- ¿Qué es un virus?
- Causas por las cuales se puede pensar que un equipo tiene virus
- Técnicas de ocultamiento
- Antivirus
- Hackers
¿Qué es un virus?
Es un programa que cumple las siguientes pautas:
* es dañino,
* es autorreproductor,
* es subrepticio.
Además de ser programa, tiene el fin ineludible de causar daño en cualquiera de sus formas. El virus provoca una obstrucción en la performance del equipo (consume memoria, procesador, disco, tiempo, intercepta ideas, etc.), daño que no es despreciable en absoluto.
Acciones de los Virus
El virus realiza cuatro acciones que son las siguientes:
a) Contagio: El contagio es quizá la fase más fácil de todo el proceso. Lo único que hay que tener en cuenta es que el virus debe introducirse dentro de una red. El virus debe ir incrustado en un archivo o una página web para instalarse dentro de la máquina del usuario.
Las principales vías de infección son los dispositivos magnéticos como los discos flexibles, los dispositivos ópticos como los Discos Compactos, los virus vienen en el correo electrónico, pueden venir en imágenes, textos, música o distintos programas que podamos instalar.
b) Incubación: Por lo general la mayoría de los virus se crean de manera que respondan a una serie de acciones que son las siguientes "esconderse" y "reproducirse", mientras se cumplen las condiciones fijadas por el creador del virus para activarse, por esta causa el virus permanece escondido dentro de la máquina, reproduciéndose permanentemente en espera de que llegue el día de entrar en acción. El proceso de incubación puede ser muy rápido en algunos casos y bastante largo en otros casos, según el tipo de virus, pero por regla general este proceso lo realizan una vez instalados en el disco rígido.
c) Copia o Replicación: Es la producción del mismo virus, realizando una copia de si mismo, esta copia debe situarse en otro archivo distinto al que ocupa el que está produciendo el contagio, de esta forma el virus se va extendiendo en la máquina, en otros archivos y programas, asegurándose que el proceso de multiplicación está quedando asegurado, como no solamente la copia se registra en el disco rígido de la máquina, sino que puede realizarse tanto en discos flexibles como a otros miembros integrantes de la red por medio del chat, el correo electrónico, la visita a páginas web, esto debe hacerse en forma discreta y lo mas rápida posible, en esta etapa no se manifiesta el ataque del virus, ya que lo único que debe hacer es reproducirse, y cuantas mas máquinas se infecte mas cumple con su objetivo, porque cuando se active producirá daños a una mayor cantidad de máquinas.
d) Ataque: Cuando se cumplan las condiciones establecidas por el creador del virus y estas estarán directamente relacionadas con el tipo de virus que se haya creado, este entrará en actividad destructora. Hay que tener en cuenta que el ataque es la etapa final de los virus, porque a partir de aquí comienzan los problemas para los usuarios y la única solución que queda es eliminar el virus de todos los archivos que hayan sido infectados y tratar de recomponer la información en el caso de que haya sido destruida, porque no siempre los ataques pueden ser a los datos guardados en los archivos, hay virus que solamente saturan la memoria y hacen que todo sea mucho mas lento, otros llenan las casillas de correo con mensajes, otros pueden robar las claves de ingreso a los distintos programas y otros llenar el disco rígido con información que a nosotros no nos sirve de nada.
Los distintos tipos de virus por la forma en que llegan a la máquina o por su forma de ataque son los siguientes:
a) Troyanos: Son los que ingresan a la máquina con una apariencia totalmente distinta a la de su objetivo final esto es que se presentan como un programa que no es lo que en realidad va a ser, por ejemplo bajamos de internet una actualización de determinado programa que en realidad no existe, pero cuando nos damos cuentas o nos informan de la situación es demasiado tarde, o sino puede venir el virus colado dentro de cualquier programa y cuando se instala en la máquina, libera el virus.
