1. Nicols StaculEscuela: centenario de Bolivia 633Ao: 2012 Materia:

2. VIRUS: Definicin Caractersticas Generalidades sobre los virus de computadoras Los nuevos virus e Internet Cmo se producen las infecciones? Estrategias de infeccion utilizadas por los virus Especies de virus Clasificacin de los virus Cmo saber si tenemos un virus? Formas de prevencin y eliminacin de virus Efectos de los virus en una computadora Sintomas que indican la presencia de virus Los virus mas amenazadores de latinoamerica 3. Los virus: Los Virus informticos son programas de ordenador que sereproducen a s mismos e interfieren con el hardware deuna computadora o con su sistema operativo (el software bsico quecontrola la computadora). Los virus estn diseados para reproducirsey evitar su deteccin. Como cualquier otro programa informtico, unvirus debe ser ejecutado para que funcione: es decir, el ordenador debecargar el virus desde la memoria del ordenador y seguir susinstrucciones. Estas instrucciones se conocen como carga activa delvirus. La carga activa puede trastornar o modificar archivosde datos, presentar un determinado mensaje o provocar fallos enel sistema operativo. Existen otros programas informticos nocivos similares a losvirus, pero que no cumplen ambos requisitos de reproducirse y eludirsu deteccin. Estos programas se dividen en tres categoras: Caballos deTroya, bombas lgicas y gusanos. 4. Algunas de las caractersticas deestos agentes vricos: Son programas de computadora: En informtica programa es sinnimo de Software, esdecir el conjunto de instrucciones que ejecuta un ordenador o computadora. Es daino: Un virus informtico siempre causa daos en el sistema que infecta, pero valeaclarar que el hacer dao no significa que valla a romper algo. El dao puede ser implcitocuando lo que se busca es destruir o alterar informacin o pueden ser situaciones conefectos negativos para la computadora, como consumo de memoriaprincipal, tiempo de procesador. Es auto reproductor: La caracterstica ms importante de este tipo de programas es lade crear copias de s mismos, cosa que ningn otro programa convencional hace.Imaginemos que si todos tuvieran esta capacidad podramos instalar un procesador detextos y un par de das ms tarde tendramos tres de ellos o ms. Es subrepticio: Esto significa que utilizar varias tcnicas para evitar que el usuario se decuenta de su presencia. La primera medida es tener un tamao reducidopara poder disimularse a primera vista. Puede llegar a manipular el resultado de unapeticin al sistema operativo de mostrar el tamao del archivo e incluso todos susatributos. Las acciones de los virus son diversas, y en su mayora inofensivas, aunque algunaspueden provocar efectos molestos y, en ciertos, casos un grave dao sobre lainformacin, incluyendo prdidas de datos. Hay virus que ni siquiera estn diseadospara activarse, por lo que slo ocupan espacio en disco, o en la memoria. Sin embargo, esrecomendable y posible evitarlos. 5. Generalidades sobre los virus decomputadoras La primer aclaracin que cabe es que los virus de computadoras, sonsimplemente programas. . Son programas que debido a suscaractersticas particulares, son especiales. Para hacer un virus de computadora se requiere conocimientos delenguajes de programacin, de algunos temas no difundidos parapblico en general y algunos conocimientos puntuales sobreel ambiente de programacin y arquitectura de las computadoras. Los virus actan enmascarados por "debajo" del sistemaoperativo, como regla general, y para actuar sobre los perifricos delsistema, tales como disco rgido, disqueteras, ZIPs CDs, hacen uso desus propias rutinas aunque no exclusivamente. La clave de los virus radica justamente en que son programas. Un viruspara ser activado debe ser ejecutado y funcionar dentro del sistema almenos una vez. Dems est decir que los virus no "surgen" de lascomputadoras espontneamente, sino que ingresan al sistemainadvertidamente para el usuario, y al ser ejecutados, se activan yactan con la computadora husped. 