Formulario

Propagación de los virus infotmaticos

Métodos de Infección y Propagación, Detección, Eliminación, Protección, Prevención de los Virus Informáticos.

Infecciones: la expansión de un virus

Los virus informáticos se difunden cuando las instrucciones que los hacen funcionar pasan de una computadora a otra. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, un pendrive, en el disco duro, en programas informáticos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en los computadores personales porque los programas que utilizan se intercambian mediante discos flexibles o redes de computadoras no reguladas.

Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Es por esto, que si una computadora simplemente está conectada a una red informática infectada, no se infectará necesariamente. Un usuario no ejecutaría conscientemente un código informático potencialmente nocivo, es por esto que los virus se diseñan para tratar de engañar al sistema operativo de la computadora o al usuario para que ejecute el programa viral.

vías de infección Internet y el correo electrónico han llegado a ser herramientas imprescindibles para todas las personas en cualquier ámbito de su vida, al representar una manera de acceso y difusión rápida y versátil. Pero al mismo tiempo, los virus evolucionan usando estas mismas vías para difundirse de forma masiva. Con el fin de cerrar el paso en cada una de las principales vías usadas por los virus para ingresar en las computadoras, se debe tener presente algunas precauciones específicas según sea el caso.

Correo Electrónico      • No confiar la dirección de correo a desconocidos      • No abrir archivos adjuntos en mensajes de origen desconocido.      • Utilizar un sistema de protección antivirus capaz de detectar virus en tiempo real antes que ser        copiados al disco duro. Internet      • Utilizar conexiones Web seguras para navegar.      • Restringir en el servidor Proxy el acceso a las páginas que puedan ser peligrosas.      • Evitar las conexiones individuales por módem o asegúrese que el proveedor brinda servicios de        seguridad.      • Utilizar sistemas antivirus actualizados. CDs, discos flexibles y pendrives     • Evitar el ingreso de medios con contenido desconocido a las computadoras.      • Revisar los contenidos de los medios con el antivirus antes de usarlos.      • Utilizar soluciones antivirus que traten todo tipo de virus. Protección contra virus Ante la propagación de virus, los usuarios pueden prepararse para hacer frente a sus ataques y virtuales infecciones. Se debe ser cauteloso con los programas que se ofrecen como regalo o comoshareware en la Web , muchos de ellos pueden constituir caballos de Troya que pueden desencadenar daños en las computadoras, una vez que son ejecutados. Muchas infecciones virales pueden prevenirse obteniendo los programas solamente de fuentes confiables. La única manera práctica de descubrir y aislar las infecciones de virus tan pronto ocurran, es usarprogramas de detección de virus o antivirus. Los antivirus son a su vez programas que permiten detectar y eliminar virus y otros programas maliciosos. El uso regular de los programas antivirus para la detección, es semejante a las inspecciones regulares realizadas en odontología preventiva: mientras más rápido sean detectados los virus, más fácil será minimizar sus efectos. Cuando se detectan archivos infectados, los usuarios pueden tratarlos o borrarlos con el fin de eliminar los virus escondidos en ellos. Grisof ofrece en su sitio web una versión gratuita del antivirus AVG (Explora la imagen) Entre las múltiples características que presentan los antivirus, se tiene un componente que se carga y reside en memoria para verificar los archivos abiertos, creados y modificados en tiempo real. También suelen contar con componentes que revisan los adjuntos de los correos electrónicos salientes y entrantes en los manejadores o clientes de correo. Pero ante la explosiva aparición de nuevos virus, es de vital importancia mantenerlos actualizados. No es muy útil contar con un antivirus para protección, si éste no tiene una base de datos actualizada. Las actualizaciones son ofrecidas constantemente en línea por las casas de antivirus de donde se pueden descargar. Las opciones en antivirus del mercado son variadas y se puede consultar sus características en las tiendas informáticas, para escoger el más adecuado para cada equipo. Paralelamente puede consultarse a algunas aplicaciones de antivirus en línea, que son aceptablemente efectivos y gratuitos, ofrecidas por empresas reconocidas y pueden ser descargados desde sus sitios Web. Se debe hacer copias de seguridad de los sistemas con frecuencia. No existen sistemas de protección ni antivirales de absoluta seguridad. Se debe hacer copias de seguridad regularmente de manera que cuando aparece el desastre, los usuarios que han mantenido sus respaldos actualizados reirán de último porque tendrán sus datos. Se debe contar con copias de seguridad del software original y copias actualizadas y frecuentes de los archivos de datos, para poder recuperar el sistema informático en su totalidad en caso necesario. Puede copiarse en un medio de almacenamiento secundario (disco flexible, CD u otro) el software del sistema operativo, tomando medidas para protegerlo contra escritura si es el caso, para que ningún virus pueda sobrescribir en el medio. Soluciones: qué hacer con un sistema infectado Cuando las infecciones virales hayan sido confirmadas, es determinante una acción rápida. Al retrasarse la erradicación, puede propagarse la infección hasta el punto, que incluso llegue a ser imposible eliminar los virus sin poder evitar la pérdida de datos. Es probable que algunos usuarios, aún sabiendo que en su computadora pulula un virus, continúen trabajando mientras el virus se multiplica internamente. Quizás no capte la severidad del problema en que se encuentra o piense que el problema desaparecerá en algún tiempo. Esos valiosos documentos en que continúa trabajando tal vez se convertirán en algo irrecuperable si los virus logran atraparlo. Se debe ejecutar lo más pronto posible un programa antivirus, o un par de ellos, que encuentre los archivos con virus y los arregle si es posible. De lo contrario, los deberá eliminar y si se trata de archivos o programas importantes, deben sustituirse luego por sus originales (que debería tener como respaldo) para terminar el proceso de reparación. Prevención, Detección y Eliminación Una buena política de prevención y detección nos puede ahorrar sustos y desgracias. Las medidas de prevención pasan por el control, en todo momento, del software ya introducido o que se va a introducir en nuestro ordenador, comprobando la fiabilidad de su fuente. Esto implica la actitud de no aceptar software no original, ya que el pirateo es una de las principales fuentes de contagio de un virus, siendo también una practica ilegal y que hace mucho daño a la industria del software. Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software más importante del ordenador, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa que ejecutemos resultara también contaminado. Por eso, es imprescindible contar con una copia en disquetes del sistema operativo, protegidos éstos contra escritura; esto último es muy importante, no solo con el S.O. sino con el resto de disquetes que poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no puede escribir en un disco protegido de esta forma. Por último es también imprescindible poseer un buen software antivirus, que detecte y elimine cualquier tipo de intrusión en el sistema. Debido a que los virus informáticos son cada vez más sofisticados, hoy en día es difícil sospechar su presencia a través de síntomas frecuentes. De todas maneras la siguiente es una lista de síntomas que pueden observarse en una computadora de la que se sospeche esté infectada por alguno de los virus más comunes: a) Operaciones de procesamiento más lentas. b)  Los programas tardan más tiempo en cargarse. c) Los programas comienzan a acceder por momentos a las disqueteras y/o al disco rígido. d) Disminución no justificada del espacio disponible en el disco rígido y de la memoria RAM disponible, en forma constante o repentina. e) Aparición de programas residentes en memoria desconocidos.

