Virus informaticos

 

Definicion

  Los virus informáticos son programas que utilizan técnicas sofisticadas, diseñados por expertos programadores, los cuales tienen la capacidad de reproducirse por sí mismos, unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayoría de estas acciones son hechas con mala intención.

Un virus informático, ataca en cualquier momento, destruyendo toda la información que no esté protegida con un antivirus actualizado.

La mayoría de los virus suelen ser programas residentes en memoria, se van copiando dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras personas, también encontrarán en el interior archivos con virus.

Un virus tiene la capacidad de dañar información, modificar los archivos y hasta borrar la información un disco duro, dependiendo de su programador o creador.

En la actualidad los virus informáticos no solo afectan a los archivos ejecutables de extensión .EXE y .COM, sino también a los procesadores de texto, como los documentos de Word y hojas de cálculo como Excel, esta nueva técnica de elaboración de virus informático se llama Macro Virus.

¿Por qué se los denomina virus? 

La gran similitud entre el funcionamiento de los virus computacionales y los virus biológicos, propició que a estos pequeños programas se les denominara virus.

Los virus en informática son similares a los que atacan el organismo de los seres humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo objetivo es destruir o molestar el "huésped".

Al igual que los virus orgánicos, los virus en informática deben ser eliminados antes de que causen la "muerte" del huésped...

Los virus de las computadoras no son mas que programas; y estos virus casi siempre los acarrean las copias ilegales o piratas.

Provocan desde la pérdida de datos o archivos en los medios de almacenamiento de información (diskette, disco duro, cinta), hasta daños al sistema y, algunas veces, incluyen instrucciones que pueden ocasionar daños al equipo.

Caracteristicas:

•   Son muy pequeños. 

• Casi nunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha de creación. 

• Se reproducen a sí mismos. 

• Toman el control o modifican otros programas.

Fases de infección de un virus:

Primera Fase (Infección)
   El virus pasa a la memoria del computador, tomando el control del mismo, después de intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de ejecutar un archivo infectado.

El virus pasa a la memoria y el sistema se ejecuta, el programa funciona aparentemente con normalidad, de esta forma el usuario no se da cuenta de que su sistema está siendo infectado.

Segunda Fase (Latencia)

   Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema cuando son ejecutados o atacando el sector de arranque del disco duro.
   De esta forma el virus toma el control del sistema siempre que se encienda el computador, ya que intervendrá el sector de arranque del disco, y los archivos del sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura, dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar el sistema. 

Tercera Fase (Activación)

Esta es la última fase de la vida de un virus y es la fase en donde el virus se hace presente.

La activación del virus trae como consecuencia el despliegue de todo su potencial destructivo, y se puede producir por muchos motivos, dependiendo de como lo creó su autor y de la versión de virus que se trate, debido a que en estos tiempo encontramos diversas mutaciones de los virus.

Algunos virus se activan después de un cierto número de ejecuciones de un programa infectado o de encender el sistema operativo; otros simplemente esperan a que se escriba el nombre de un archivo o de un programa.

La mayoría de los virus se activan mediante el reloj del sistema para comprobar la fecha y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna condición y por último atacan, el daño que causan depende de su autor.  


 Las principales vías de infección son:

•  Redes Sociales. 

•  Sitios webs fraudulentos. 

•  Redes P2P (descargas con regalo). 

•  Dispositivos USB/CDs/DVDs infectados. 

•  Sitios webs legítimos pero infectados. 

•  Adjuntos en Correos no solicitados (Spam).

 

¿Cuales son los síntomas mas comunes cuando 

tenemos un virus?

    

• Reducción del espacio libre en la memoria o disco duro.
    Un virus, cuando entra en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por ello ocupa una porción de ella. Por tanto, el tamaño útil operativo de la memoria se reduce en la misma cuantía que tiene el código del virus.
• • Aparición de mensajes de error no comunes.
  • Fallos en la ejecución de  programas.
  • Frecuentes caídas del sistema
  • Tiempos de carga mayores.
  • Las operaciones rutinarias se realizan con mas lentitud. 
  • Aparición de programas residentes en memoria desconocidos.

 

• Actividad y comportamientos inusuales de la pantalla.
    Muchos de los virus eligen el sistema de vídeo para notificar al usuario su presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de un virus.