6. Los nuevos virus e Internet Hoy en da existen archivos de pginas Web que pueden infectar unacomputadora. El boom de Internet ha permitido la propagacininstantnea de virus a todas las fronteras, haciendo susceptible deataques a cualquier usuario conectado.Entre los virus que ms fuerte han azotado a la sociedad en losltimos dos aos se pueden mencionar:SircamCode RedNimdaMagistrMelissaKlezLoveLetter 7. Cmo se producen lasinfecciones?Los virus informticos se difunden cuando las instruccioneso cdigo ejecutable que hacen funcionar los programaspasan de un ordenador a otro. Una vez que un virus estactivado, puede reproducirse copindose en discosflexibles, en el disco duro, en programas informticoslegtimos o a travs deredes informticas.Los virus funcionan, se reproducen y liberan sus cargasactivas slo cuando se ejecutan. Por eso, si un ordenadorest simplemente conectado a una red informticainfectada o se limita a cargar un programa infectado, no seinfectar necesariamente.La propagacin de los virus informticos a las computadoraspersonales, servidores o equipo de computacin se logramediante distintas formas, como por ejemplo: a travs dedisquetes, cintas magnticas, CD o cualquier otro medio deentrada de informacin. 8. ESTRATEGIAS DE INFECCINUSADAS POR LOS VIRUS Aadidura o empalme: El cdigo del virus se agrega al final delarchivo a infectar, modificando las estructuras de arranque delarchivo de manera que el control del programa pase por el virusantes de ejecutar el archivo. Esto permite que el virus ejecute sustareas especficas y luego entregue el control al programa. Estogenera un incremento en el tamao del archivo lo que permite sufcil deteccin. Insercin: El cdigo del virus se aloja en zonas de cdigo noutilizadas o en segmentos de datos para que el tamao delarchivo no vare. Para esto se requieren tcnicas muy avanzadasde programacin, por lo que no es muy utilizado este mtodo. Reorientacin: Es una variante del anterior. Se introduce elcdigo principal del virus en zonas fsicas del disco rgido que semarcan como defectuosas y en los archivos se implantanpequeos trozos de cdigo que llaman al cdigo principal alejecutarse el archivo. La principal ventaja es que al no importar eltamao del archivo el cuerpo del virus puede ser bastanteimportante y poseer mucha funcionalidad. Su eliminacin esbastante sencilla, ya que basta con reescribir los sectoresmarcados como defectuosos. 9. Polimorfismo: Este es el mtodo mas avanzado decontagio. La tcnica consiste en insertar el cdigo del virusen un archivo ejecutable, pero para evitar el aumento detamao del archivo infectado, el virus compacta parte de sucdigo y del cdigo del archivo anfitrin, de manera que lasuma de ambos sea igual al tamao original del archivo. Alejecutarse el programa infectado, acta primero el cdigodel virus descompactando en memoria las porcionesnecesarias. Una variante de esta tcnica permite usarmtodos de encriptacin dinmicos para evitar serdetectados por los antivirus. Sustitucin: Es el mtodo mas tosco. Consiste en sustituirel cdigo original del archivo por el del virus. Al ejecutar elarchivo deseado, lo nico que se ejecuta es el virus, paradisimular este proceder reporta algn tipo de error con elarchivo de forma que creamos que el problema es delarchivo. 10. ESPECIES DE VIRUSExisten seis categoras de virus: parsitos, del sector dearranque inicial, multipartitos, acompaantes, de vnculo yde fichero de datos. Los virus parsitos infectan ficherosejecutables o programas de la computadora. No modificanel contenido del programa husped, pero se adhieren alhusped de tal forma que el cdigo del virus se ejecuta enprimer lugar. Estos virus pueden ser de accin directa oresidentes. Un virus de accin directa selecciona uno o msprogramas para infectar cada vez que se ejecuta. Un virusresidente se oculta en la memoria del ordenador e infectaun programa determinado cuando se ejecuta dichoprograma. Los virus del sector de arranque inicial residenen la primera parte del disco duro o flexible, conocidacomo sector de arranque inicial, y sustituyen los programasque almacenan informacin sobre el contenido del disco olos programas que arrancan el ordenador. Estos virussuelen difundirse mediante el intercambio fsico de discosflexibles. Los virus multipartitos combinan las capacidadesde los virus parsitos y de sector de arranque inicial, ypueden infectar tanto ficheros como sectores de arranqueinicial. 11. Clasificacin de los virus: 12. VIRUS POR SU DESTINO DE .INFECCIN: Infectores de archivos ejecutables: Estos tambinresiden en la memoria de la computadora e infectanarchivos ejecutables de extensiones.exe, .com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl. A suvez, comparten con los virus de rea de boot el estar en vasde extincin desde la llegada de sistemas operativos quereemplazan al viejo DOS. Los virus de infeccin de archivosse replican en la memoria toda vez que un archivoinfectado es ejecutado, infectando otros ejecutables.Pueden permanecer residentes en memoria durante muchotiempo despus de haber sido activados, en ese caso se diceque son virus residentes, o pueden ser virus de accindirecta, que evitan quedar residentes en memoria y sereplican o actan contra el sistema slo al ser ejecutado elprograma infectado. Se dice que estos virus son virus desobre escritura, ya que corrompen al fichero donde seubican. 