jueves, 10 de septiembre de 2009

Virus Informático

Definición de Virus

Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos.

Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos por que no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.

Origen de los Virus

Se reconoce como antecedente de los virus actuales, un juego creado por programadores de la empresa AT&T (mamá Bey), que desarrollaron la primera versión del sistema operativo Unix, en los años 60. Para entretenerse, y como parte de sus investigaciones, desarrollaron un juego, "Core War", que tenía la capacidad de reproducirse cada vez que se ejecutaba. Este programa tenía instrucciones destinadas a destruir la memoria del rival o impedir su correcto funcionamiento.

Al mismo tiempo, desarrollaron un programa llamado "Reeper", que destruía las copias hechas por Core Ware. Un antivirus o antibiótico, al decir actual. Conscientes de lo peligroso del juego, decidieron mantenerlo en secreto, y no hablar más del tema. No se sabe si esta decisión fue por iniciativa propia, o por órdenes superiores.

En 1982, los equipos Apple II comienzan a verse afectados por un virus llamado "Cloner" que presentaba un mensaje en forma de poema.

El año siguiente, 1983, el Dr. Ken Thomson, uno de los programadores de AT&T, que trabajó en la creación de "Core War", rompe el silencio acordado, y da a conocer la existencia del programa, con detalles de su estructura, en una alocución ante la Asociación de Computación. 
La Revista Scientific American a comienzos de 1984, publica la información completa sobre esos programas, con guías para la creación de virus. Es el punto de partida de la vida pública de estos aterrantes programas, y naturalmente de su difusión sin control, en las computadoras personales.

Por esa misma fecha, 1984, el Dr. Fred Cohen hace una demostración en la Universidad de California, presentando un virus informático residente en una PC. Al Dr. Cohen se le conoce hoy día, como "el padre de los virus". Paralelamente aparece en muchas PCs un virus, con un nombre similar a Core War, escrito en Small-C por un tal Kevin Bjorke, que luego lo cede a dominio público. 

El primer virus destructor y dañino plenamente identificado que infecta muchas PC’s aparece en 1986. Fue creado en la ciudad de Lahore, Paquistán, y se le conoce con el nombre de BRAIN. Sus autores vendían copias pirateadas de programas comerciales como Lotus, Supercalc o Wordstar, por suma bajísimas. Los turistas que visitaban Paquistán, compraban esas copias y las llevaban de vuelta a los EE.UU. Las copias pirateadas llevaban un virus. Fue así, como infectaron mas de 20,000 computadoras. Los códigos del virus Brain fueron alterados en los EE.UU., por otros programadores, dando origen a muchas versiones de ese virus, cada una de ellas peor que la precedente. Hasta la fecha nadie estaba tomando en serio el fenómeno, que comenzaba a ser bastante molesto y peligroso.


En 1987, los sistemas de Correo Electrónico de la IBM, fueron invadidos por un virus que enviaba mensajes navideños, y que se multiplicaba rápidamente. Ello ocasionó que los discos duros se llenaran de archivos de origen viral, y el sistema se fue haciendo lento, hasta llegar a paralizarse por mas de tres días. La cosa había llegado demasiado lejos y el Big Blue puso de inmediato a trabajar en los virus su Centro de Investigación Thomas J. Watson, de Yorktown Heights, NI.

El virus Jerusalem, según se dice creado por la Organización de Liberación Palestina, es detectado en la Universidad Hebrea de Jerusalem a comienzos de 1988. El virus estaba destinado a aparece el 13 de Mayo de 1988, fecha del 40 aniversario de la existencia de Palestina como nación. Una interesante faceta del terrorismo, que ahora se vuelca hacia la destrucción de los sistemas de cómputo, por medio de programas que destruyen a otros programas.

El 2 de Noviembre del 88, dos importantes redes de EE.UU. se ven afectadas seriamente por virus introducidos en ellas. Mas 6,000 equipos de instalaciones militares de la NASA, universidades y centros de investigación públicos y privados se ven atacados. 


Clasificación de los virus

1.- 1ra. clasificación 

Los virus pueden ser clasificados por su comportamiento, origen, o tipo de archivo que atacan. La primera clasificación que se hizo de los programas del tipo virus, fue dividirlos entre los llamados "Caballos de Troya" y "Bombas de Tiempo". 
Los primeros, llamados así porque se introducen al sistema bajo una apariencia diferente a la de su objetivo final, quedando sin actividad por un tiempo. Las "Bombas de Tiempo", por su parte, se esconden en la memoria del sistema o en un medio magnético de almacenamiento (disquete o disco duro) y se activan en una fecha determinada, haciendo "explosión". 