  

• El disco duro aparece con sectores en mal estado
    Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como dañados o inoperativos.

  

• Cambios en las características de los ficheros ejecutables
    Casi todos los virus de fichero, aumentan el tamaño de un fichero ejecutable cuando lo infectan. También puede pasar, si el virus no ha sido programado por un experto, que cambien la fecha del fichero a la fecha de infección.

 

• Aparición de anomalías en el teclado
    Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan acciones perniciosas en el ordenador. También suele ser común el cambio de la configuración de las teclas, por la del país donde se programo el virus.

 

Técnicas

  Detallamos las técnicas mas utilizadas por los virus para ocultarse, reproducirse y camuflarse de los antivirus.

 OCULTACIÓN

 
Mecanismos de Stealth

 
 Éste es el nombre genérico con el que se conoce a las técnicas de ocultar un virus. Varios son los grados de stealth, y en ellos se engloban argucias tan diversas como la originalidad y nivel del autor permiten. A un nivel básico basta saber que en general capturan determinadas interrupciones del PC para ocultar la presencia de un virus, como mantener la fecha original del archivo, evitar que se muestren los errores de escritura cuando el virus escribe en discos protegidos, restar el tamaño del virus a los archivos infectados cuando se hace un DIR o modificar directamente la FAT, etc.

• Mantener la fecha original del archivo
• Restaura el tamaño original de los archivos infectados
• Modifica directamente la FAT
• Modifican la tabla de Vectores de Interrupcion
• Se instalan en los buffers del DOS
• Soportan la reinicializacion del sistema por teclado
• Se instalan por encima de los 649 KB normales del DOS
• Evita que se muestren mensajes de error, cuando el virus intenta escriir sobre discos protegidos.

 Técnicas de stealth avanzadas pretenden incluso hacer invisible al virus frente a un antivirus. En esta categoría encontramos los virus que modifican la tabla de vectores de interrupción (IVT), los que se instalan en alguno de los buffers de DOS, los que se instalan por encima de los 640KB e incluso los hay que soportan la reinicialización del sistema por teclado.

 Técnicas de auto encriptación

Esta técnica muy utilizada, consigue que el virus se encripte de manera diferente cada vez que se infecta el fichero, para intentar pasar desapercibido ante los antivirus.

  PROTECCIÓN ANTIVIRUS

Anti-debuggers

 Un debugger es un programa que permite descompilar programas ejecutables y mostrar parte de su código en lenguaje original.

 Los virus usan técnicas para evitar ser desensamblados y así impedir su análisis para la fabricación del antivirus correspondiente.
 

 Armouring

 Mediante esta técnica el virus impide que se examinen los archivos que él mismo ha infectado. Para conocer más datos sobre cada uno de ellos, éstos deben ser abiertos (para su estudio) como ficheros que son, utilizando programas especiales (Debuger) que permiten descubrir cada una de las líneas del código (lenguaje de programación en el que están escritos). Pues bien, en un virus que utilice la técnica de Armouring no se podrá leer el código.

CAMUFLAJE

Mecanismos Polimorficos

Es una técnica para impedir ser detectados, es la de variar el método de encriptación de copia en copia. Esto obliga a los antivirus a usar técnicas heurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código. Esto se consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus. 

 La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es reversible: 

        2 XOR 5 = 3
        3 XOR 2 = 5 

 En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obtiene una codificación también distinta. 

 Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico.

EVASIÓN

Técnica de Tunneling

Con esta técnica, intentar burlar los módulos residentes de los antivirus mediante punteros directos a los vectores de interrupción.

 Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1.

 Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena. 

RESIDENTES

TSR

Los virus utilizan esta técnica para permanecer residente en memoria y así mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso.

 El virus permanece en memoria mientras el ordenador permanezca encendido.

 Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los ficheros de arranque del sistema para asegurarse de que cuando se vuelva a arrancar el ordenador volverá a ser cargado en memoria. 

¿Cómo protegernos de los virus informáticos?

La prevención consiste en un punto vital a la hora de proteger nuestros equipos ante la posible infección de algún tipo de virus y para esto hay tres puntos vitales que son:

 Un programa Antivirus.

 Un programa Cortafuegos. 