13. Virus multipartitos (Multi-partite): Una suma de los virus derea de boot y de los virus de infeccin de archivos, infectanarchivos ejecutables y el rea de booteo de discos. Infectores directos: El programa infectado tiene que estarejecutndose para que el virus pueda funcionar (seguirinfectando y ejecutar sus acciones destructivas). Infectores residentes en memoria: El programa infectado nonecesita estar ejecutndose, el virus se aloja en la memoria ypermanece residente infectando cada nuevo programa ejecutadoy ejecutando su rutina de destruccin. Infectores del sector de arranque: Tanto los discos rgidoscomo los disquetes contienen un Sector de Arranque, el cualcontiene informacin especfica relativa al formato del disco y losdatos almacenados en l. Adems, contiene un pequeoprograma llamado Boot Program que se ejecuta al bootear desdeese disco y que se encarga de buscar y ejecutar en el disco losarchivos del sistema operativo. Este programa es elque muestra el famoso mensaje de "Non-system Disk" o "DiskError" en caso de no encontrar los archivos del sistema operativo.Este es el programa afectado por los virus de sector de arranque.La computadora se infecta con un virus de sector de arranque alintentar bootear desde un disquete infectado. 14. Macrovirus: Son los virus ms populares de la actualidad.No se transmiten a travs de archivos ejecutables, sino atravs de los documentos de las aplicaciones que poseenalgn tipo de lenguaje de macros. Por ende, son especficosde cada aplicacin, y no pueden afectar archivos de otroprograma o archivos ejecutables. Entre ellas encontramostodas las pertenecientes al paquete Office (MicrosoftWord, MicrosoftExcel, Microsoft PowerPoint, MicrosoftAccess) y tambin elCorel Draw.Cuando uno de estos archivos infectado es abierto ocerrado, el virus toma el control y se copia a la plantilla basede nuevos documentos (llamada en el Wordnormal.dot), de forma que sean infectados todos losarchivos que se abran o creen en el futuro.Los lenguajes de macros como el Visual Basic ForApplications son muy poderosos y poseen capacidadescomo para cambiar la configuracin del sistemaoperativo, borrar archivos, enviar e-mails, etc. Estos viruspueden llevar a cabo, como en el caso de los otrostipos, una gran variedad de acciones, con diversos efectos. 15. El ciclo completo de infeccin deun Macro-Virus sera as: Se abre el archivo infectado, con lo cual se activaen memoria. Infecta sin que el usuario se d cuenta alnormal.dot, con eso se asegura que el usuario seaun reproductor del virus sin sospecharlo. Si est programado para eso, busca dentro de laComputadora los archivos de Word, Excel, etc.,que puedan ser infectados y los infecta. Si est programado, verifica un evento deactivacin, que puede ser una fecha, y genera elproblema dentro de la computadora (borrararchivos, destruir informacin, etc.) 16. Algunos de los virus mas conocidos en esta clasificacin son: De Actives Agents y Java Applets: En 1997, aparecen los Java applets y Actives controls. Estos pequeos programas se graban en el disco rgido del usuario cuando est conectado a Internet y se ejecutan cuando la pgina Web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rgido a travs de una conexin WWW de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, enven informacin a un sitio Web, etc. 17. De HTML: Un mecanismo de infeccin ms eficiente que el de los Java applets y Actives controls apareci a fines de 1998 con los virus que incluyen su cdigo en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una pgina Web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Windows 98, 2000 y de las ltimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos. 18. Troyanos/ Wor ms: Los troyanos son programas que imitan programas tiles o ejecutan algn tipo de accin aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el cdigo daino. Los troyanos no cumplen con la funcin de auto reproduccin, sino que generalmente son diseados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusin del virus. (Generalmente son enviados por e-mail). Los troyanos suelen ser promocionados desde alguna pgina Web poco confiable, por eso hay que tomar la precaucin de bajar archivos ejecutables slo de sitios conocidos y revisarlos con un antivirus antes de correrlos. Pueden ser programados de tal forma que una vez logre su objetivo se autodestruya dejando todo como si nunca nada hubiese ocurrido. 