Virus Informáticos
Introducción:
Los virus
informáticos son uno de los mayores riesgos para los Sistemas informáticos, su
ritmo de crecimiento es muy acelerado por día y no existe un programa detector
de virus que sea perfecto. Estos nacieron al mismo tiempo que las computadoras.
Un virus
informático se puede definir como un programa malicioso o “malware” diseñado
para infectar o dañar archivos. Las “víctimas” de esta infección por lo general
son archivos ejecutables de forma que a partir de ese momento, dicho archivo
pasa a ser portador del virus y una nueva fuente de infección.
Características:
Los virus constan
de 3 módulos:
-
Módulo de reproducción: Encargado de manejar
las rutinas para infectar entidades ejecutables que asegurarán la subsistencia
del virus. Cuando toma el control del sistema puede infectar otras entidades
ejecutables. Cuando estas entidades sean trasladadas a otras computadoras se
asegura la dispersión del virus.
-
Módulo de ataque: Éste módulo es optativo, y
es el que maneja las rutinas de daño adicional al virus. Esta rutina puede
existir o no y generalmente se activa cuando el sistema cumple alguna
condición. Por ejemplo el virus Chernovil se activa cada vez que el reloj del
sistema alcanza el 26 de cada mes.
-
Módulo de defensa: Este módulo, también
optativo, tiene la misión de proteger al virus. Sus rutinas tienden a evitar
acciones que faciliten o provoquen la detección o remoción del virus.
Clasificación:
Los más comunes
son:
●
Gusanos (worms): Se reproducen de forma
autónoma y van borrando todos los datos de la memoria RAM.
●
Caballo de Troya (Trojan): Son virus que
requieren ser copiados e instalados manualmente en la computadora que será
infectada, el usuario lo confunde con un programa totalmente legítimo pero al
ejecutarlo expone el ordenador a daños.
●
Bombas de tiempo: Son virus programados para
entrar en acción en un momento predeterminado, una hora o fecha en particular.
Se ocultan en la memoria de la computadora o en discos, en archivos con
programas ejecutables con las extensiones .EXE y .COM.
●
Virus Falsos o Hoax: Se trata de las cadenas
de e-mails que generalmente anuncian la amenaza de algún virus “peligrosísimo”
(que nunca existe) y que por temor, se envían y re-envían incesantemente. Esto
produce pánico sin sentido y genera un molesto tráfico de información
innecesaria.
●
Virus mutantes: Van modificando su código para
evitar ser detectados por el antivirus.
●
Virus Backdoors: Roban información y entran
mediante deficiencias del sistema operativo.
Diferentes métodos de infección:
Añadidura o empalme: el código del virus se agrega al final del archivo ejecutable y tras ejecutar el proceso para el que fue programado, retorna al programa haciendo que funcione con normalidad.
Inserción: requiere técnicas muy avanzadas para la programación de virus por lo cual no es muy popular. El método de acción es insertar, como el nombre lo dice, su código en zonas no usadas dentro del programa infectado.
Reorientacion: es una variedad del virus de inserción. En este caso se escribe el código del virus en partes del disco que estén defectuosas o en archivos ocultos del sistema. En el momento de su ejecución introducen el código en los archivos para infectarlos. Su principal ventaja es que al no estar insertado en el archivo propiamente, su tamaño puede ser mayor con lo que podría actuar mas eficazmente.
Poliformismo: es el método mas efectivo de contagio. Consiste en insertar el código del virus en un archivo ejecutable de la misma manera que se hace con el método de añadidura, sin embargo para evitar que el tamaño del código aumente se realiza una compactación del propio código del virus y del archivo infectado, haciendo que entre ambos, el tamaño del archivo no aumente.
Sustitución: es el método más básico. Consiste en sustituir el código del archivo infectado por el código del virus. Cuando actúa, lo hace únicamente el código del virus, infectando o eliminando otros archivos y terminando la ejecución del programa y mostrando un mensaje de error.cx
Tunneling: técnica avanzada usada por programadores de virus y antivirus para evitar las rutinas al servicio de interrupción y conseguir control total sobre esta. El archivo de protección de los antivirus cuelga de todas las interrupciones usadas por los virus (INT 21, INT 13, a veces INT 25 Y 26), de tal forma que cuando un virus pretende escribir/abrir un ejecutable el antivirus recibe una alerta donde comprobara si es o no virus y le permite o no su acceso. Si la llamada no tiene peligro el modulo del antivirus llamara a la INT 21 original. De esta forma un virus con tunneling intentara obtener la dirección original de la INT 21 que esta en algún lugar del modulo residente del antivirus. Si se consigue obtener esa dirección podrá acceder directamente a INT 21 sin necesidad de pasar por el antivirus. De esta forma le "pasara por debajo", lo "tuneleara".