 Fuentes: 
http://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Tipos-de-virus-de-computadoras.php
http://www.monografias.com/trabajos15/virus-informatico/virus-informatico.shtml
http://www.infospyware.com/articulos/%C2%BFque-son-los-virus-informaticos/
http://html.rincondelvago.com/virus-informaticos_7.html3
Imagenes: google.com  

Rogue, falsos anti-virus

  ¿Qué es?

Los Rogue o Scareware son sitios web o programas que simulan ser una aplicación de seguridad, generalmente gratuita, pero que en realidad instalan otros programas dañinos. Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos programas, su sistema es infectado.

Estos programas, que el la mayoría de los casos son falsos antivirus, no suelen realizar exploraciones reales, ni tampoco eliminan los virus del sistema si los tuviera, simplemente informan que se ha realizado con éxito la desinfección del equipo, aunque en realidad no se realizado ninguna acción.

  

 En cualquiera de los casos, es un ataque complementado por una alta utilización de Ingeniería Social, utilizando mensajes fuertes y exagerando las consecuencias de la supuesta amenaza. Vocabulario informal, palabras escritas en mayúscula, descripción detallada de las consecuencias, e invitaciones a adquirir un producto, son algunas de las principales características de esta amenaza.

 Muchas variantes de rogue, además, simulan hacer un escaneo del sistema, con barra de progreso incluida y minuciosos detalles respecto a la extensa cantidad de amenazas que se encuentran en el ordenador. Los resultados nunca son alentadores y obviamente siempre se encuentra un número de amenazas importantes para el ordenador y, además, se detallan las 
peligrosas consecuencias de no solucionar el problema con rapidez. 

 Para los delicuentes es sencillo desarrollar este tipo de software, ya que los programas sólo muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al usuario.

  
 



¿Cómo se transmite?

Este tipo de software suele descargarse e instalarse de forma oculta y en contra de la voluntad del usuario directamente desde Internet.

Sin embargo, en ocasiones se presenta bajo la forma de la versión de prueba de un producto antimalware que el usuario descarga de buena fe.

Ocasionalmente, esta página web puede instalar más software malintencionado en el ordenador en contra de la voluntad del usuario.

En el caso de aquellos que se manifiestan bajo la forma de una versión de prueba, actúan generando falsos positivos a propósito detectando malware inexistente. Al ser una versión de prueba, informa al usuario que para eliminarlos requerirá comprar la versión completa de la aplicación. 





  ¿Cuál es su objetivo? 


El objetivo es claro y sencillo, vender la mayor cantidad de copias de sus falsos productos que sea posibles hasta que los descubran y tengan que volver a rediseñar sus sitios con otros nombres para estos y para sus programas.

  
¿Cómo es que llegan a nuestros equipos?

 

• Al descargar algún falsos codecs o falso plugin que se nos ofrece como necesario al intentar ver un video en Internet (por lo general videos del tipo erótico/pornográfico)
• Al visitar algunos sitios directamente fraudulentos o que su código web ha sido comprometido para descargarnos uno de estos Rogue Antivirus sin nuestro consentimiento.
• A través de alguno de los miles de Virus del tipo Troyano que están afiliados a estos y al infectarnos con uno de estos nos empezara a generar algunos de los síntomas que listamos más abajo.

 


¿Cuáles son los síntomas visibles de infección?

 

• Secuestro del navegador web.
• Enlentecimiento general del PC.
• Ventanas emergentes (pop-ups)
• Secuestro el fondo de escritorio.
• Secuestro de las búsquedas de Google.
• Secuestro de la pantalla de inicio de Windows.
• Secuestro de la pagina de Google que vemos en nuestro PC.
• Falsos mensajes de Alertas en  barra de tareas al lado del reloj.
• Imposibilidad de actualizar y/o ejecutar su Antivirus o Antispywares tradicional
• Imposibilidad de acceder a sitios webs dedicados a la seguridad

 
 
¿Quiénes están detrás de los Rogue?

 

 Organizaciones de Cibercriminales que cuentan con muy buenos recursos y afiliaciones en su mismo mercado undergorund, lo que les dan la capacidad de conseguir varios nombres de dominios, servidores webs, así también como diseñar tanto las paginas webs como las interfaces de sus programas visualmente muy profesionales.

¿Cómo evitar ser victimas de estos estafadores?

