¿QUE ES UN VIRUS?
Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.
¿COMO FUNCIONA UN VIRUS?
1. El contagio: El contagio inicial o los contagios posteriores se realizan cuando el programa contaminado está en la memoria para su ejecución. Las vías por las que puede producirse la infección de su sistema son disquetes, redes de ordenadores y cualquier otro medio de transmisión de información. Los disquetes son por el momento, el medio de contagio más extendido en nuestro país. Estos disquetes contaminantes suelen contener programas de fácil y libre circulación y carecen de toda garantía. Es el caso de los programas de dominio público, las copias ilegales de los programas comerciales, juegos, etc.
2. El virus activo: Cuando se dice que un virus se activa significa que el virus toma el control del sistema, y a la vez que deja funcionar normalmente a los programas que se ejecutan, realiza actividades no deseadas que pueden causar daños a los datos o a los programas.
Lo primero que suele hacer el virus es cargarse en la memoria del ordenador y modificar determinadas variables del sistema que le permiten "hacerse un hueco" e impedir que otro programa lo utilice. A esta acción se le llama "quedarse residente". Así el virus queda a la espera de que se den ciertas condiciones, que varían de unos virus a otros, para replicarse o atacar.
La replicación, que es el mecanismo más característico y para muchos expertos definitorio de la condición de virus, consiste básicamente en la producción por el propio virus de una copia de si mismo, que se situará en un archivo. El contagio de otros programas suele ser la actividad que más veces realiza el virus, ya que cuanto más deprisa y más discretamente se copie, más posibilidades tendrá de dañar a un mayor número de ordenadores antes de llamar la atención.
3. El ataque: Mientras que se van copiando en otros programas, los virus comprueban si determinada condición se ha cumplido para atacar, por ejemplo que sea cinco de enero en el caso del conocido virus Barrotes. Es importante tener en cuenta que los virus son diseñados con la intención de no ser descubiertos por el usuario y generalmente, sin programas antivirus, no es descubierto hasta que la tercera fase del ciclo de funcionamiento del virus se produce el daño con la consiguiente pérdida de información.
CLASIFICACION DE UN VIRUS
Infectores del sector de arranque
(boot)Tanto los discos rígidos como los disquetes contienen un Sector de Arranque, el cual contiene información específica relativa al formato del disco y los datos almacenados en él. Además, contiene un pequeño programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rígido, infectando luego cada disquete utilizado en el PC. Es importante destacar que como cada disco posee un sector de arranque, es posible infectar el PC con un disquete que contenga solo datos.....
Bajo este nombre se engloban los virus que utilizan los dos métodos anteriores. Es decir, pueden simultáneamente infectar archivos, sectores boot de arranque y tablas FAT.
El programa infectado no necesita estar ejecutándose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destrucción
Son los virus mas populares de la actualidad. No se transmiten a través de archivos ejecutables, sino a través de los documentos de las aplicaciones que poseen algún tipo de lenguaje de macros. Entre ellas encontramos todas las pertenecientes al paquete Office (Word, Excel, Power Point, Access) y también el Corel Draw, o AutoCAD.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos, de forma que sean infectados todos los archivos que se abran o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuración del sistema operativo, borrar archivos, enviar e-mails, etc.
En 1997, aparecen los Java applets y Actives controls. Estos pequeños programas se graban en el disco rígido del usuario cuando está conectado a Internet y se ejecutan cuando la página web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rígido a través de una conexión www de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, envíen información a un sitio web, etc.
Un mecanismo de infección más eficiente que el de los Java applets y Actives controls apareció a fines de 1998 con los virus que incluyen su código en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una página web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Win98, 2000 y de las últimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos.
Los troyanos son programas que imitan programas útiles o ejecutan algún tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el código dañino.
