Story Transcript
PROPIEDADES DE LOS VIRUS Además de la característica principal de estos programas, que es su facultad de duplicación, existen otros muchos caracteres de los virus, como son los siguientes: − Modifican el código ejecutable: Aquí aparece el adjetivo "contagio". Para que un virus contagie a otros programas ejecutables, debe ser capaz de alterar la organización del código del programa que va a infectar. − Permanecen en la memoria de la computadora: Cuando un usuario, inocente de las consecuencias, ejecuta en su ordenador un programa con virus, éste pasa a la memoria RAM. Esto lo hace para adueñarse de la computadora, y poder tomar el mando. − Se ejecutan involuntariamente: Un virus sin ejecutar es imposible que dañe nuestra computadora. En ese momento está en reposo, en modo de espera, necesitado de alguien que por equivocación ejecute el programa "portador" (porque nadie ejecuta un virus en su ordenador intencionadamente) − Funcionan igual que cualquier programa: Un virus, al ser un programa de computadora, se comporta como tal, a lo cual hay que dar gracias. Dicho programa necesita de alguien que lo ponga en funcionamiento, si no, es software inútil. − Es nocivo para la computadora: Pero esto depende del virus con el que tratemos. Podemos encontrarnos programas que destruyen parcial o totalmente la información, o bien programas que tan solo concluyen en un mensaje continuo en pantalla, aunque al final muy molesto. − Se ocultan al usuario: Claramente, el programador del virus desea que el usuario no lo advierta durante el máximo tiempo posible, hasta que aparezca la señal de alarma en nuestro ordenador. Conforme pasa el tiempo, los virus van desarrollando más y mejores técnicas de ocultamente, pero también se van desarrollando los programas antivirus y de localización. VIRUS Un virus es un programa diseñado para dañar sistemas informáticos, alterando su forma de trabajar o dañando información almacenada en el disco duro. Por supuesto, sin el conocimiento o permiso del afectado. En términos más técnicos, un virus se define como una porción de código de programación cuyo objetivo es introducirse en un archivo ejecutable y multiplicarse sistemáticamente de un archivo a otro. Además de esta función primaria de "invasión" o "reproducción", los virus están diseñados para realizar una acción concreta en los sistemas informáticos. Esta acción puede ir desde la simple aparición de un mensaje en la pantalla, hasta la destrucción de toda la información contenida en el sistema. Tipos de virus Actualmente hay más de 45.000 tipos diferentes de virus informáticos, aunque el número sigue creciendo cada día. A pesar de esta enorme cantidad de programas malignos, se les puede clasificar en unas cuantas categorías en función de su forma de entrar en el ordenador y los efectos que tienen sobre él: • Gusano o Worm (también llamado "conejo"): Solamente tratan de reproducirse a sí mismos, sin casi nunca producir daños en los huéspedes a los que infectan. Esto, aparte del lógico inconveniente de tener un ordenador saturado, ya sea por el espacio en disco que puede ocupar el gusano o bien por su tendencia a la replicación, puede conseguir colapsar el ancho de banda en sistemas con líneas más o 1
menos lentas. A pesar de su reducido grado de destrucción, conviene eliminarlo como si se tratara del peor de los virus. Virus típico que se atribuye a los fabricantes de software − Caballo de Troya: Son programas que permanecen en el sistema llevando a cabo alguna acción a espaldas del usuario. Esta acción no suele ser destructiva, sino que suele capturar datos del usuario para enviarlos a otro sitio, o dejar agujeros de seguridad en los ordenadores en los que se ejecutan. Como su propio nombre indica entran en el huésped de manera anónima y dejan la puerta abierta para la sustracción de datos (normalmente a través de Internet). − Bomba lógica (moroso): Programa que entra en acción en el momento en que se produce un hecho determinado. La condición puede ser una fecha, combinación de teclas, etc. Si no se produce la condición, el programa permanece latente sin ninguna actividad. ¿CÓMO ACTÚA UN VIRUS INFORMÁTICO? El ciclo de los virus informático es muy parecido al de los biológicos (de ahí su nombre): 1. Infección: Al ejecutar un archivo infectado (el código del virus se ha implantado en el archivo anteriormente) comienza la fase de infección, duplicándose e implantándose en otros archivos ejecutables. Comienza la "invasión" del sistema informático. La víctima, que es a la vez el portador del virus aún no es consciente de la existencia del virus, ya que éste permanece oculto y sin causar daños apreciables. 