SEGURIDAD - VIRUS

INTEGRANTESEdwin Aguilar YagualWilson Dávila SantanaJorge Polo QuiñonezJorge López Buñay

VIRUS INFORMÁTICO• Un virus informático tiene por objeto alterar el

normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.

• Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este.

• Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.

ATAQUES DESDE FUERA DEL SISTEMA

• Una computadora en una red puede ser atacada desde una computadora distante a través de la red. En casi todos los casos, semejante ataque consiste en trasmitir un código por la red a la maquina objetivo, donde se ejecutara y causara daño. A medida que aumenta el número de computadoras que se unen a internet, crece el daño potencial.

• Se podría decir que los creadores de virus no buscan publicidad una vez que sus productos han debutados. En base a escasas pruebas con que se cuenta, al parecer en su mayoría esas personas son estudiantes de educación media o universitarios, o posgrado que escribieron el virus como un desafío.

ATAQUES DESDE FUERA DEL SISTEMA

Amenazas LógicasLos protocolos de comunicación utilizados carecen de

seguridad o esta ha sido implementada en forma de "parche" tiempo después de su creación.

• Existen agujeros de seguridad en los sistemas operativos.

• Existen agujeros de seguridad en las aplicaciones.• Existen errores en las configuraciones de los sistemas.• Los usuarios carecen de información respecto al tema.

ATAQUES DESDE FUERA DEL SISTEMA

Acceso - Uso – Autorización

• La identificación de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras.

• Específicamente "Acceso" y "Hacer Uso" no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso. Por ejemplo:

• Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso.

• Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema.

• Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado (simulación de usuario).

TIPOS DE ATAQUES

• Ingeniería Social• Ingeniería Social Inversa• Trashing (Cartoneo)• Ataques de Monitorización• Ataques de Autenticación• Denial of Service (DoS)• Ataques de Modificación - Daño

DAÑOS CAUSADOS• Pérdida de datos.- Algunos virus son

capaces de sobrescribir el contenido del disco duro con información basura (por ej. los virus SMEG, Patógenos y Hare)

• Corrupción de los datos del disco duro En algunos casos la corrupción continuada es más difícil de recuperar, que la pérdida total porque las copias de seguridad pueden encontrarse en mal estado.

• Modificación de los datos de documentos o hojas de cálculo añadiendo datos o corrompiendo los originales del documento (por ej. Los virus de macro Wazzu, Switcher o Compat)

• Pérdida de confidencialidad.- Algunos virus de correo electrónico como Melissa pueden enviar automáticamente documentos conteniendo información confidencial a los destinatarios incluidos en la libreta de direcciones de Microsoft Outlook sin conocimiento del usuario.

DAÑOS CAUSADOSAlgunas de las acciones de algunos virus son:• Unirse a un programa instalado en el ordenador

permitiendo su propagación.• Mostrar en la pantalla mensajes o imágenes

humorísticas, generalmente molestas.• Ralentizar o bloquear el ordenador.• Destruir la información almacenada en el disco, en

algunos casos vital para el sistema, que impedirá el funcionamiento del equipo.

• Reducir el espacio en el disco.• Molestar al usuario cerrando ventanas, moviendo el

ratón.

FUNCIONAMIENTO • El funcionamiento de un virus informático es

conceptualmente simple, se ejecuta un programa que está infectado, en la mayoría de las ocasiones por desconocimiento del usuario. El código del virus es alojado en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse.

• El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución.

• Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.

VIRUS DE SECTOR DE ARRANQUE

• Como su nombre lo indica, infecta el sector de arranque del disco duro.• Dicha infección se produce cuando se intenta cargar el sistema

operativo desde un disco infectado.• Infecta los diskettes o discos duros, alojándose en el boot sector.• Este tipo de virus no infecta ficheros, sino los discos que los

contienen.• Cuando un ordenador se pone en marcha con un disquete

infectado, el virus de boot infectará a su vez el disco duro.• Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.

TIPOS DE VIRUSExisten diversos tipos de virus, varían según su función o la manera en que éste se

ejecuta en nuestra computadora alterando la actividad de la misma, entre los más comunes están:

• Troyano.- Consiste en robar información o alterar el sistema del hardware o en un caso extremo permite que un usuario externo pueda controlar el equipo.

• Gusano.- Tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.

• Bombas lógicas o de tiempo.- Son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario.

• Hoax.- Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas novatos.

TIPOS DE VIRUS

VIRUS INFECTORES DE PROGRAMAS EJECUTABLES • La infección se produce al ejecutar el programa que contiene el

virus, en ese momento busca todos los programas cuyas extensiones sean .COM o .EXE.• Cuando un programa infectado está ejecutándose, el virus puede

permanecer residente en memoria e infectar cada programa que se ejecute.• Los virus de este tipo tienen dos formas de alojarse en el

ejecutable.• Graban su código de inicio al principio del archivo, realizando un

salto para ejecutar el programa básico y regresar al programa infectado.

TIPOS DE VIRUS

Virus residentes en memoria

• La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados, Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky.

TIPOS DE VIRUS• Virus de acción directaAl contrario que los residentes, estos virus no permanecen en

memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos.

• Virus de sobreescrituraEstos virus se caracterizan por destruir la información contenida en los

ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles.

• Virus de enlace o directorioLos ficheros se ubican en determinadas direcciones (compuestas

básicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos.