 

• Mantenga sus sistema Windows actualizado.
• Cuente con una solución Antivirus y Firewall actualizado
• Nunca compre un producto sin investigar un poco de su reputación.
• Nunca compre un producto que se le recomiende por emails no solicitados.
• Si su sistema esta actualizado no tendría que tener problemas en ver algún video, por lo que tenga mucho cuidado al descargar algún codecs o plugin para ver estos.
• Descargue sus programas de seguridad únicamente desde la web del fabricante o desde sitios realmente confiables.

  
Fuentes: 
http://www.eset-la.com/centro-amenazas/amenazas/Rogue/2149
http://www.infospyware.com/articulos/rogue-software-fakeav/#more-1778
http://es.wikipedia.org/wiki/Rogue_software
http://www.segu-info.com.ar/malware/rogue.htm
Imagenes: google.com  

Troyanos informáticos

  ¿Qué son?

 Se denomina troyano a un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona.

  La diferencia fundamental entre un troyano y un virus consiste en su finalidad, al contrario que un virus, el troyano no necesariamente provoca daños porque no es su objetivo.

 Suele ser un programa alojado dentro de una aplicación, y se instala en el sistema al ejecutar dicha aplicación. Una vez instalado parece realizar una función útil, pero internamente realizan otras tareas de las que el usuario no es consciente, por ejemplo puede ser utilizado para: 

•  Tomar el control total de la máquina, es decir, pueden introducir todos los archivos que quieran en nuestro ordenador (entre ellos virus), desactivar el antivirus o el cortafuegos, el pirata informático se podrá conectar a través de nuestro ordenador a un módem de alto coste que por ejemplo ofrezca servicios de pornografía y endosarnos la factura, o establecer una contraseña para el usuario administrador de tu ordenador, de forma que no puedas acceder a tu propio equipo. 
• Enviar masivamente correo electrónico no deseado (spam) 
• Realizar ataques a terceros.  
• Diseminar virus informáticos. 
• Para capturar datos (contraseñas y claves de acceso) ya que pueden controlar las pulsaciones del teclado cuando escribimos las contraseñas. En este caso, se utilizaría como espía. 
• Para realizar cualquier otro delito informático, y ocultar su identidad.  

 
 Tipos de troyanos

•   Backdoors:

Otros nombres para estos tipos son troyanos de acceso remoto o puertas traseras. Un troyano de estas características, le permite al atacante conectarse remotamente al equipo infectado. Las conexiones remotas son comunmente utilizadas en informática y la única diferencia entre estas y un backdoor es que en el segundo caso, la herramienta es instalada sin el consentimiento del usuario. La tecnología aplicada para acceder remotamente al equipo no posee ninguna innovación en particular ni diferente a los usos inofensivos con que son utilizadas estas mismas aplicaciones. Una vez que el atacante accede al ordenador del usuario, los usos que puede hacer del mismo son variados, según las herramientas que utilice: enviar correos masivos, eliminar o modificar archivos, ejecución de archivos, reiniciar el equipo o usos más complejos como instalar aplicaciones para uso malicioso (por ejemplo: alojamiento de sitios web de violencia o pedofilia). 
 

• Keyloggers: 

 Los keyloggers (del inglés Key = Tecla y Log = Registro) son uno de los tipos más utilizados para obtener información sensible de los usuarios. Los troyanos de este tipo, instalan una herramienta para detectar y registrar las pulsasiones del teclado en un sistema. Pueden capturar información como contraseñas de correos, cuentas bancarias o sitios web, entre otras, y por lo tanto atentar contra información sensible del usuario. La información capturada es enviada al atacante generalmente, en archivos de texto con la información. Estos troyanos, no son una amenaza para el sistema sino para el usuario y su privacidad. Los datos recolectados, pueden ser utilizados para realizar todo tipo de ataques, con fines económicos o simplemente malignos como modificar las contraseñas de las cuentas de acceso a algún servicio.  

•  Banker:

 Los troyanos bancarios tienen como principal objetivo robar datos privados de las cuentas bancarias de los usuarios. Utilizan diferentes técnicas para obtener los datos de acceso a todo tipo de entidades financieras, algunas de ellas son: reemplazar parcial o totalmente el sitio web de la entidad, enviar capturas de pantalla de la página bancaria (útiles cuando el usuarios utiliza teclados virtuales) o incluso la grabación en formato de video de las acciones del usuario mientras accede al sitio web. Los datos son enviados al atacante, por lo general, por correo electrónico o alojándolos en sitios FTP. 