2. Expansión: El virus pasará a otros ordenadores, a través de redes informáticas, disquetes y CDs que contengan archivos infectados, software en Internet, archivos adjuntos a mensaje electrónicos, etc. 3. Explosión: Si el virus no ha sido detectado y destruido por algún programa antivirus, en un momento determinado, tomará el control del ordenador infectado, ejecutando la acción para la que fue programado. En este momento, debido a los trágicos efectos que pueden llegar a ocasionar, se hará evidente su existencia, dando al traste con horas de trabajo e información vital contenida en el sistema informático. Síntomas apreciables antes de la Explosión del Virus Los síntomas más usuales son: · Los programas tardan más tiempo en cargarse y se produce una ralentización global del sistema. · Reducción del espacio libre de memoria y aumento en el tamaño de los archivos ejecutables. · Aparición de contínuos e inusuales mensajes de error. · Programas que misteriosamente dejan de funcionar. ¡¡Ojorrr!! · Caídas frecuentes del sistema. El buen programador de virus intentará minimizar estos cinco "efectos colaterales", de manera que el virus, en la fase de Infección, consuma muy pocos recursos del sistema, interfiriendo mínimamente en su funcionamiento normal. Formas de Infección
2
Antes de nada, hay que recordar que un virus no puede ejecutarse por si solo, necesita un programa portador para poder cargarse en memoria e infectar. Asimismo, para poder unirse a un programa portador necesita modificar la estructura de éste, de modo que durante su ejecución pueda realizar una llamada al código del virus. Las partes del sistema más susceptibles de ser infectadas son: − El sector de arranque de los disquetes − La tabla de partición − El sector de arranque del disco duro − Los ficheros ejecutables (*.EXE y *.COM). Para cada una de estas partes tenemos un tipo de virus, aunque muchos son capaces de infectar por si solos estos tres componentes del sistema. En los disquetes, el sector de arranque es una zona situada al principio del disco, que contiene datos relativos a la estructura del mismo y un pequeño programa, que se ejecuta cada vez que arrancamos desde el disquete. En este caso, al arrancar con un disco contaminado, el virus se queda residente en la memoria RAM, y a partir de ahí, infectará el sector de arranque de todos los disquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco, dependiendo de cómo esté programado el virus. El proceso de infección consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del disco. A menudo el virus marca los sectores donde guarda el boot original como en mal estado, protegiéndose así de posibles accesos. Esto suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de arranque, por lo que una vez residentes en memoria, efectúan una llamada al código de arranque original, para iniciar el sistema y así aparentar que se ha iniciado el sistema como siempre, con normalidad. Segundo, este procedimiento puede ser usado como técnica de ocultamiento. Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo que en éste suele copiar una pequeña parte de sí mismo, y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y así dejar de funcionar el virus. Hay virus que atacan la tabla de partición, aunque el tipo de virus que más abunda es el de fichero. En este caso, usan como vehículo de expansión los archivos de programa o ejecutables, sobre todo .EXE y .COM, aunque también a veces .OVL, .BIN y .OVR. Al ejecutarse un programa infectado, el virus se instala residente en memoria, y a partir de ahí permanece al acecho. Cuando se ejecutan otros programas, comprueba si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable y añade su código al principio y al final de éste, modificando su estructura de forma que, al ejecutarse dicho programa, primero llame al código del virus, devolviendo después el control al programa portador y permitiendo así su ejecución normal.