2.- para MAC/PC

para pc

En la PC hay varias clasificaciones, pero esencialmente existen 2 grandes familias de virus:

  1. Los de Programa de Arranque. -sustituyen ya sea al programa de arranque de un disco flexible o en un disco duro al programa maestro de arranque o al programa de arranque de la partición DOS.
    Una vez que el virus tiene el control, determinana si han sido cargados desde disco flexible y en ese caso infectan al disco duro. Posteriormente se aloja en la memoria para poder infectar los discos flexibles. 
    Ejemplos:
    1. Ping-Pong.- no es peligroso y tiene 1 byte conteniendo el número de versión. Genera un efecto de ping-pong en la pantalla.
    2. Hacked Ping-Pong.- Destruye los primeros 8 sectores de un disco flexible.
    3. SeeYou family.- virus dañino residente encriptado en memoria, infectan el sector de arranque de la unidad C: y discos flexibles. De acuerdo a la fecha del sistema eliminan sectores del disco y despliga uno de los mensajes:
      See you later ...
      Happy birthday, Populizer !

  2. Los de Programas Ordinarios. Conocidos como virus contaminadores de archivos ejecutables (.exe, .com),hay de varios tipos.
    1. Los conocidos como acompañantes que son programas ".com" que se autocopian con el mismo nombre de algún programa ".exe".
    2. Otros se añaden al final del archivo ejecutable ".com", y luego sustituyen los primeros bytes del archivo por una instrucción de salto para enviarle el control al virus.
    Ejemplos
    • Natas.4744 .- es de sobreescritura, se encripta y se encuentra residente en la memoria. Infecta archivos ".com" y ".exe", así como el sector de arranque de los discos flexibles y registros principales de inicio de discos duros (MBR).
    • Flip .- infecta archivos .COM, .EXE, y .OVL , incluyendo el COMMAND.COM, también altera el MBR y sector de arranque de discos duros.
    os virus de Mac se pueden clasificar en:

    1. Infectores específicos de sistemas y archivos Mac.
      Ejemplos:
      1. AIDS.- infecta aplicaciones y archivos de sistema.
      2. CDEF.- infecta archivos del escritorio.
    2. Infectores HiperCard.
      Ejemplos:
      1. Dukakis.- despliega el mensaje Dukakis para presidente.
      2. MerryXmas. - En ejecución infecta el sector de inicio de la memoria, que a su vez infecta otros sectores en uso. Esto ocaciona caida del sistema y otras anomalías.
    3. Mac Trojans.
      Ejemplos:
      1. ChinaTalk . - supuestamente es un controlador de sonido, pero borra carpetas.
      2. CPro. - supuestamente es una actualización de Compact Pro, pero intenta dar formato a los dicos montados.

Macro virus.
Virus que manejan cadenas de texto en un documento, pueden trabajar igual en una Macintosh como en una PC. Desde que Word 6.x para Macintosh soporta macros de WordBasic, es vulnerable a ser infectado por macro virus, y generar documentos infectados.Cualquier aplicación para Macintosh que soporte Visual Basic también serán vulnerables.
Ejemplo:
  1. W97M/Remplace.b.- Consiste de 17 macros en un módulo llamado akrnl. Utiliza un archivo temporal c:\Étudiant.cfg para copiar su código. Desactiva la protección de Macro Virus, deshabilita las opciones de Macros, Plantillas y Editor de visual Basic.


definicion de antivius

Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos, durante la década de 1980.

Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus informáticos, sino bloquearlo para prevenir una infección por los mismos, así como actualmente ya son capaces de reconocer otros tipos de malware, como spywarerootkits, etc.

El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador.

Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuales son potencialmente dañinas para el ordenador, con técnicas como HeurísticaHIPS, etc.

algunos de los antivirus mas utilizados

Los tipos más comunes utilizados son:

·         McAffe Virus Scan.

·         IBM Antivirus.

·         Dr. Solomon`s.

·         Symantec Antivirus for the Macintosh.

·         Virex.

·         Desinfectant.




definicion detector

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Funcionamiento 

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlacecon funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

Diferencia de antivirus y detector: 

el detector solo te dice cuando hay un intruso o virus en tu compu y el antivirus lo detecta y lo elimina.
Publicado por en

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Suscribirse a: Enviar comentarios (Atom)