Méndez Rojas

AÑO:

Trujillo – Perú

200 91

ÍNDICE

Carátula………………………………………………………….01

Índice……..……………………………………………………….02

Presentación……………………………………………………..03

Introducción……………………………………………………...04

Desarrollo del Tema: Virus

Informático……………………...05

2

PRESENTACIÓN

La alumna Mayra Alexandra Castro Arana del 3º grado “C”

del nivel secundario Tiene el agrado de presentar el trabajo

monográfico que tiene como título “El virus Informático”.

El presente trabajo tiene como objetivo mostrar como

atacan los virus a las computadoras y como afectan a las

empresas como se puede combatir y prevenir ante los virus

con soluciones conocidas como son los antivirus.

INTRODUCCIÓN

3

Debemos saber que los virus están en constante evolución

como los virus que afectan a los humanos cada vez son

más fuertes y mas invulnerables a los ataques de los

antivirus y afectan a empresarios de una manera muy

grande, los creadores de dicho virus son los hackers ya que

ellos manipulan donde deben atacar sus programas ya que

estos son solo programas que atacan el sistema.

Las computadoras presentan varios síntomas después de

que son infectadas como que son lentas o manejan

mensajes de burla hacia el usuario e inutiliza el sistema ya

sea de una manera parcial o totalmente.

Aquí se presentaran datos de este tipo y algunas soluciones

para ellos así como algunas estrategias de detección para

proteger su computadora.

EL VIRUS INFORMÁTICO

4

Un virus informático es un malware que tiene por objeto alterar el

normal funcionamiento de la computadora, sin el permiso o el

conocimiento del usuario. Los virus, habitualmente, reemplazan

archivos ejecutables por otros infectados con el código de este.

Los virus pueden destruir, de manera intencionada, los datos

almacenados en un ordenador, aunque también existen otros más

"benignos", que solo se caracterizan por ser molestos.

Los virus informáticos tienen, básicamente, la función de

propagarse a través de un software, no se replican a sí mismos por

que no tienen esa facultad como el gusano informático, son muy

nocivos y algunos contienen además una carga dañina (payload)

con distintos objetivos, desde una simple broma hasta realizar

daños importantes en los sistemas, o bloquear las redes

informáticas generando tráfico inútil.

El funcionamiento de un virus informático es conceptualmente

simple. Se ejecuta un programa que está infectado, en la mayoría

de las ocasiones, por desconocimiento del usuario. El código del

virus queda residente (alojado) en la memoria RAM de la

computadora, aun cuando el programa que lo contenía haya

terminado de ejecutarse. El virus toma entonces el control de los

servicios básicos del sistema operativo, infectando, de manera

posterior, archivos ejecutables que sean llamados para su

ejecución. Finalmente se añade el código del virus al del programa

infectado y se graba en disco, con lo cual el proceso de replicado

se completa.

Historia

El primer virus que atacó a una máquina IBM Serie 360 (y

reconocido como tal), fue llamado Creeper, creado en 1972. Este

programa emitía periódicamente en la pantalla el mensaje: «I'm a

creeper... catch me if you can!» (Soy una enredadera, agárrenme

5

si pueden). Para eliminar este problema se creó el primer

programa antivirus denominado Reaper (cortadora).

Sin embargo, el término virus no se adoptaría hasta 1984, pero

éstos ya existían desde antes. Sus inicios fueron en los laboratorios

de Bell Computers. Cuatro programadores (H. Douglas Mellory,

Robert Morris, Víctor Vysottsky y Ken Thompson) desarrollaron un

juego llamado Core Wars, el cual consistía en ocupar toda la

memoria RAM del equipo contrario en el menor tiempo posible.

Después de 1984, los virus han tenido una gran expansión, desde

los que atacan los sectores de arranque de disquetes hasta los que

se adjuntan en un correo electrónico.

Virus informáticos y Sistemas Operativos

Los virus informáticos afectan en mayor o menor medida a casi

todos los sistemas más conocidos y usados en la actualidad.

Las mayores incidencias se dan en el sistema operativo Windows

debido, entre otras causas, a:

Su gran popularidad, como sistema operativo, entre los

ordenadores personales, PC. Se estima que, en el 2007, un 90% de

ellos usa Windows. Esta popularidad basada en la facilidad de uso

sin conocimiento previo alguno, facilita la vulnerabilidad del

sistema para el desarrollo de los virus, y así atacar sus puntos

débiles, que por lo general son abundantes.