3
Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya que éste aumenta de tamaño al tener que albergar en su interior al virus, siendo esta circunstancia muy útil para su detección. Un virus no sería efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de los archivos infectados. No todos los virus de fichero quedan residentes en memoria sino que, al ejecutarse el portador, éstos infectan a otro archivo de ese directorio o de otros, elegido de forma aleatoria. Efectos de los Virus Los efectos que causan los virus son variados, aunque generalmente son destructivos. Entre éstos se encuentran el formateo completo del disco duro ¡¡¡jajaja!!, eliminación de la tabla de partición, eliminación de archivos, ralentización del sistema hasta limites exagerados, enlaces de archivos destruidos, archivos de datos y de programas corruptos, mensajes o efectos extraños en la pantalla, emisión de música o sonidos, etc... Pequeña historia de los Virus En 1942, el matemático estadounidense John Von Neumann, planteó la posibilidad teórica de que un programa informático se reprodujera. Esta teoría se comprobó experimentalmente en la década de 1950 en los Laboratorios Bell, donde se desarrolló un juego llamado Core Wars, en el que los jugadores creaban minúsculos programas informáticos que atacaban y borraban el sistema del oponente e intentaban propagarse a través de él. En 1983, el ingeniero eléctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acuñó el término de "virus" para describir un programa informático que se reproduce a sí mismo. En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE−LA. Pronto les siguió un sinnúmero de virus cada vez más complejos. El virus llamado Brain apareció en 1986, y en 1987 ya se había extendido por todo el mundo. En 1988 aparecieron dos nuevos virus: Stone (lo tengo), el primer virus de sector de arranque inicial y uno de los más destructivos, y el Gusano de Internet, que cruzó Estados Unidos de un día para otro a través de una red informática, saturando a su paso las computadoras con copias del programa "gusano". El virus Dark Avenger, el primer infector rápido, apareció en 1989, seguido por el el virus Datacrime, el cual fue erróneamente llamado Virus del día de Colón, porque se suponía que se activaría el 12 de octubre, aunque realmente se activaba justo después de ese día. En 1992, el virus Michelangelo atacó por primera vez. Es el virus que ha recibido más publicidad. Gracias a ello se tuvo más conciencia de los virus, aunque no toda la información que se manejó en los medios fue cierta. 1999 marca el inicio de las plagas virtuales. Happy99 es parte del boom de los virus transmitidos a través de Internet, una vía mucho más directa y rápida de dispersión ya que hay millones de ordenadores conectados al mismo tiempo y a que el volumen de información que circula de unos a otros es muy elevado. LOS ANTIVIRUS Un Antivirus, ¿para que? De forma resumida, lo que un antivirus debe aportarnos de forma prácticamente ineludible es: 4
− La capacidad para detectar un gran número de virus − Impedir y prevenir la entrada de agentes víricos en la máquina desde las más diversas fuentes (discos removibles, E−Mail, etc...) y, por supuesto, ser capaz de eliminarlos. • Poder analizar el mayor número de soportes posibles, • Por último, lo más importante: la empresa a la que le compremos el antivirus debe garantizarnos un servicio técnico, y actualizaciones periódicas, puesto que la tecnología avanza rápidamente, transformando el mejor de los antivirus en una reliquia en pocos. ¿Qué hacer ante una Infección? La prevención y la instalación de un buen antivirus son las mejores armas con las que cuenta el usuario ante el ataque de los virus. Sin embargo, siempre cabe la posibilidad de que. Ante esta situación debemos seguir los siguientes pasos: • Arrancar el ordenador con un disco de sistema totalmente libre de virus. Posteriormente, deberemos pasar un antivirus lo más actualizado posible, ya que si es antiguo corremos el riesgo de que no remotorice mutaciones recientes o nuevos virus. Prevención, Detección y Eliminación Una buena política de prevención y detección nos puede ahorrar sustos y desgracias. Las medidas de prevención pasan por el control del software ya introducido o que se va a introducir en nuestro ordenador, comprobando la fiabilidad de su fuente. Esto implica el escaneo, con un buen programa antivirus, de todo el software que nos llega. El sistema operativo, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa que ejecutemos resultara también contaminado. Por eso, es imprescindible contar con una copia en disquetes del sistema operativo, protegidos éstos contra escritura; esto ultimo es muy importante,. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no puede escribir en un disco protegido de esta forma. Por último es también imprescindible poseer un buen software antivirus, que detecte y elimine cualquier tipo de intrusión en el sistema. Técnicas de ocultación Un virus puede considerarse efectivo si, además de extenderse lo más ampliamente posible, es capaz de permanecer oculto al usuario el mayor tiempo posible. Para ello se han desarrollado varias técnicas de ocultación o sigilo. Para que estas técnicas sean efectivas, el virus debe estar residente en memoria. La base principal del funcionamiento de los virus y de las técnicas de ocultación, además de la condición de programas residentes, es la intercepción de interrupciones. El DOS y los programas de aplicación se comunican entre sí mediante el servicio de interrupciones, que son como subrutinas del sistema operativo que proporcionan una gran variedad de funciones a los programas. Las interrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco, abrir ficheros, fijar la hora del sistema, etc. Y es aquí donde el virus entra en acción, ya que puede sustituir alguna interrupción del DOS por una suya propia y así, cuando un programa solicite un servicio de esa interrupción, recibirá el resultado que el virus determine. Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que esconde los posibles signos de infección del sistema una vez instalado el virus.