Los troyanos no cumplen con la función de autorreproducción, sino que generalmente son diseñados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusión del virus. (Generalmente son enviados por e-mail)
EJEMPLOS DE VIRUS
BombasSe denominan así a los virus que
ejecutan su acción dañina como si fuesen una bomba. Esto significa que se
activan segundos después de verse el sistema infectado o después de un cierto
tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del
equipo. (bombas lógicas). Ejemplos de bombas de tiempo son los virus que se
activan en una determinada fecha u hora determinada. Ejemplos de bombas lógicas
son los virus que se activan cuando al disco rígido solo le queda el 10% sin
uso, una secuencia de teclas o comandos, etc. Ejemplos de este tipo de programas
son virus como Viernes 13 o el virus Miguel AngelCamaleonesSon una variedad de virus similares a los caballos de Troya que actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales).
Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y password para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.
ReproductoresLos reproductores (también conocidos como conejos-rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal.
Gusanos (Worms)Los gusanos utilizan las redes de comunicaciones para expandirse de sistema en sistema. Es decir, una vez que un gusano entra a un sistema examina las tablas de ruta, correo u otra información sobre otros sistemas, a fin de copiarse en todos aquellos sistemas sobre los cuales encontró información. Este método de propagación presenta un crecimiento exponencial con lo que puede infectar en muy corto tiempo a una red completa.
Existen básicamente 3 métodos de propagación en los gusanos:
1 - Correo electrónico - El
gusano envía una copia de sí mismo a todos los usuarios que aparecen en las
libretas de direcciones que encuentra en el ordenador dónde se ha
instalado.
2 - Mecanismos basados en
RPC (Remote Procedure Call) - El gusano ejecuta una copia de sí mismo en todos
los sistemas que aparecen en la tabla de rutas(rcopy y rexecute).
3 - Mecanismos basados en
RLOGIN - El gusano se conecta como usuario en otros sistemas y una vez en ellos,
se copia y ejecuta de un sistema a otro.
BackdoorsSon también conocidos como herramientas de administración remotas ocultas. Son programas que permiten controlar remotamente el PC infectado. Generalmente son distribuidos como troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningún tipo de mensaje o consulta al usuario. Incluso no se le vé en la lista de programas activos. Los Backdoors permiten al autor tomar total control del PC infectado y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc....
Técnicas de programación
Apoyados en la capacidad de evolución dada por sus programadores, los nuevos virus nacen con el conocimiento de las técnicas utilizadas por las herramientas antivirus actuales y sabiendo cuales son sus puntos débiles. En base a ello utilizan técnicas cada vez más complejas para ocultarse y evitar ser detectados. Algunos de los métodos de ocultación más utilizados son los siguientes:
Stealth
(Ocultamiento)
El ocultamiento
o stealth consiste en esconder los signos visibles de la infección que puedan
delatar la presencia del virus en el sistema. Se trata de evitar todos los
síntomas que indican la presencia de un virus.El signo fundamental de infección es no obstante la modificación del fichero infectado. Una técnica de camuflaje usada por un virus residente puede ser la siguiente:
Interceptar el servicio de lectura de ficheros.
Cuando un programa desea analizar un fichero infectado, se le devuelve el contenido original del mismo antes de la infección.
Tunneling (Sobrepasamiento)
El
sobrepasamiento o tunneling consiste en acceder directamente a los servicios del
sistema a través de sus direcciones originales, sin pasar por el control de
otros programas residentes, incluyendo el propio sistema operativo o cualquier
buscador o vacuna residente.Requiere una
programación compleja, hay que colocar el procesador en modo paso a paso. En
este modo de funcionamiento, tras ejecutarse cada instrucción se produce la
interrupción 1. Se coloca una ISR (Interrupt Service Routine) para dicha
interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a
donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el
parche al final de la cadena.
Armouring o
antidebuggersUn debugger es un programa que permite descompilar programas ejecutables y mostrar parte de su código en lenguaje original. Algunos virus utilizan diversas técnicas para evitar ser desensamblados y así impedir su análisis para la fabricación del antivirus correspondiente.
FUENTE DE INVESTIGACIOIN
http://spin1.nisu.org./recop/a 101/saw/virus.html.
<![en dif]>
No hay comentarios.:
Publicar un comentario