Falta de seguridad en esta plataforma (situación a la que Microsoft

está dando en los últimos años mayor prioridad e importancia que

en el pasado). Al ser un sistema muy permisivo con la instalación

de programas ajenos a éste, sin requerir ninguna autentificación

por parte del usuario o pedirle algún permiso especial para ello (en

los Windows basados en NT se ha mejorado, en parte, este

problema).

6

Software como Internet Explorer y Outlook Express, desarrollados

por Microsoft e incluidos de forma predeterminada en las últimas

versiones de Windows, son conocidos por ser vulnerables a los

virus ya que éstos aprovechan la ventaja de que dichos programas

están fuertemente integrados en el sistema operativo dando

acceso completo, y prácticamente sin restricciones, a los archivos

del sistema.

La escasa formación de un número importante de usuarios de este

sistema, lo que provoca que no se tomen medidas preventivas por

parte de estos, ya que este sistema está dirigido de manera

mayoritaria a los usuarios no expertos en Informática. Esta

situación es aprovechada constantemente por los programadores

de virus.

En otros sistemas operativos como Mac OS X, GNU/Linux y otros

basados en Unix las incidencias y ataques son prácticamente

inexistentes. Esto se debe principalmente a:

Tradicionalmente los programadores y usuarios de sistemas

basados en Unix/BSD han considerado la seguridad como una

prioridad por lo que hay mayores medidas frente a virus tales

como la necesidad de autenficación por parte del usuario como

administrador o root para poder instalar cualquier programa

adicional al sistema.

Los directorios o carpetas que contienen los archivos vitales del

sistema operativo cuentan con permisos especiales de acceso, por

lo que no cualquier usuario o programa puede acceder fácilmente

a ellos para modificarlos o borrarlos. Existe una jerarquía de

permisos y accesos para los usuarios.

Relacionado al punto anterior, a diferencia de los usuarios de

Windows, la mayoría de los usuarios de sistemas basados en Unix

no pueden normalmente iniciar sesiones como usuarios

7

Administradores o por el superusuario root, excepto para instalar o

configurar software, dando como resultado que, incluso si un

usuario no administrador ejecuta un virus o algún software

malicioso, éste no dañaría completamente el sistema operativo ya

que Unix limita el entorno de ejecución a un espacio o directorio

reservado llamado comúnmente home.

Estos sistemas, a diferencia de Windows, son usados para tareas

más complejas como servidores que por lo general están

fuertemente protegidos, razón que los hace menos atractivos para

un desarrollo de virus o software malicioso.

Características

Dado que una característica de los virus es el consumo de

recursos, los virus ocasionan problemas tales como: pérdida de

productividad, cortes en los sistemas de información o daños a

nivel de datos.

Una de las características es la posibilidad que tienen de

diseminarse por medio de replicas y copias. Las redes en la

actualidad ayudan a dicha propagación cuando éstas no tienen la

seguridad adecuada.

Otros daños que los virus producen a los sistemas informáticos son

la pérdida de información, horas de parada productiva, tiempo de

reinstalación, etc.

Hay que tener en cuenta que cada virus plantea una situación

diferente.

Métodos de propagación

8

Existen dos grandes clases de contagio. En la primera, el usuario,

en un momento dado, ejecuta o acepta de forma inadvertida la

instalación del virus. En la segunda, el programa malicioso actúa

replicándose a través de las redes. En este caso se habla de

gusanos.

En cualquiera de los dos casos, el sistema operativo infectado

comienza a sufrir una serie de comportamientos anómalos o

imprevistos. Dichos comportamientos pueden dar una pista del

problema y permitir la recuperación del mismo.

Dentro de las contaminaciones más frecuentes por interacción del

usuario están las siguientes:

Mensajes que ejecutan automáticamente programas (como el

programa de correo que abre directamente un archivo adjunto).

Ingeniería social, mensajes como ejecute este programa y gane un

premio.

Entrada de información en discos de otros usuarios infectados.

Instalación de software pirata o de baja calidad.