19. VIRUS POR SUS ACCIONES O MODOS DE ACTIVACIN: Bombas: Se denomina as a los virus que ejecutan su accin dainacomo si fuesen una bomba. Esto significa que se activan segundosdespus de verse el sistema infectado o despus de un cierto tiempo(bombas de tiempo) o al comprobarse cierto tipo de condicinlgica del equipo (bombas lgicas). Ejemplos de bombas de tiemposon los virus que se activan en una determinada fecha u horadeterminada. Ejemplos de bombas lgicas son los virus que seactivan cuando al disco rgido solo le queda el 10% sin uso, etc. Retro Virus: Son los virus que atacan directamente al antivirus queest en la computadora. Generalmente lo que hace es que busca lastablas de las definiciones de virus del antivirus y las destruye. Virus lentos: Los virus de tipo lento hacen honor a su nombreinfectando solamente los archivos que el usuario hace ejecutar porel sistema operativo, simplemente siguen la corriente y aprovechancada una de las cosas que se ejecutan. Por ejemplo, un virus lentonicamente podr infectar el sector de arranque de un disquetecuando se use el comando FORMAT o SYS para escribir algo endicho sector. De los archivos que pretende infectar realiza una copiaque infecta, dejando al original intacto. 20. Virus voraces: Alteran el contenido de los archivosindiscriminadamente. Este tipo de virus lo que hace es quecambia el archivo ejecutable por su propio archivo. Se dedican adestruir completamente los datos que estn a su alcance. Sigilosos o Stealth: Este virus cuenta con un mdulo de defensasofisticado. Trabaja a la par con el sistema operativo viendo comoeste hace las cosas y tapando y ocultando todo lo que va editandoa su paso. Trabaja en el sector de arranque de la computadora yengaa al sistema operativo hacindole creer que los archivosinfectados que se le verifica el tamao de bytes no han sufridoningn aumento en tamao. Polimorfos o Mutantes: Encripta todas sus instrucciones paraque no pueda ser detectado fcilmente. Solamente deja sinencriptar aquellas instrucciones necesarias para ejecutar el virus.Este virus cada vez que contagia algo cambia de forma para hacerde las suyas libremente. Los antivirus normales hay veces que nodetectan este tipo de virus y hay que crear programasespecficamente (como son las vacunas) para erradicar dichosvirus. 21. Camaleones: Son una variedad de virus similares a los caballos deTroya que actan como otros programas parecidos, en los que elusuario confa, mientras que en realidad estn haciendo algn tipo dedao. Cuando estn correctamente programados, los camaleonespueden realizar todas las funciones de los programas legtimos a losque sustituyen (actan como programas de demostracinde productos, los cuales son simulaciones de programas reales). Unsoftware camalen podra, por ejemplo, emular un programa de accesoa sistemas remotos realizando todas las acciones que ellosrealizan, pero como tarea adicional (y oculta a los usuarios) vaalmacenando en algn archivo los diferentes logins y passwords paraque posteriormente puedan ser recuperados y utilizados ilegalmentepor el creador del virus camalen. Reproductores: Los reproductores (tambin conocidos como conejos-rabbits ) se reproducen en forma constante una vez que son ejecutadoshasta agotar totalmente (con su descendencia) el espacio de disco omemoria del sistema. La nica funcin de este tipo de virus es crear clones y lanzarlos aejecutar para que ellos hagan lo mismo. El propsito es agotarlos recursos del sistema, especialmente en un entorno multiusuariointerconectado, hasta el punto que el sistema principal no puedecontinuar con el procesamiento normal. 