b) Bombas lógicas o Bombas de Tiempo: Son los que se activan ante algunas circunstancias establecidas como pueden ser por ejemplo que sea una posible fecha o una hora o sino como otros virus ante determinados sucesos que se repiten una cantidad de veces, como pueden ser por ejemplo en hecho de encender o apagar la máquina, ejecutar algún programa un número de veces o que el virus ya haya infectado un número establecido de archivos.
c) Gusanos: Son programas que se reproducen a si mismos y no necesitan de un anfitrión que los lleve, porque pueden arrastrarse por el sistema sin necesidad de un archivo que los transporte. Se posicionan en un lugar del disco, ocupando el espacio de otro archivo que estaba en ese lugar, luego se copian a otro sector del disco borrándose del sector donde estaban para no ser descubiertos y así siguen hasta que son descubiertos y borrados, pero durante todo el tiempo en que estuvieron escondiéndose en la máquina fueron borrando información de la misma cada vez que se instalaban en algún sector del disco lo que luego causa problemas por la pérdida de datosd) Virus mutantes o Polifórmicos: Son los que al infectar determinados programas producen modificaciones en su código para dificultar la detección de los mismos y evitar ser borrados.
Los virus por la forma en que pueden encontrarse en la máquina se denominan de la siguiente manera:
a) De arranque (Boot – RAM): Estos virus reemplazan el sector de arranque original del disco, por una copia contaminada con el virus, de forma tal que al arrancar el equipo puedan iniciar su acción destructiva infectando todos los archivos y programas que se carguen en la memoria, en otros casos pueden colocar el sector de arranque en otro sector totalmente distinto del disco, ya que para mantenerse oculto por la mayor parte de tiempo que le sea posible no debe demostrar que se encuentra presente, mientras puede seguir infectando archivos desde la memoria del disco.
b) De Macro : Este tipo de virus no ataca a los programas, sino a los archivos que fueron creados por ellos, se cargan en las macroinstrucciones que pueden ejecutar los programas, estas macroinstrucciones son rutinas destinadas a automatizar algunas tareas de los utilitarios, pero al estar infectados no ejecutan lo que deben. Cuando un usuario abre un archivo contaminado con virus este se instala en la memoria e infecta todos los archivos que contengan macroinstrucciones. Este tipo de virus solo destruye documentos.
c) Virus de Fichero: Se cargan como residentes en la memoria RAM luego de ejecutar algún archivo de los denominados de programa o ejecutables, que son los que tienen extensión EXE, COM, DLL o SYS, en estos programas si no están infectados, se agregan al comienzo o al final de las sentencias, de esa manera, el código original queda intacto y sigue funcionando correctamente, evitando ser descubiertos, cada programa con extensión de ejecutable que se cargue en la memoria, será infectado.
d) Polifórmicos: Pueden cambiar su tamaño, su ubicación y hasta separarse y guardarse en distintos ficheros hasta que llegue el momento del ataque, su código de sentencias puede variar y hasta encriptarse.
Causas por las cuales se puede pensar que un equipo tiene virus
1-Caídas frecuentes del sistema sin causas aparentes
2-El disco rígido, se queda sin espacio o informa falta de espacio, sin que esto sea así3-Reducción del espacio en la memoria RAM
4-Aumento en la demora para ejecutarse un programa sin razón aparente (Además del programa también se está cargando el virus)
5-Desaparición de archivos
6-Cambios en la pantalla
7-Cambio del tamaño de algunos archivos (puede aumentar o disminuir su tamaño)8-La luz que indica que se está trabajando sobre el disco rígido parpadea sin que ningún programa esté transfiriendo información hacia o desde el disco
9-Aparecen archivos que no se han creado o con nombres o extensiones extrañas
CARACTERÍSTICAS
1-Infectan programas ejecutables (COM, SYS, EXE) o archivos del office u otro paquete muy conocido, porque se encuentran en la mayoría de las máquinas
2-Se reproducen a si mismos para asegurar que continúe la infección
3-Pueden activarse en una fecha, una vez que se ha ejecutado el programa que los transporta una determinada cantidad de veces, en otros casos pueden activarse en forma aleatoria o simplemente cuando se está tratando de borrarlos