En el sistema Windows puede darse el caso de que el ordenador

pueda infectarse sin ningún tipo de intervención del usuario

(versiones Windows 2000, XP y Server 2003) por virus como

Blaster, Sasser y sus variantes por el simple hecho de estar la

máquina conectada a una red o a Internet. Este tipo de virus

aprovechan una vulnerabilidad de desbordamiento de búfer y

puertos de red para infiltrarse y contagiar el equipo, causar

inestabilidad en el sistema, mostrar mensajes de error, reenviarse

a otras máquinas mediante la red local o Internet y hasta reiniciar

el sistema, entre otros daños. En las últimas versiones de Windows

2000, XP y Server 2003 se ha corregido este problema en su

mayoría.

9

Métodos de protección y tipos

Los métodos para disminuir o reducir los riesgos asociados a los

virus pueden ser los denominados activos o pasivos.

- Activos:

Antivirus: los llamados programas antivirus tratan de descubrir

las trazas que ha dejado un software malicioso, para detectarlo y

eliminarlo, y en algunos casos contener o parar la contaminación.

Tratan de tener controlado el sistema mientras funciona parando

las vías conocidas de infección y notificando al usuario de posibles

incidencias de seguridad.

Filtros de ficheros: consiste en generar filtros de ficheros

dañinos si el ordenador está conectado a una red. Estos filtros

pueden usarse, por ejemplo, en el sistema de correos o usando

técnicas de firewall. En general, este sistema proporciona una

seguridad donde no se requiere la intervención del usuario, puede

ser muy eficaz, y permitir emplear únicamente recursos de forma

más selectiva.

- Pasivos:

Evitar introducir a tu equipo medios de almacenamiento

removibles que consideres que pudieran estar infectados con

algún virus.

No instalar software "pirata".

Evitar descargar software de Internet.

10

No abrir mensajes provenientes de una dirección electrónica

desconocida.

No aceptar e-mails de desconocidos.

Generalmente, suelen enviar "fotos" por la web, que dicen

llamarse "mifoto.jpg", tienen un ícono cuadrado blanco, con una

línea azul en la parte superior. En realidad, no estamos en

presencia de una foto, sino de una aplicación Windows (*.exe). Su

verdadero nombre es "mifoto.jpg.exe", pero la parte final "*.exe"

no la vemos porque Windows tiene deshabilitada (por defecto) la

visualización de las extensiones registradas, es por eso que solo

vemos "mifoto.jpg" y no "mifoto.jpg.exe". Cuando la intentamos

abrir (con doble clik) en realidad estamos ejecutando el código de

la misma, que corre bajo MS-DOS.

Tipos de virus e imitaciones:

Existen diversos tipos de virus, varían según su función o la

manera en que éste se ejecuta en nuestra computadora alterando

la actividad de la misma, entre los más comunes están:

-Troyano: que consiste en robar información o alterar el sistema

del hardware o en un caso extremo permite que un usuario

externo pueda controlar el equipo.

-Gusano: tiene la propiedad de duplicarse a sí mismo. Los

gusanos utilizan las partes automáticas de un sistema operativo

que generalmente son invisibles al usuario.

-Bombas Lógicas o de Tiempo: son programas que se activan al

producirse un acontecimiento determinado. La condición suele ser

una fecha (Bombas de Tiempo), una combinación de teclas, o

ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la

condición permanece oculto al usuario.

11

-Hoax: los hoax no son virus ni tienen capacidad de reproducirse

por sí solos. Son mensajes de contenido falso que incitan al usuario

a hacer copias y enviarla a sus contactos. Suelen apelar a los

sentimientos morales ("Ayuda a un niño enfermo de cáncer") o al

espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y,

en cualquier caso, tratan de aprovecharse de la falta de

experiencia de los internautas novatos.

Acciones de los virus:

-Unirse a un programa instalado en el ordenador permitiendo su

propagación.

-Mostrar en la pantalla mensajes o imágenes humorísticas,

generalmente molestas.

-Ralentizar o bloquear el ordenador.

-Destruir la información almacenada en el disco, en algunos casos

vital para el sistema, que impedirá el funcionamiento del equipo.

-Reducir el espacio en el disco.

Infección de canales IRC

 (El chat convoca a una enorme cantidad de "victimas")

El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir

la comunicación entre usuarios de Internet en "tiempo real', haciendo

12

uso de software especiales, llamados "clientes IRC" (tales como el

mIRC, pIRCh, Microsoft Chat).

Mediante un software de chat, el usuario puede conectarse a uno o

más canales IRC, pero es necesario que primero se conecte a un

servidor chat, el cual a su vez, está conectado a otros servidores

similares, los cuales conforman una red IRC. Los programas "clientes

IRC" facilitan al usuario las operaciones de conexión, haciendo uso del

comando /JOIN, para poder conectarse a uno o más canales.