Tipos de Virus

La clasificación correcta de los virus siempre resulta variada según a quien se le pregunte. Podemos agruparlos por la entidad que parasitan (sectores de arranque o archivos ejecutables), por su grado de dispersión a nivel mundial, por su comportamiento, por su agresividad, por sus técnicas de ataque o por como se oculta, etc. Nuestra clasificación muestra como actúa cada uno de los diferentes tipos según su comportamiento. En algunos casos un virus puede incluirse en más de un tipo (un multipartito resulta ser sigiloso).

Caballos de Troya

Los caballos de troya no llegan a ser realmente virus porque no tienen la capacidad de autoreproducirse. Se esconden dentro del código de archivos ejecutables y no ejecutables pasando inadvertidos por los controles de muchos antivirus. Posee subrutinas que permitirán que se ejecute en el momento oportuno. Existen diferentes caballos de troya que se centrarán en distintos puntos de ataque. Su objetivo será el de robar las contraseñas que el usuario tenga en sus archivos o las contraseñas para el acceso a redes, incluyendo a Internet. Después de que el virus obtenga la contraseña que deseaba, la enviará por correo electrónico a la dirección que tenga registrada como la de la persona que lo envió a realizar esa tarea. Hoy en día se usan estos métodos para el robo de contraseñas para el acceso a Internet de usuarios hogareños. Un caballo de troya que infecta la red de una empresa representa un gran riesgo para la seguridad, ya que está facilitando enormemente el acceso de los intrusos. Muchos caballos de troya utilizados para espionaje industrial están programados para autodestruirse una vez que cumplan el objetivo para el que fueron programados, destruyendo toda la evidencia.

Camaleones

Son una variedad de similar a los Caballos de Troya, pero actúan como otros programas comerciales, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales). Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos (rlogin, telnet) realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.

Virus polimorfos o mutantes

Los virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus. Solo deja disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse. Una vez desencriptado el virus intentará alojarse en algún archivo de la computadora.

En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el virus presente su característica de cambio de formas debe poseer algunas rutinas especiales. Si mantuviera siempre su estructura, esté encriptado o no, cualquier antivirus podría reconocer ese patrón.

