2006/2007 Virus Informáticos - UDCsabia.tic.udc.es/docencia/ssi/old/2006-2007/docs/trabajos/08 - Virus... · Virus más famosos Actualidad ¿Pueden ser atacados todos los sistemas?

Virus Informáticos> 2006/2007

Introducción

> ¿Qué son?“Programa introducido subrepticiamente en la

memoria de un ordenador que, al activarse,

destruye total o parcialmente la información

almacenada” (RAE)

>

•¿Qué son los virus?•Características

Introducción

Historia

¿Cómo funcionan?

Tipos de virus

Métodos de infección

Virus Informáticos

2

> Características

� Dañino: Todo virus causa daño, bien de forma

intencionada o como efecto secundario.

� Autoreproductor: Característica más diferenciadora.

� Subrepticio: Se oculta al usuario (como imagen,

librerías,…).

Virus más famosos

Actualidad

¿Pueden ser atacados todos los sistemas?

Detectar una infección

¿Cómo protegerse?

Antivirus

¿Quiénes y porqué desarrollan los virus?

Conclusión

Historia

> Fechas destacadas

� 1939: John Louis Von Neumann (cientifico matemático)

publica “Teoría y organización de autómatas complejos”.

� 1949-50’s: Robert Thomas Morris, Douglas McLlory y Victor

Vysottsky (Bell Computer) programan un juego llamado

Introducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus Informáticos

Introducción•Fechas destacadas

3

Vysottsky (Bell Computer) programan un juego llamado

“CoreWar”

� 1972: Robert Thomas Morris ataca a las IBM360 con

Creeper (enredadera). Apareció el primer antivirus, Reaper

(segadora).

� 1984: Fred Cohen acuña el término de virus informático.

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

Historia

> Fechas destacadas

� 1986: Primer virus informático, Brain, hecho por dos

hermanos pakistaníes.

� 1987: El gusano Christmas satura la red de IBM.

1988: Robert Tappan Morris difunde un virus a través de

Introducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus Informáticos


4

� 1988: Robert Tappan Morris difunde un virus a través de

ArpaNet.

� 1990: Mark Washburn crea 1260, primer virus polimórfico.

� 1992: Aparece el conocido virus Michelangelo.

� 1995: Aparece Concept, primer virus de macro.

� 1998: CIH o Chernobyl, primer virus que daña el hardware

del ordenador.

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

Historia

> Fechas destacadas

� 1999: Aparecen los virus anexados a mensajes de correo

(Melissa, Bubbleboy).

� 2000: Aparece el primer virus para Palm.

2001: Virus Nimda ataca a millones de computadoras.

Introducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus Informáticos


5

� 2001: Virus Nimda ataca a millones de computadoras.

� Actualmente: Diariamente aparecen multitud de técnicas

más sofisticadas y más conocidas, lo que permite que

aparezcan una media de 13 virus diarios.

.

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

¿Cómo funcionan?Introducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus Informáticos

Antes Desarrollados en ensamblador.

Actualmente Lenguajes de Alto nivel.

> Infección

•Infección

•Estructura

6

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

> Infección� Algunos intentarán cargarse en la CMOS si es posible.

� Otros intentarán cargarse en los sectores de arranque,

sustituyendo al actual MBR y tras cargarse el virus, éste

cargará el MBR real.

� Si intentan infectar un fichero ejecutable se colocará

antes de los puntos de inicio y fin del programa.

Tras la infección realizará la acción para la cual ha sido

programado e intentará ocultarse al antivirus.

¿Cómo funcionan?Introducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus Informáticos

> Estructura

� Módulo de reproducción: Rutinas encargadas de

gestionar la replicación.

� Módulo de ataque: Rutinas encargadas de realizar el

•Infección

•Estructura

7

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

� Módulo de ataque: Rutinas encargadas de realizar el

daño implícito que se dispararán por distintos eventos del

sistema.