• Downloader:

 Este tipo de troyanos tiene como principal función la de descargar otros archivos maliciosos. Esta clase de amenazas no hace algún daño en sí, sino que descarga otros archivos maliciosos para el ordenador. El troyano se encarga, no solo de descargar el/los archivos, sino también de ejecutarlos o preparar la máquina para su ejecución automática al inicio. 

• Botnets:

 Los troyanos botnets, son utilizados para crear redes de equipos zombis (botnets). El atacante utiliza el troyano (generalmente combinado con herramientas de backdoors) para controlar una cantidad importante de ordenadores y así poder utilizarlos para cualquier fin maligno. Pueden ser utilizados para enviar spam o para realizar ataques de denegación de servicio (DoS); estos consisten en saturar un sitio web generando más accesos y requerimientos de los que puede soportar y provocando la baja del servicio. De forma simple: el atacante dispone de miles de ordenadores para utilizarlos como él quiera y para los fines que él desee. Utilizar un troyano no es la única forma de crear y controlar una red botnet, sino simplemente una de ellas. 

• Proxy:

 Este tipo de troyanos instalan herramientas en el ordenador que le permiten al atacante utilizar la Pc infectada como un servidor proxy. Un proxy es un servidor que da acceso a otros ordenadores a Internet a través de él. En este caso, el atacante utiliza el ordenador infectado para acceder a la web a través de él, enmascarando su identidad. En resumen, el atacante utiliza el troyano para cometer delitos por Internet (envío de spam, robo de información o de dinero) y, si se rastreara el origen del ataque, se encontraría la Pc infectada con el troyano. 

• Password Stealer:

 Los password Stealer se encargan de robar información introducida en los formularios en las páginas web. Pueden robar información de todo tipo, como direcciones de correo electrónico, logins, passwords, PINs, números de cuentas bancarias y de tarjetas de crédito. Estos datos pueden ser enviados por correo electrónico o almacenados en un servidor al que el delincuente accede para recoger la información robada. En la mayoría de sus versiones, utilizan técnicas keyloggers para su ejecución y son similares a estos. 

• Dialer:

 Los troyanos “Dialer” crean conexiones telefónicas en el ordenador del usuario, utilizando las funcionalidades del módem. Estas conexiones son creadas y ejecutadas de forma transparente a la víctima. Generalmente, se trata de llamados de alto costo a sitios relacionados con contenido adulto en Internet. Este tipo de troyanos crean un daño económico al usuario, el ordenador no se ve afectado por hacer una llamada telefónica.  

 ¿Cómo detectarlo?

Como los troyanos hacen uso de Internet para poder funcionar, detectar un troyano no es una tarea ni fácil ni difícil, simplemente es cuestión de organización. Lo que haremos será uso de un simple comando MS-DOS para ver las conexiones activas en nuestro ordenador.

En primer lugar vamos a cerrar los programas que hagan uso de conexión a Internet, como Messenger, Emule, etc. Ahora ejecutamos el símbolo de sistema de Windows (Menú Inicio > Ejecutar > escribimos “CMD” sin comillas y damos aceptar); el comando a usar será:

netstat -n

Si ves una conexión extraña (o desconocida) distinta a la IP de tu equipo, sí estás infectado por un troyano. Claro está que debemos ser muy cuidadosos, y no alterarnos por cualquier IP. Primero asegúrate que no sea tu IP la que encontraste en el comando que ejecutaste. 

  

 Consejos para evitar infectarse de un Troyano informático:

•  No descargar programas de páginas desconocidas o poco confiables. 

•  Tener cuidado con los correos electrónicos que recibimos: nunca abrir un correo de un remitente desconocido con un fichero desconocido, como si fuera una imagen. 

•  Mantener actualizado el antivirus (ésto es más que obligatorio) 

•  Usar un buen cortafuegos. 

•  Cuando uses redes P2P, asegúrate de que lo que descargarás esté etiquetado como lo que estás descargando, pues aquí abundan los troyanos (y virus)

 Fuentes: 
http://www.segu-info.com.ar/malware/troyano.htm
http://www.bloginformatico.com/troyano-informatico-definicion-caracteristicas-y-deteccion.php
http://roble.pntic.mec.es/jprp0006/tecnologia/4eso_informatica/peligros_internet/2troyanos.htm 
 Imagenes: google.com