Para eso incluye un generador de códigos al que se conoce como engine o motor de mutación. Este engine utiliza un generador numérico aleatorio que, combinado con un algoritmo matemático, modifica la firma del virus. Gracias a este engine de mutación el virus podrá crear una rutina de desencripción que será diferente cada vez que se ejecute.

Los métodos básicos de detección no pueden dar con este tipo de virus. Muchas veces para virus polimorfos particulares existen programas que se dedican especialmente a localizarlos y eliminarlos. Algunos softwares que se pueden baja gratuitamente de Internet se dedican solamente a erradicar los últimos virus que han aparecido y que también son los más peligrosos. No los fabrican empresas comerciales sino grupos de hackers que quieren protegerse de otros grupos opuestos. En este ambiente el presentar este tipo de soluciones es muchas veces una forma de demostrar quien es superior o quien domina mejor las técnicas de programación.

Las últimas versiones de los programas antivirus ya cuentan con detectores de este tipo de virus.

Virus sigiloso o stealth

El virus sigiloso posee un módulo de defensa bastante sofisticado. Este intentará permanecer oculto tapando todas las modificaciones que haga y observando cómo el sistema operativo trabaja con los archivos y con el sector de booteo. Subvirtiendo algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra la zona que infectada.

Es difícil que un antivirus se de cuenta de estas modificaciones por lo que será imperativo que el virus se encuentre ejecutándose en memoria en el momento justo en que el antivirus corre. Los antivirus de hoy en día cuentan con la técnica de verificación de integridad para detectar los cambios realizados en las entidades ejecutables.

El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector de arranque de los disquetes e intercepta cualquier operación de entrada / salida que se intente hacer a esa zona. Una vez hecho esto redirigía la operación a otra zona del disquete donde había copiado previamente el verdadero sector de booteo.

Este tipo de virus también tiene la capacidad de engañar al sistema operativo. Un virus se adiciona a un archivo y en consecuencia, el tamaño de este aumenta. Está es una clara señal de que un virus lo infectó. La técnica stealth de ocultamiento de tamaño captura las interrupciones del sistema operativo que solicitan ver los atributos del archivo y, el virus le devuelve la información que poseía el archivo antes de ser infectado y no las reales. Algo similar pasa con la técnica stealth de lectura. Cuando el SO solicita leer una posición del archivo, el virus devuelve los valores que debería tener ahí y no los que tiene actualmente.

Este tipo de virus es muy fácil de vencer. La mayoría de los programas antivirus estándar los detectan y eliminan.

Virus lentos

Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario hace ejecutar por el SO, simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan.

Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original intacto.

Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.

La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy launching. Se crean varios archivos .EXE y .COM cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su conocimiento.

Retro-virus o Virus antivirus

Un retro-virus intenta como método de defensa atacar directamente al programa antivirus incluido en la computadora.

Para los programadores de virus esta no es una información difícil de obtener ya que pueden conseguir cualquier copia de antivirus que hay en el mercado. Con un poco de tiempo pueden descubrir cuáles son los puntos débiles del programa y buscar una buena forma de aprovecharse de ello.

Generalmente los retro-virus buscan el archivo de definición de virus y lo eliminan, imposibilitando al antivirus la identificación de sus enemigos. Suelen hacer lo mismo con el registro del comprobador de integridad.

Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse o inician una rutina destructiva antes de que el antivirus logre encontrarlos. Algunos incluso modifican el entorno de tal manera que termina por afectar el funcionamiento del antivirus.

Virus multipartitos

Los virus multipartitos atacan a los sectores de arranque y a los ficheros ejecutables. Su nombre está dado porque infectan las computadoras de varias formas. No se limitan a infectar un tipo de archivo ni una zona de la unidad de disco rígido. Cuando se ejecuta una aplicación infectada con uno de estos virus, éste infecta el sector de arranque. La próxima vez que arranque la computadora, el virus atacará a cualquier programa que se ejecute.

Virus voraces

Estos virus alteran el contenido de los archivos de forma indiscriminada. Generalmente uno de estos virus sustituirá el programa ejecutable por su propio código. Son muy peligrosos porque se dedican a destruir completamente los datos que puedan encontrar.

Bombas de tiempo

Son virus convencionales y pueden tener una o más de las características de los demás tipos de virus pero la diferencia está dada por el trigger de su módulo de ataque que se disparará en una fecha determinada. No siempre pretenden crear un daño específico. Por lo general muestran mensajes en la pantalla en alguna fecha que representa un evento importante para el programador. El virus Michel Angelo sí causa un daño grande eliminando toda la información de la tabla de particiones el día 6 de marzo.