� Módulo de defensa: Se encarga de proteger el código del

virus. Disminuirán los síntomas que pueden provocar la

detección por parte de los antivirus (encriptación,

polimorfismo, …).

Tipos de VirusIntroducción

Historia

¿Cómo funcionan?

Tipos de Virus


Virus Informáticos

> Virus� Residentes: Se ocultan en la memoria principal para

controlar las operaciones del S.O.

� De acción directa: No se ocultan en la memoria, bajo una

determinada condición actuarán infectando ficheros.

•Virus•Encriptados•Polimórficos•Gusanos•Bug-Ware•Troyanos•Virus falsos•Bombas lógicas•De Mirc

8

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

� De sobreescritura: Escriben el código dentro del fichero

infectado, quedando inservible.

� De boot o arranque: Actúan sobre el sector de arranque

de los discos.

� Retrovirus: Atacan al antivirus, facilitándole la entrada a

otro virus destructivo que lo acompaña.

� Multipartites: Virus muy complejo que utiliza diferentes

técnicas, infectando tanto macros, discos, programas, etc.


Historia

¿Cómo funcionan?

Tipos de Virus


Virus Informáticos

> Virus� De macro: Infectan los ficheros creados en aplicaciones

con macros (Word, Excel, …).

� De enlace o directorio: Modifica la dirección donde se

encuentra almacenado un fichero, de tal manera que se

ejecutará el virus.


9

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

ejecutará el virus.

� De FAT: Muy dañino ya que ataca a la FAT.

� De fichero: Infectan ficheros ejecutables. La mayoría son

de este tipo.

� De compañia: Acompañan a otros ficheros existentes en

el sistema, pudiendo ser residentes o de acción directa.

� De Active Agents y Java Applets: Se ejecutan cuando el

usuario está en la página web que los usa.


Historia

¿Cómo funcionan?

Tipos de Virus


Virus Informáticos

> Virus� De HTML: Simplemente con acceder a una página web el

usuario será infectado.

� Lentos: Infectarán aquellos archivos que usa el usuario en

el S.O.


10

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

� Voraces: Altamente destructivos. Destruyen

completamente todos los datos.

� Sigilosos o Stealth: Contienen un módulo de defensa muy

sofisticado. Engaña al S.O. cambiando el nombre, fecha,

etc, de los ficheros.

� Reproductores o conejos: Se reproducen constantemente

hasta acabar con la capacidad del disco duro o de la

memoria principal.


Historia

¿Cómo funcionan?

Tipos de Virus


Virus Informáticos

> EncriptadosEs una técnica usada por diversos virus para cifrarse y

ocultarse a los antivirus.

> PolimórficosSimilar a los encriptados, pero se cifran y descifran cada


11

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

Similar a los encriptados, pero se cifran y descifran cada

vez con distintos algoritmos.

> Gusanos (Worms)Para replicarse no infectan otros ficheros, sino que

realizan copias de sí mismo enviándose por la red.

> Bug-WareSon en realidad, programas con errores en su código.


Historia

¿Cómo funcionan?

Tipos de Virus


Virus Informáticos

> Troyanos o caballos de troyaProgramas aparentemente inofensivos, que permitirán

obtener el control remoto del sistema.

> Virus falsosLos más conocidos son los hoaxes, mails engañosos para


12

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

Los más conocidos son los hoaxes, mails engañosos para

alarmar sobre supuestos virus.

> Bombas lógicasNo son estrictamente virus, sino que son segmentos de

código incrustados en otro programa.

> De MIRCRestringido al IRC, se propaga a través del envío por DCC

del fichero script.ini modificado.

Métodos de infecciónIntroducción

Historia

¿Cómo funcionan?

Tipos de virus

Métodos de

Infección

Virus Informáticos

> AñadiduraTécnica que agrega el código al final del archivo

ejecutable. Desventaja: Aumenta el tamaño del archivo.