5
La autoencriptación o self−encryption es una de las técnicas víricas más extendidas. Otra técnica, ésta básica, de ocultamiento es la intercepción de mensajes de error del sistema, sin la cual el virus se delatara rápidamente. El mayor avance en técnicas de encriptación que conozco viene dado por el polimorfismo. Virus en Internet En ocasiones se propagan rumores que dan por cierto noticias de dudosa procedencia. Más o menos esto es lo que ha sucedido de un tiempo a esta parte con los virus por correo electrónico de Internet conocidos como Good Times, I Love You... Lógicamente las primeras noticias de esta maligna creación aparecieron en la «red de redes», en un mensaje alarmante que decía que si algún usuario recibía un mensaje con el tema «Good Times, I love you... » no debía abrirlo o grabarlo si no quería perder todos los datos de su disco duro. Posteriormente el mensaje recomendaba que se informara a todo el mundo y se copiara el aviso en otros lugares. En esta ocasión el rumor es totalmente falso, aunque todavía sigue existiendo gente que se lo cree y no es raro encontrar en algún medio de comunicación electrónica nuevo reenvíos del mensaje original. De hecho, es totalmente inviable la posibilidad de una infección vía correo electrónico. El riesgo de contraer un virus en la Internet es menor que de cualquier otra manera, tanto los mensajes de correo, como las páginas WEB transfieren datos. Sólo si te traes un software por la red o viene como archivo adjunto en un e−mail y lo instalas en tu ordenador puedes contraer un virus. Advertiremos al jefe que los archivos de Word o Excel adjuntos a un e−mail, podrían contener también virus de macro. Se dice que hay virus en internet que logran instalarse con solo abrir el mensaje, más desconozco qualquier información sobre este tipo de virus. LOS 10 MANDAMIENTOS DEL HACKER I−. No borrar ni destrozar información del ordenador en el que se está actuando. Es la forma más fácil de indicar al Administrador del Sistema que pasa algo raro. II−. Las únicas modificaciones de información que deben realizarse en los ficheros son aquellas que cubran las huellas que se han dejado y que nos faciliten y permitan un acceso en posteriores ocasiones. De esta forma los manejos de información que modifican son los justos para permitirnos cubrir las espaldas y tener asegurado el sistema ante nuestro acceso futuro. III−. Completamente prohibido dejar cualquier dato que nos identifique, ya sea real o de alias, en el ordenador que se ataca. Con un solo dato ya se puede tener una pista del culpable. IV−. La información que se distribuya no debe distribuirse a personas desconocidas. Tan solo a aquellos que son de completa confianza. Hay mucha gente que está infiltrada. Los gobiernos pagan muy bien por información sobre actividades ilegales. V−. Con respecto a BBSs, no dejar datos reales. Como mucho indicar al SysOp gente que pertenezca al lugar y que pueda responder por ti. Es mejor ser un perfecto desconocido. VI−. Tanto los ordenadores gubernamentales como los proveedores de Internet, tienen una gran facilidad de recursos a la hora de localizar intrusos. Se recomiendan universidades o empresas, que aunque tengan recursos, no son tan ilimitados como los de los anteriores.
6
VII−. El abuso de una BlueBox puede traducirse como una captura. Es siempre aconsejable emplear métodos como los 900s o los PADs. Una BlueBox sí es ilegal, pero un 900 es un número de teléfono normal. VIII−. Con respecto a la información dejada en BBSs, es siempre recomendable no decir claramente el proyecto que se está realizando, sino tratar de indicarlo mostrando el problema o el sistema operativo en el que se trabaja. Todo debe hacerse mediante referencias., ya que, si no, se pueden dejar pistas de las actividades que se realizan. IX−. El preguntar no siempre es la mejor solución a la hora de obtener información, ya que mucha gente desconfía. Responder a una pregunta a un desconocido puede provocar una multa o arresto en caso de que sea un topo. X−. La lectura es el comienzo, aprender la técnica lo siguiente, pero hasta que no se lleva a cabo lo aprendido, no se puede decir que se sabe algo. Una vez terminado este proceso, se volverá a leer, a aprender y a practicar más. Biografía − www.aliwal.com − www.esi.us.es − www.skyscraper.fortunecity.com − www.jamonyvino.islatortuga.com − www.geocities.com/Pipeline/Dropzone/4468/index.htm − www.lander.es/~retha − www.panda/virus − www.rincondelvago.com/ − informática − virus − hackers − troyanos. − Los siguientes trabajos sobre virus de la anterior página, de los que no se ha transcrito ni una línea
:
7