Formas de combartirlos:
Virus famosos
La sofisticación del virus y su forma de infección fueron totalmente nuevos para la época. Por su complejidad y la cantidad de recursos invertidos, las firmas de seguridad informática que lo analizaron, y el mismo gobierno iraní, concluyeron que tenía que ser un esfuerzo de otro país, lo que significó que fue de los primeros ataques cibernéticos entre naciones.
Los resultados fueron devastadores. El programa nuclear iraní fue retrasado dos años, lo que cumplió el objetivo militar sin derramar una gota de sangre. Lo más curioso fue su forma de infección. Después del ataque, se supo que el virus entró a los sistemas por medio de una memoria USB, llevada físicamente a la planta nuclear. Por la política iraní, nunca sabremos las verdaderas pérdidas que dejó Stuxnet, ni su efecto real en el programa nuclear del país.
El virus fue propagado en 2004 y originalmente se distribuyó gracias a aplicaciones P2P como KaZaA. Sin embargo, después el archivo logró pegarse el correo electrónico y se propagó gracias a los típicos mensajes que llegan cuando un correo rebota. Con sujetos como ‘Mail Delivery System’ o ‘Mail Transaction Failed’, MyDoom logró capturar la atención de los usuarios e incentivarlos a abrir el archivo adjunto.
En su auge, MyDoom estaba presente en uno de cada 12 correos electrónicos que viajaban por la autopista informática. Es el código malicioso que más rápido se propagó.
Una vez ejecutado el código malicioso, lanzaba ataques de denegación de servicio a motores de búsqueda como Altavista, Lycos y Google. Esto obligó a estas plataformas a bajar sus servicios por un día. Y aunque varias compañías ofrecieron recompensas de hasta US $250.000, nadie dio con el paradero del criminal, que hasta hoy se sospecha que tiene nacionalidad rusa.
Su forma de distribución fue realmente ingeniosa. Se camuflaba como una actualización de Flash. Como en Mac OS X cualquier programa necesita que el usuario digite su contraseña, era necesario que el código malicioso se hiciera pasar como un programa reconocido. En ese momento, Flash era un componente fundamental de internet que requería actualizaciones constantes, un disfraz perfecto para distribuir el ‘malware’
Por la poca información que hay en los medios de los virus de Apple, no se sabe el daño que causó OSX/Flashback. Sin embargo, merece un puesto en esta lista por infectar una plataforma más segura que Windows y por su ingeniosa forma de hacerse pasar por un programa verídico.
Tunneling: técnica avanzada usada por programadores de virus y antivirus para evitar las rutinas al servicio de interrupción y conseguir control total sobre esta. El archivo de protección de los antivirus cuelga de todas las interrupciones usadas por los virus (INT 21, INT 13, a veces INT 25 Y 26), de tal forma que cuando un virus pretende escribir/abrir un ejecutable el antivirus recibe una alerta donde comprobara si es o no virus y le permite o no su acceso. Si la llamada no tiene peligro el modulo del antivirus llamara a la INT 21 original. De esta forma un virus con tunneling intentara obtener la dirección original de la INT 21 que esta en algún lugar del modulo residente del antivirus. Si se consigue obtener esa dirección podrá acceder directamente a INT 21 sin necesidad de pasar por el antivirus. De esta forma le "pasara por debajo", lo "tuneleara".
Formas de combartirlos:
1. Instale las actualizaciones de los productos Microsoft
Usar
Microsoft Update con actualizaciones automáticas es una buena opción
–y facil de implementarpara evitar la infección de virus.
2. Instale las últimas versiones de Adobe Reader y Flash Player
El virus Gumblar aprovecha las vulnerabilidades de Adobe Reader, Adobe
Acrobat y Adobe Shockwave Flash Player para descargar más archivos
maliciosos. Al actualizar estos programas, se asegura de tener las
versiones más seguras.