> InserciónInserta el código en zonas de código no usadas por el

•Añadidura•Inserción•Reorientación•Polimorfismo•Sustitución•Tunneling

13

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

Inserta el código en zonas de código no usadas por el

fichero infectado. Ventaja: El tamaño no varía.

> ReorientaciónIntroduce el código en zonas de disco marcadas como

defectuosas o archivos ocultos. Desventaja: Fácil

eliminación.

Métodos de infecciónIntroducción

Historia

¿Cómo funcionan?

Tipos de virus

Métodos de

Infección

Virus Informáticos

> PolimorfismoMétodo más avanzado que compacta su código y el del

fichero infectado. Ventaja: El tamaño del fichero no

aumenta.

> Sustitución

•Añadidura•Inserción•Reorientación•Polimorfismo•Sustitución•Tunneling

14

Virus más famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

> SustituciónMétodo más primitivo. Sustituye su código por el del

archivo infectado, impidiendo su desinfección. Ventaja:

Se realizan copias del virus en cada ejecución.

> TunnelingTécnica compleja usada por programadores de virus y

antivirus usada para evitar las rutinas al servicio de

interrupción y conseguir control directo sobre ésta,

“pasándole por debajo”.

Virus más famososIntroducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Virus Informáticos

Nombre Daño Localización Curiosidades

CIH 20-80 millones $ Taiwan (1998) Fue distribuido en un Demo del juego de Activision“Sin”.

BLASTER 2 a 10 billones $ Verano 2003 Curiosos mensajes a “Billy” Gates.

MELISSA 300 a 600 millones $ 26 Marzo 1999 Curioso mensaje con

15

famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

MELISSA 300 a 600 millones $ 26 Marzo 1999 Curioso mensaje con documento de wordadjunto.

SOBIG.F 5 a 10 billones $ Agosto 2003 Septiembre de 2003 se autodesactivó. Microsoft ofreció 250000$ por su autor.

ILOVEYOU 10 a 15 billones $ Hong Kong (2000) Al no haber leyes en Filipinas contra esto, el autor quedó sin cargos.

Virus más famososIntroducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Virus Informáticos

Nombre Daño Localización Curiosidades

BAGLE 10 millones $ 18 Enero 2004 Fue diseñado para detenerse el 28 Enero 2004, aunque otras variantes siguen funcionando.

CODE RED 2,6 billones $ 13 Julio 2001 En menos de una semana infectó 400000 servidores.

MYDOOM Disminuyó el rendimiento de

Enero 2004 Programado para detenerse después del 12 de Febrero

16

famosos

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

rendimiento de internet un 10% y un50% la carga de las páginas

después del 12 de Febrero de 2004.

SQL SLAMMER

Daño económico bajo 25 Enero 2003 75.000 ordenadores en 10 minutos.

SASSER 10 millones $ 30 Abril 2004 Atacaba sistemas Windows 2000 y XP no actualizados. Escrito por un joven de 17 años que no fue condenado por ser escrito siendo menor.

ActualidadIntroducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Virus Informáticos

� Mayoría de infecciones producidas por gusanos y

troyanos.

� Cada vez más virus enviados a través de archivos adjuntos

o simplemente a través de código HTML.

� Mayor ancho de banda Mayor intercambio de

17

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión

� Mayor ancho de banda Mayor intercambio de

información Mayor riesgo de virus.

� Aparecen nuevas cepas de virus, cada vez más peligrosos

y difíciles de detectar.

� Virus para móviles, PDA’s, televisión por Internet, …

ActualidadIntroducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Virus Informáticos

18

Actualidad



¿Cómo protegerse?

Antivirus


Conclusión


Introducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

� Sí.

� Sistema MUY MUY SEGURO Menor % Infecciones.

� Sistema MUY MUY SEGURO No virus.

� Ejemplos:

� MAC: OSX/Leap-A, se extiende a través de iChat com una

‡

19



¿Cómo protegerse?