Las conversaciones pueden ser públicas (todo el canal visualiza lo que

el usuario digita) o privadas (comunicación entre 2 personas).

Para "cargar" una sesión de chat los usuarios deben registrarse en un

servidor chat, elegir un canal y un apodo (nickname). Todo esto se

hace mediante un denominado "bachero", que emplea comandos

propios del protocolo IRC, permitiendo ejecutar estas operaciones de

manera intuitiva y proporcionando al usuario un entorno grafico

amigable.

Como atacan los gusanos (VBS/Worms)

Todos los gusanos del Chat, siguen el mismo principio de infección.

Usando el comando SEND file, envían automáticamente una copia del

SCRIPT.INI a todas las personas conectadas al canal chat, además de

otras instrucciones dentro de un Visual Basic Script. Este script que

contiene el código viral sobre-escribe al original, en el sistema remoto

del usuario, logrando infectarlo, así como a todos los usuarios

conectados a la vez, en ese mismo canal.

Este tipo de propagación de archivos infectados, se debe a la

vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas

las versiones de PIRCH, antes de PIRCH98.

2. Re-envío de mensajes de la libreta de direcciones Microsoft

Outlook.

Office 95/97/2000/XP, respectivamente, integran sus programas MS

Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual

13

Basic for Aplications, que permiten invocar la ejecución de

determinadas instrucciones. En MS Word y Excel, el usuario tiene

acceso a un Editor de Visual Basic. Aunque también pueden editar

instrucciones y comandos con el NotePad y archivarlo con la

extensión .VBS

Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en

Visual Basic for Aplications, tienen un fácil y poderoso acceso a los

recursos de otros usuarios de MS Office. El más afectado es la libreta

de direcciones de MS Outlook, el cual es controlado por las

instrucciones del VBS y recibe la orden de re-enviar el mensaje con el

archivo anexado, en formato VBS, a todos los nombres de la libreta

de direcciones del sistema de usuario infectado.

Estas infecciones también se reproducen entre todos los usuarios de

una red, una vez que uno de sus usuarios ha sido infectado.

Web

Los applets de JAVA y los controles Active X, son unos lenguajes

nuevos orientados a Internet, pero las nuevas tecnologías abren un

mundo nuevo a explotar por los creadores de virus.

 De momento no son muy utilizados pero a partir del 2000, superaran

en número a los virus de macro.

ACTIVE X vs JAVA:

Síntomas

¿Cuáles son los síntomas más comunes cuando tenemos un virus?

Reducción del espacio libre en la memoria o disco duro.

 Un virus, cuando entra en un ordenador, debe situarse

obligatoriamente en la memoria RAM , y por ello ocupa una porción

14

de ella. Por tanto, el tamaño útil operativo de la memoria se reduce

en la misma cuantía que tiene el código del virus.

- Aparición de mensajes de error no comunes.

- Fallos en la ejecución de  programas.

- Frecuentes caídas del sistema

- Tiempos de carga mayores.

- Las operaciones rutinarias se realizan con más lentitud.

- Aparición de programas residentes en memoria desconocidos.

- Actividad y comportamientos inusuales de la pantalla.

 Muchos de los virus eligen el sistema de vídeo para notificar al

usuario su presencia en el ordenador. Cualquier desajuste de la

pantalla, o de los caracteres de esta nos puede notificar la

presencia de un virus.

El disco duro aparece con sectores en mal estado

  Algunos virus usan sectores del disco para camuflarse, lo que

hace que aparezcan como dañados o inoperativos.

Cambios en las características de los ficheros ejecutables

  Casi todos los virus de fichero, aumentan el tamaño de un fichero

ejecutable cuando lo infectan. También puede pasar, si el virus no

ha sido programado por un experto, que cambien la fecha del

fichero a la fecha de infección.

Aparición de anomalías en el teclado

  Existen algunos virus que definen ciertas teclas que al ser

pulsadas, realizan acciones perniciosas en el ordenador. También

suele ser común el cambio de la configuración de las teclas, por la

del país donde se programo el virus.

Técnicas

15

  Detallamos las técnicas más utilizadas por los virus para ocultarse,

reproducirse y camuflarse de los antivirus.