TIPOS DE VIRUS• Virus cifradosMás que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a

su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar.

• Virus polimórficosSon virus que en cada infección que realizan se cifran de una forma distinta (utilizando

diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.

• Virus multipartitesVirus muy avanzados, que pueden realizar múltiples infecciones, combinando

diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc.

• Virus de FATLa Tabla de Asignación de Ficheros o FAT es la sección de un disco utilizada para

enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema. Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas partes del disco, donde se almacenan los ficheros críticos para el normal funcionamiento del ordenador.

VIRUS DE MACROS• A diferencia de los virus ordinarios, los virus de

macro no infectan programas, infectan documentos.

• Además de propagarse, los virus de macros pueden hacer otras cosas peligrosas, como eliminar/cambiar el contenido de un documento, cambiar configuraciones del entorno Word, configurar una contraseña, eliminar archivos, copiar un virus de DOS en el sistema del usuario o insertar líneas nocivas en los archivos config.sys o autoexec.bat

VIRUS DE MACROS

• El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones que contengan macros: documentos de Word (ficheros con extensión DOC), hojas de cálculo de Excel (ficheros con extensión XLS), bases de datos de Access (ficheros con extensión MDB), presentaciones de PowerPoint (ficheros con extensión PPS), ficheros de Corel Draw.

VIRUS DE MACROS

• Potencialmente, los virus de macros pueden propagarse a través de todos los sistemas operativos que sean capaces de ejecutar el archivo que contiene la macro, como PC y Mac. Algunos virus de macros que intentan dañar una parte del sistema del usuario fuera de Word no podrán provocar dicho daño en un equipo con otro sistema.

• Por ejemplo, un virus de macro que intente modificar el archivo Config.sys del usuario en su PC va a tenerlo muy difícil si intenta hacer lo mismo en un Mac, que no tiene ningún archivo Config.sys.

CONSEJOS PARA PROTEGERSE DE LOS VIRUS DE MACROS

• Lo más conveniente es no permitir la ejecución de macros en archivos que no conozcamos. En este sentido, Word y Excel siempre advierten con una ventana que el fichero incorpora macros y nos solicitan confirmación para su apertura.

• Pulsar la tecla Mayusculas (shift) mientras se abre o cierra un archivo de Word impide que se ejecuten las macros AUToOpen y AutoClose, con lo que se inactivan posibles virus que utilicen estas Autos.

• Una buena costumbre es enviar nuestros archivos (y pedir que nos los envien a nosotros) en formato .rtf en vez de .doc, ya que los primeros no soportan macros y así se evita el contagio de este tipo de virus. ES IMPORTANTE QUE si se trata de un documento word (.doc) simplemente renombrado a .rtf, no sirve porque se abrirá con word y las macros se ejecutarán. Se trata de que el documento de word sea grabado directamente como rft en lugar de doc (ademas ocupará mucho menos espacio, y es un formato mucho mas compatible)

ANTIVIRUS• Los antivirus son una herramienta simple cuyo objetivo es

detectar y eliminar virus informáticos. Empezaron a usarse durante la década de 1980.

• Existen numerosos medios para combatir el problema; Sin embargo, a medida que nuevos programas y sistemas operativos se introducen en el mercado, más difícil es tener controlados a todos los virus.

• Ante este tipo de problemas, están los software llamados antivirus. Estos antivirus tratan de descubrir las trazas que ha dejado un software malicioso para detectarlo o eliminarlo, y en algunos casos contener o parar la contaminación (cuarentena).

TIPOS DE VACUNAS• CA: Sólo detección: Son vacunas que solo actualizan archivos infectados

sin embargo no pueden eliminarlos o desinfectarlos.• CA: Detección y desinfección: son vacunas que detectan archivos

infectados y que pueden desinfectarlos.• CA: Detección y aborto de la acción: son vacunas que detectan archivos

infectados y detienen las acciones que causa el virus• CB: Comparación por firmas: son vacunas que comparan las firmas de

archivos sospechosos para saber si están infectados.• CB: Comparación de signature de archivo: son vacunas que comparan las

signaturas de los atributos guardados en tu equipo.• CB: Por métodos heurísticos: son vacunas que usan métodos heurísticos

para comparar archivos.• CC: Invocado por el usuario: son vacunas que se activan

instantáneamente con el usuario.• CC: Invocado por la actividad del sistema: son vacunas que se activan

instantáneamente por la actividad del sistema windows xp/vista

MEDIDAS ANTIVIRUS• Desactivar compartir archivos e impresoras.• Analizar con el antivirus todo archivo recibido por e-mail antes de abrirlo.• Actualizar el antivirus.• Activar la protección contra macro virus del Word y el Excel.• Ser cuidadoso al bajar archivos de Internet (Analice si vale el riesgo y si el

sitio es seguro)• No envíe su información personal ni financiera a menos que sepa quien se

la solicita y que sea necesaria para la transacción.• No comparta discos con otros usuarios.• No entregue a nadie sus claves, incluso si lo llaman del servicio de Internet

u otros.• Enseñe a los niños las prácticas de seguridad, sobre todo la entrega de

información.• Cuando realice una transacción asegúrese de utilizar una conexión bajo

SSL• Proteja contra escritura el archivo Normal.dot• Distribuya archivos RTF en vez de documentos.• Realice copias de seguridad.