Antivirus


Conclusión

� MAC: OSX/Leap-A, se extiende a través de iChat com una

imagen.

� Dispositivos móviles: PalmOS/phage y PALM/Liberty.

� Móviles: Cabir. Se distribuye a través de buetooth, email o

GPRS.

� Linux/Windows: Virus.Linux.Bi.a/Virus.Win32.Bi.a. Es un

virus que multiplataforma que ataca tanto ficheros PE como

ELF.

Detectar una infecciónIntroducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

¿Pueden ser atacados

Virus Informáticos

Tarea complicada debido a nuevas y mejores técnicas de

programación.

> Acciones determinantes� Aplicaciones extremadamente lentas.

� Dispositivos de almacenamiento realizan lecturas sin

justificación.

20



Detectar una

Infección

¿Cómo protegerse?

Antivirus


Conclusión

justificación.

� Modificación del tamaño , fecha, nombre, etc, de ficheros.

� Aparición de programas sospechosos/desconocidos en

memoria.

� Aparición en pantalla de objetos, mensajes, imágenes, …

� Apagado o reinicio del sistema.

� Eliminación de ficheros.

� Nuevas macros en documentos o opción de ver macros

desactivada.

•Acciones determinantes

¿Cómo protegerse?Introducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

La educación y la información son el mejor método para

protegerse, aunque el más sencillo sea tener un antivirus.

> Pautas a seguir� Crear un directorio para ficheros bajados de internet.

� Utilización de un firewall, ya sea software o hardware.

21



¿Cómo protegerse?

Antivirus


Conclusión

� Secuencia de booteo de la BIOS siempre desde disco duro.

� Antivirus adecuado a nuestro sistema, actualizado y

correctamente configurado.

� Copias de seguridad del sistema.

� Software original que tenga documentación y soporte.

� No abrir correos sin conocer origen y aun conociéndolo no

abrir un fichero adjunto si se desconfía.

� Desactivar la opción de vista previa en los emails.

ANTIVIRUS + SEGURIDAD EMAILS = MENOS RIESGO++.

•Pautas a seguir

AntivirusIntroducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

> ¿Qué son?Programas cuyo objetivo es combatir y eliminar virus

informáticos.

> ¿Cómo funcionan?

22



¿Cómo protegerse?

Antivirus


Conclusión

> ¿Cómo funcionan?� Identificación: Los antivirus tendrán BBDD con las

“huellas” para identificar si un fichero es un virus y

determinar cuál es. Es una técnica débil, ya que

depende de la firma para detectarlo.•¿Qué son?•¿Cómo funcionan?•¿Cómo elegir?•Comparativa


Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

> ¿Cómo funcionan?� Detección: Primordial, más importante que la

identificación, ya que permitirá detectar el virus

antes de que cause daño. Dos técnicas:

� Análisis heurístico: Es la más común. Analiza código de

los ficheros buscando instrucciones dañinas.

23



¿Cómo protegerse?

Antivirus


Conclusión

los ficheros buscando instrucciones dañinas.

� Comprobación de integridad: Realiza un registro con las

características de los ficheros, aplicándole un algoritmo

y obteniendo un checksum. En el caso del MBR se

tendrá un checksum y a mayores se realizará una copia

de seguridad. Si el antivirus detecta una variación en el

checksum de algún fichero o del MBR implicará la

presencia de un virus.

•¿Qué son?•¿Cómo funcionan?•¿Cómo elegir?•Comparativa


Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

> ¿Cómo funcionan?� Eliminación: Idea sencilla, extraer el código dañino

del fichero infectado. Ejecución compleja, ya que

excepto en los virus ampliamente conocidos no se

sabe exactamente el lugar donde se encuentra el

código dañino.

24



¿Cómo protegerse?

Antivirus


Conclusión

código dañino.

� Demonios de protección: Llamados así en UNIX y TSR

en MSDOS. Se cargarán en memoria y se encargarán

de controlar las operaciones usualmente utilizadas

por los virus. Deben ser cargados antes que cualquier

programa.