OCULTACIÓN:

Mecanismos de Stealth :

 Éste es el nombre genérico con el que se conoce a las técnicas de

ocultar un virus. Varios son los grados de stealth, y en ellos se

engloban argucias tan diversas como la originalidad y nivel del autor

permiten. A un nivel básico basta saber que en general capturan

determinadas interrupciones del PC para ocultar la presencia de un

virus, como mantener la fecha original del archivo, evitar que se

muestren los errores de escritura cuando el virus escribe en discos

protegidos, restar el tamaño del virus a los archivos infectados

cuando se hace un DIR o modificar directamente la FAT, etc.

o Mantener la fecha original del archivo

o Restaura el tamaño original de los archivos infectados

o Modifica directamente la FAT

o Modifican la tabla de Vectores de Interrupción

o Se instalan en los buffers del DOS

o Soportan la reinicializacion del sistema por teclado

o Se instalan por encima de los 649 KB normales del DOS

o Evita que se muestren mensajes de error, cuando el virus intenta

escribir sobre discos protegidos.

 Técnicas de stealth avanzadas pretenden incluso hacer invisible al

virus frente a un antivirus. En esta categoría encontramos los virus

que modifican la tabla de vectores de interrupción (IVT), los que se

instalan en alguno de los buffers de DOS, los que se instalan por

encima de los 640KB e incluso los hay que soportan la reinicialización

del sistema por teclado.

16

Técnicas de auto encriptación

Esta técnica muy utilizada, consigue que el virus se encripte de

manera diferente cada vez que se infecta el fichero, para intentar

pasar desapercibido ante los antivirus.

PROTECCIÓN ANTIVIRUS:

Anti-debuggers :

 Un debugger es un programa que permite descompilar programas

ejecutables y mostrar parte de su código en lenguaje original.

 Los virus usan técnicas para evitar ser desensamblados y así impedir

su análisis para la fabricación del antivirus correspondiente.

Armouring

Mediante esta técnica el virus impide que se examinen los archivos

que él mismo ha infectado. Para conocer más datos sobre cada uno

de ellos, éstos deben ser abiertos (para su estudio) como ficheros que

son, utilizando programas especiales (Debuger) que permiten

descubrir cada una de las líneas del código (lenguaje de

programación en el que están escritos). Pues bien, en un virus que

utilice la técnica de Armouring no se podrá leer el código.

CAMUFLAJE

Mecanismos Polimórficos:

Es una técnica para impedir ser detectados, es la de variar el método

de encriptación de copia en copia. Esto obliga a los antivirus a usar

técnicas heurísticas ya que como el virus cambia en cada infección es

imposible localizarlo buscándolo por cadenas de código. Esto se

consigue utilizando un algoritmo de encriptación que pone las cosas

muy difíciles a los antivirus. No obstante no se puede codificar todo el

17

código del virus, siempre debe quedar una parte sin mutar que toma

el control y esa es la parte más vulnerable al antivirus. 

 La forma más utilizada para la codificación es la operación lógica

XOR. Esto es debido que esta operación es reversible: 

       2XOR5=3 

       3 XOR 2 = 5 

 En este caso la clave es el número 9, pero utilizando una clave

distinta en cada infección se obtiene una codificación también

distinta. 

 Otra forma también muy utilizada consiste en sumar un número fijo a

cada byte del código vírico.

EVASIÓN:

Técnica de Tunneling :

Con esta técnica, intentar burlar los módulos residentes de los

antivirus mediante punteros directos a los vectores de interrupción.

 Requiere una programación compleja, hay que colocar el procesador

en modo paso a paso. En este modo de funcionamiento, tras

ejecutarse cada instrucción se produce la interrupción 1.

 Se coloca una ISR (Interrupt Service Routine) para dicha interrupción

y se ejecutan instrucciones comprobando cada vez si se ha llegado a

donde se quería hasta recorrer toda la cadena de ISRs que haya

colocando el parche al final de la cadena.

RESIDENTES TSR :

Los virus utilizan esta técnica para permanecer residente en memoria

y así mantener el control sobre todas las actividades del sistema y

contaminar todo lo que encuentren a su paso.

18

 El virus permanece en memoria mientras el ordenador permanezca

encendido.

 Por eso una de las primeras cosas que hace al llegar a la memoria es

contaminar los ficheros de arranque del sistema para asegurarse de

que cuando se vuelva a arrancar el ordenador volverá a ser cargado

en memoria.

19