Conejo

Cuando los ordenadores de tipo medio estaban extendidos especialmente en ambientes universitarios, funcionaban como multiusuario, múltiples usuarios se conectaban simultáneamente a ellos mediante terminales con un nivel de prioridad. El ordenador ejecutaba los programas de cada usuario dependiendo de su prioridad y tiempo de espera. Si se estaba ejecutando un programa y llegaba otro de prioridad superior, atendía al recién llegado y al acabar continuaba con lo que hacia con anterioridad. Como por regla general, los estudiantes tenían prioridad mínima, a alguno de ellos se le ocurrió la idea de crear este virus. El programa se colocaba en la cola de espera y cuando llegaba su turno se ejecutaba haciendo una copia de sí mismo, agregándola también en la cola de espera. Los procesos a ser ejecutados iban multiplicándose hasta consumir toda la memoria de la computadora central interrumpiendo todos los procesamientos.

Macro-virus

Los macro-virus representan una de las amenazas más importantes para una red. Actualmente son los virus que más se están extendiendo a través de Internet. Representan una amenaza tanto para las redes informáticas como para los ordenadores independientes. Su máximo peligro está en que son completamente independientes del sistema operativo o de la plataforma. Es más, ni siquiera son programas ejecutables.

Los macro-virus son pequeños programas escritos en el lenguaje propio (conocido como lenguaje script o macro-lenguaje) propio de un programa. Así nos podemos encontrar con macro-virus para editores de texto, hojas de cálculo y utilidades especializadas en la manipulación de imágenes.

En Octubre de 1996 había menos de 100 tipos de macro-virus. En Mayo de 1997 el número había aumentado a 700.

Sus autores los escriben para que se extiendan dentro de los documentos que crea el programa infectado. De esta forma se pueden propagar a otros ordenadores siempre que los usuarios intercambien documentos. Este tipo de virus alteran de tal forma la información de los documentos infectados que su recuperación resulta imposible. Tan solo se ejecutan en aquellas plataformas que tengan la aplicación para la que fueron creados y que comprenda el lenguaje con el que fueron programados. Este método hace que este tipo de virus no dependa de ningún sistema operativo.

El lenguaje de programación interno de ciertas aplicaciones se ha convertido en una poderosa herramienta de trabajo. Pueden borrar archivos, modificar sus nombres y (como no) modificar el contenido de los ficheros ya existentes. Los macro-virus escritos en dichos lenguajes pueden efectuar las mismas acciones.

Al día de hoy, la mayoría de virus conocidos se han escrito en WordBasic de Microsoft, o incluso en la última versión de Visual Basic para Aplicaciones (VBA), también de Microsoft. WordBasic es el lenguaje de programación interno de Word para Windows (utilizado a partir de la versión 6.0) y Word 6.0 para Macintosh. Como VBA se ejecuta cada vez que un usuario utiliza cualquier programa de Microsoft Office, los macro-virus escritos en dicho lenguaje de programación representan un riesgo muy serio. En otras palabras, un macro-virus escrito en VBA puede infectar un documento de Excel, de Access o de PowerPoint. Como estas aplicaciones adquieren más y más importancia cada día, la presencia de los macro-virus parece que está asegurada.

¿Que es un virus informatico?

Un virus informático es un programa de computadora que tiene la capacidad de causar daño y su característica más relevante es que puede replicarse a sí mismo y propagarse a otras computadoras. Infecta “entidades ejecutables”: cualquier archivo o sector de las unidades de almacenamiento que contenga códigos de instrucción que el procesador valla a ejecutar. Se programa en lenguaje ensamblador y por lo tanto, requiere algunos conocimientos del funcionamiento interno de la computadora.

Un virus tiene tres características primarias:

* Es dañino. Un virus informático siempre causa daños en el sistema que infecta, pero vale aclarar que el hacer daño no significa que valla a romper algo. El daño puede ser implícito cuando lo que se busca es destruir o alterar información o pueden ser situaciones con efectos negativos para la computadora, como consumo de memoria principal, tiempo de procesador, disminución de la performance.

* Es autorreproductor. A nuestro parecer la característica más importante de este tipo de programas es la de crear copias de sí mismo, cosa que ningún otro programa convencional hace. Imagínense que si todos tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos tres de ellos o más. Consideramos ésta como una característica propia de virus porque los programas convencionales pueden causar daño, aunque sea accidental, sobrescribiendo algunas librerías y pueden estar ocultos a la vista del usuario, por ejemplo: un programita que se encargue de legitimar las copias de software que se instalan.

* Es subrepticio. Esto significa que utilizará varias técnicas para evitar que el usuario se de cuenta de su presencia. La primera medida es tener un tamaño reducido para poder disimularse a primera vista. Puede llegar a manipular el resultado de una petición al sistema operativo de mostrar el tamaño del archivo e incluso todos sus atributos.