4-Son programas muy pequeños, porque para no ser detectados deben ocupar muy poco espacio dentro del programa o archivo donde vienen escondidos
5- Fueron diseñados para causar algún tipo de daño dentro del sistema informático
6-Pueden tomar el control o modificar el código original de otros programas para no ser descubiertos
7-Están diseñados para pasar desapercibidos hasta el momento del ataque, de esta forma cuando se haga evidente su presencia, ya será demasiado tarde para el usuario de la máquina
8-La actividad del virus comienza cuando el usuario abre el archivo o ejecuta el programa que se encuentra infectado
9-Cuando el virus está activo, se ubica en la memoria RAM de la máquina de esta forma puede obtener el control del computador y chequear si se está activando algún antivirus. Además estando en la memoria puede infectar cada programa y archivo que se carga en la misma
10-Aumenta el tamaño de los archivos ejecutables
11-Puede cambiar la fecha en algunos archivos que no fueron utilizados
12-Produce pérdida de velocidad en las respuestas del sistema
13-Pueden ubicarse en el sector de arranque del disco rígido, porque al prender la máquina se pasan a la memoria RAM
14-Las partes del disco más susceptibles a ser infectadas son el sector de arranque de los discos y la tabla de partición de memoria (FAT).
Técnicas de ocultamiento
a) STEALTH: Para que esta técnica sea eficiente el virus debe estar residiendo en la memoria R.A.M., entonces cuando el antivirus está realizando el chequeo de los archivos alojados en el disco rígido, y detecta una cadena de caracteres que corresponde a un virus, este modifica la información que se devuelve para el chequeo y pasa como que no existiera tal virus dentro del disco, quiere decir que no va a detectarse cambio de tamaño, fecha u otra característica en ningún archivo. Para evitar que esto suceda el antivirus debe chequear como primer paso la memoria R.A.M.
b) AUTOENCRIPTACIÓN: Se llama de esta forma a la técnica que llevan a cabo determinados virus, gracias a ella algunos virus cada vez que infectan algún archivo se encriptan y borran de esta manera cualquier rastro que puedan llegar a dejar dificultando su identificación.
c) POLIFORMISMO: En esta técnica el virus además de encriptarse cambia el código dificultando mucho mas la detección, haciendo casi imposible encontrarlo dentro del disco, porque no existen coincidencias entre ejemplares del mismo virus, lo que converte la búsqueda por cadenas en algo inútil de realizar.
d) TUNNELING: En esta técnica es muy utilizada por los virus más avanzados, consiste en un método en el cual los virus obtienen las direcciones de memoria originales del sistema, para protegerse de los antivirus residentes.
e) ARMOURING: Esta técnica evita el desarrollo del antivirus, pues el código del virus incluye dentro de sus rutinas algunas que impiden el examen por los depuradores y trazadores.
Antivirus
Son programas creados para prevenir, detectar y eliminar los distintos virus, lo que siempre hay que tener presente es que el antivirus siempre aparece después que haya aparecido el virus, nunca antes, esto hace que nuestra máquina siempre se encuentre expuesta a los nuevos virus que aparecen.Los antivirus buscan por lo general los virus aplicando algunas técnicas:a) Por cadenas de caracteres: Esta técnica busca en los distintos archivos que copiamos a nuestra máquina o que pretendemos ejecutar una determinada sucesión de caracteres ASCII que son los que determinan la presencia de un virus en ese archivo.
b) Por búsqueda heurística: Con el aumento de los métodos de ocultamiento y de automodificación, hacen que la búsqueda por cadena de caracteres sea en algunos casos algo imposible para detectar los virus, la detección heurística se basa en buscar dentro del código del programa sentencias que puedan resultar sospechosas por la operaciones que realizan como pueden ser por ejemplo que queden residentes en memoria o que se adosen a otros programas o que sobre escriban programas.
c) Búsqueda por tecnología striker: Este método es muy empleado para combatir los virus polifórmicos que son tan difíciles de detectar, la forma de hacerlo es muy simple, el antivirus ante la sospecha de la presencia de un virus crea una máquina virtual que actúa en un lugar seguro, aquí ejecuta el archivo sospechoso y en caso de que esté infectado lo limpia.