3. Cree contraseñas sólidas
Crear y usar contraseñas sólidas, y cambiarlas con regularidad, es un
paso muy importante para protegersu computador y la información personal. Lo ideal es que las contraseñas
sean largas y empleen todo el teclado, no sólo las letras y los
caracteres más comunes.
4. Invierta en protección antivirus de calidad
Si bien no constituyen una garantía del 100%, al usar un programa
antivirus completo se reduce el riesgo de infectar la máquina.
Sin algún tipo de protección, tiene casi garantizado caer presa de
virus, software espía y correo no deseado.
5. No haga clic en enlaces o adjuntos desconocidos
Nunca haga clic en enlaces desconocidos incluidos en correos
electrónicos ni abra adjuntos enviados por personas desconocidas. Fíjese que
no haya nada inusual en los enlaces o nombres de dominios
con leves alteraciones podrían indicar que el sitio esta modificado.
6. Sólo descargue archivos de sitios confiables
Sólo debería descargar archivos de fuentes confiables y de trayectoria.
Nunca descargue nada si no está seguro de qué se trata. Evite bajar archivos ejecutables (.exe) que no esta seguro de lo que son o de donde provienen.
Virus famosos
Stuxnet
Su misión era cambiar la velocidad que las centrifugas nucleares de una planta en Bushehr, Iran para que se autodestruyeran.La sofisticación del virus y su forma de infección fueron totalmente nuevos para la época. Por su complejidad y la cantidad de recursos invertidos, las firmas de seguridad informática que lo analizaron, y el mismo gobierno iraní, concluyeron que tenía que ser un esfuerzo de otro país, lo que significó que fue de los primeros ataques cibernéticos entre naciones.
Los resultados fueron devastadores. El programa nuclear iraní fue retrasado dos años, lo que cumplió el objetivo militar sin derramar una gota de sangre. Lo más curioso fue su forma de infección. Después del ataque, se supo que el virus entró a los sistemas por medio de una memoria USB, llevada físicamente a la planta nuclear. Por la política iraní, nunca sabremos las verdaderas pérdidas que dejó Stuxnet, ni su efecto real en el programa nuclear del país.
MyDoom
Este fue uno de los virus más devastadores de la historia, pues causó más de 38.000 millones de dólares en perdidas. Por momentos, realmente causó estragos en el tráfico global de internet. De acuerdo con McAfee, en su momento más crítico, MyDoom ralentizó el 10% de todo el internet y redujo el acceso a algunos sitios web en 50%.El virus fue propagado en 2004 y originalmente se distribuyó gracias a aplicaciones P2P como KaZaA. Sin embargo, después el archivo logró pegarse el correo electrónico y se propagó gracias a los típicos mensajes que llegan cuando un correo rebota. Con sujetos como ‘Mail Delivery System’ o ‘Mail Transaction Failed’, MyDoom logró capturar la atención de los usuarios e incentivarlos a abrir el archivo adjunto.
En su auge, MyDoom estaba presente en uno de cada 12 correos electrónicos que viajaban por la autopista informática. Es el código malicioso que más rápido se propagó.
Una vez ejecutado el código malicioso, lanzaba ataques de denegación de servicio a motores de búsqueda como Altavista, Lycos y Google. Esto obligó a estas plataformas a bajar sus servicios por un día. Y aunque varias compañías ofrecieron recompensas de hasta US $250.000, nadie dio con el paradero del criminal, que hasta hoy se sospecha que tiene nacionalidad rusa.
OSX/Flashback
OSX/Flashback fue un malware que entre 2011 y 2012 llegó a los computadores de Apple para robar información de los usuarios. El programa malicioso tenía la capacidad de robar credenciales de sitios web y hasta información bancaria de los usuarios. Funcionaba –de alguna manera– como un keylogger.Su forma de distribución fue realmente ingeniosa. Se camuflaba como una actualización de Flash. Como en Mac OS X cualquier programa necesita que el usuario digite su contraseña, era necesario que el código malicioso se hiciera pasar como un programa reconocido. En ese momento, Flash era un componente fundamental de internet que requería actualizaciones constantes, un disfraz perfecto para distribuir el ‘malware’
Por la poca información que hay en los medios de los virus de Apple, no se sabe el daño que causó OSX/Flashback. Sin embargo, merece un puesto en esta lista por infectar una plataforma más segura que Windows y por su ingeniosa forma de hacerse pasar por un programa verídico.
Comentarios
Publicar un comentario