•¿Qué son?•¿Cómo funcionan?•¿Cómo elegir?•Comparativa


Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

> ¿Cómo funcionan?� Cuarentena: Ya que no siempre la desinfección es

posible, y en ocasiones no sabemos si el fichero está

realmente infectado, la mejor solución sería el uso de

la cuarentena. El fichero se encriptaría y podríamos

recuperarlo en cualquier momento.

25



¿Cómo protegerse?

Antivirus


Conclusión

recuperarlo en cualquier momento.

� Bases de datos: Para que la identificación sea efectiva

la compañía fabricante del antivirus deberá conocer

el virus y sacar una firma. Por ello debemos tener las

bases de datos actualizadas. •¿Qué son?•¿Cómo funcionan?•¿Cómo elegir?•Comparativa


Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

> ¿Cómo elegir un buen antivirus?Dependerá de las necesidades del usuario, deberá de

elegir entre rendimiento, seguridad o un compendio

entre ambas. Debemos tener en cuenta:

� Bases de datos con infinidad de virus.

26



¿Cómo protegerse?

Antivirus


Conclusión

� Demonio de protección potente.

� Opción a realizar copias de seguridad de ficheros

infectados.

� Módulo de cuarentena.

� Módulo de comprobación de integridad.

� Módulo heurístico potente.

� Frecuencia de actualizaciones de las firmas de virus.

� Posibilitar análisis de red, almacenamiento externo,…

•¿Qué son?•¿Cómo funcionan?•¿Cuál elegir?•Comparativa


Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

> ComparativaRealizada el 22 de abril de 2007 por www.virus.gr, sobre

una base de 174770 ejemplos, todos ellos

descomprimidos y detectados por alguno de los

antivirus participantes.

27



¿Cómo protegerse?

Antivirus


Conclusión

•¿Qué son?•¿Cómo funcionan?•¿Cuál elegir?•Comparativa

¿Quiénes y por qué desarrollan virus?

Introducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

No existe una única razón ni un único objetivo, por lo que el

perfil del creador de virus es muy diverso. A esto ayuda la

facilidad que existe hoy en día para crear virus.

> Razones� Deseo de hacer daño.

28



¿Cómo protegerse?

Antivirus

¿Quiénes y porqué

desarrollan los virus?

Conclusión

� Reto personal de programar un virus, o de crear

nuevos virus no detectados.

� Llamar la atención.

� Demostrar vulnerabilidades.

� Políticos, religiosos, …

� Rememorar hechos históricos.•Razones•¿Quiénes?

¿Quiénes y por qué desarrollan virus?

Introducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

> ¿Quiénes?� En décadas pasadas los gurús de la informática.

� En la actualidad ellos mismos aunque no suelen

publicarlos, y no suelen ser dañinos. Personas de

todos los ámbitos con leves conocimientos en

informática con acceso a herramientas o virus ya

29



¿Cómo protegerse?

Antivirus

¿Quiénes y porqué

desarrollan los virus?

Conclusión

informática con acceso a herramientas o virus ya

creados.

� ¿Y los antivirus? Empresas con expertos informáticos

en materia de virus, pueden ser tuteadas por

usuarios amateur que no usan técnicas avanzadas???

� ¿Podrá un gobierno crear un virus para atacar a un

país enemigo?

� Debatamos

•Razones•¿Quiénes?

ConclusiónIntroducción

Historia

¿Cómo funcionan?

Tipos de virus


Virus más famosos

Actualidad

Virus Informáticos

30



¿Cómo protegerse?

Antivirus


Conclusión

Moraleja

Póntelo,

31

Póntelo, pónselo

Documents

2006/2007 Virus Informáticos - UDCsabia.tic.udc.es/docencia/ssi/old/2006-2007/docs/trabajos/08 - Virus... · Virus más famosos Actualidad ¿Pueden ser atacados todos los sistemas?