Hackers
Por lo general son expertos en programación de sistemas y además en telecomunicaciones, al dominar la programación y la electrónica se dedican a ingresar a los sistemas de otros usuarios, en un primer momento para explorar aprender su funcionamiento y mas adelante pueden cambiar los objetivos para los cuales se ingresa. Existen dos tipos de hackers, los insiders y los outsiders.
Los hackers pueden realizar ataques a distintos aspectos de la información como pueden ser a) Confidencialidad, b) Integridad, c) Disponibilidad de la informaciónLos ataques sobre los equipos pueden perseguir varios objetivos como pueden ser a) Fraude, b) Extorsión, c) Robo de información, d) Venganza, e) Desafío de ingresar al sistema .y conocerlo
Cualquiera de estos ataques puede ser realizado por empleados internos que acceden a zonas no autorizadas o por atacantes externos.
DISTINTOS TIPOS DE ATAQUES
INTERCEPCIÓN PASIVA: Muchas redes son vulnerables al robo de la información que viaja por la misma. En Internet esto es realizado por programas que monitorean permanentemente los paquetes de la red y que son direccionados a la computadora donde están instalados. El programa puede ser instalado, tanto en una estación de trabajo, que está conectada al servidor como en el mismo servidor.
Este método es muy utilizado para capturar las claves de acceso o los códigos de las tarjetas de crédito que viajan sin encriptar, como así mismo las direcciones de correo electrónico, entrante o saliente, como así también para establecer relaciones entre personas o empresas.
GRABADO DE INFORMACIÓN: En este método como el anterior, el objetivo no es modificar la información que se transmite, sino obtenerla, pero en este caso se ingresa a los documentos, mensajes de correo, documentación que encuentre y también a programas y se realiza una copia en la máquina propia. Una vez que tiene la información verá que utilidad podrá darle.
MODIFICACIÓN DASAUTORIZADA: Se refiere a la modificación de los datos de las distintas bases de datos o la modificación del software instalado en un sistema, que puede hacerse en beneficio propio o solamente para perjudicar al usuario, dentro de este tipo de ataque se incluye el borrado de archivos de datos o archivos que contengan instrucciones. Algunos ejemplos de esto pueden ser a) La modificación de un archivo en un sitio web, por otro que sea un caballo de troya, b) Modificar salarios de algún empleado, c) Modificar el destino de la transferencia de fondos, d) Dejar inactivo durante horas un sitio en internet o modificar la página principal por otra.
SATURACIÓN DE RECURSOS: En este tipo de ataques el objetivo principal es el de desactivar o saturar los recursos del sistema, perjudicando la utilización del mismo, las formas de llevarlo a cabo pueden ser ocupando la totalidad de la memoria RAM, o dejando sin espacio un disco rígido con cualquier información o simplemente con "basura", o enviando mucho tráfico a la red para que nadie pueda utilizarla, mandando mensajes que partan de varias máquinas en forma permanente, otro caso puede ser mandar muchos mensajes de correo electrónico con direcciones IP inexistentes, esto hace que queden las conexiones abiertas hasta que se determina que las direcciones no existen, lo que puede dejar inactivo al proveedor por algún tiempo.
MAILBOMBING: Es el bombardeo de correo electrónico a determinadas casillas, por medio de un programa que puede llegar a mandar cientos o miles de mensajes, hasta saturar la casilla, estos programas además permiten el envío de correo fantasma, eso es sin dejar rastros de quién lo envió (Correo anónimo).
P.G.P.: Es un programa de cifrado de mensajes, que permite encriptar la información que se transmite.
PORT SCAN o NUKENABBER; Son programas utilizados para verificar los puertos de las distintas máquinas, estos programas chequean que puertos son vulnerables al ingreso de usuarios extraños para poder ingresar por ese lugar al sistema.
IRIS o RETINA: Cumplen las mismas funciones que el PORT SCAN
Enviado por:
Pablo Turmero