22. Gusanos (Worms): Los gusanos son programas queconstantemente viajan a travs de un sistema informticointerconectado, de computadora en computadora, sin daarnecesariamente el hardware o el software de los sistemas quevisitan. La funcin principal es viajar en secreto a travs deequipos anfitriones recopilando cierto tipo de informacinprogramada (tal como los archivos de passwords) para enviarla aun equipo determinado al cual el creador del virus tiene acceso.Ms all de los problemas de espacio o tiempo que puedangenerar, los gusanos no estn diseados para perpetrar daosgraves. Backdoors: Son tambin conocidos como herramientasde administracin remotas ocultas. Son programas que permitencontrolar remotamente la computadora infectada. Generalmenteson distribuidos como troyanos. Cuando un virus de estos es ejecutado, se instala dentro delsistema operativo, al cual monitorea sin ningn tipo de mensajeo consulta al usuario. Incluso no se lo ve en la lista deprogramas activos. Los Backdoors permiten al autor tomar totalcontrol de la computadora infectada y de esta forma enviar,recibir archivos, borrar o modificarlos, mostrarle mensajes alusuario, etc. 23. "Virus" Bug-Ware: Son programas que en realidad no fueron pensados paraser virus, sino para realizar funciones concretas dentro del sistema, pero debidoa una deficiente comprobacin de errores por parte del programador, o por unaprogramacin confusa que ha tornado desordenado al cdigo final, provocandaos al hardware o al software del sistema. Los usuarios finales, tienden acreer que los daos producidos en sus sistemas son producto de la actividad dealgn virus, cuando en realidad son producidos por estos programasdefectuosos. Los programas bug-ware no son en absoluto virusinformticos, sino fragmentos de cdigo mal implementado, que debido afallos lgicos, daan el hardware o inutilizan los datos del computador. Enrealidad son programas con errores, pero funcionalmente el resultado essemejante al de los virus. Virus de MIRC: Al igual que los bug-ware y los mail- bombers, no sonconsiderados virus. Son una nueva generacin de programas que infectan lascomputadoras, aprovechando las ventajas proporcionadas por Internet y losmillones de usuarios conectados a cualquier canal IRC a travs del programaMirc y otros programas de chat. Consisten en un script para el cliente delprograma de chateo. Cuando se accede a un canal de IRC, se recibe por DCC unarchivo llamado "script.ini". Por defecto, el subdirectorio donde se descarganlos archivos es el mismo donde esta instalado el programa, esto causa que el"script.ini" original se sobre escriba con el "script.ini" maligno. Los autores deese script acceden de ese modo a informacin privada de la computadora, comoel archivo de claves, y pueden remotamente desconectar al usuario del canalIRC. Virus Falsos (Hoax): Un ltimo grupo, que decididamente no puede serconsiderado virus. Se trata de las cadenas de e-mails que generalmenteanuncian la amenaza de algn virus "peligrossimo" (que nunca existe, porsupuesto) y que por temor, o con la intencin de prevenir a otros, se envan yre-envan incesantemente. Esto produce un estado de pnico sin sentido ygenera un molesto trfico de informacin innecesaria. 24. CMO SABER SI TENEMOS UNVIRUS? La mejor forma de detectar un virus es, obviamente con unantivirus, pero en ocasiones los antivirus pueden fallar en la deteccin.Puede ser que no detectemos nada y an seguir con problemas. En esoscasos "difciles", entramos en terreno delicado y ya es conveniente lapresencia de un tcnico programador. Muchas veces las fallasatribuidas a virus son en realidad fallas de hardware y es muyimportante que la persona que verifique el equipo tenga profundosconocimientos de arquitectura de equipos, software, virus, placas dehardware, conflictos de hardware, conflictos de programas entre s ybugs o fallas conocidas de los programas o por lo menos de losprogramas ms importantes. Las modificaciones del Setup, cambios deconfiguracin de Windows, actualizacin de drivers, fallas deRAM, instalaciones abortadas, rutinas de programas con errores y anoscilaciones en la lnea dealimentacin del equipo pueden generarerrores y algunos de estos sntomas. Todos esos aspectos deben seranalizados y descartados para llegar a la conclusin que la fallaproviene de un virus no detectado o un virus nuevo an no incluido enlas bases de datos de los antivirus ms importantes. 25. FORMAS DE PREVENCIN Y ELIMINACIN DEL VIRUS Copias de seguridad: Realice copias de seguridad desus datos. Copias de programas originales: No instale losprogramas desde los disquetes originales. Haga copiade los discos y utilcelos para realizar las instalaciones. Utilice contraseas: Ponga una clave de acceso a sucomputadora para que slo usted pueda acceder a ella. Antivirus: Tenga siempre instalado un antivirus en sucomputadora, como medida general analice todos losdiscos que desee instalar. Si detecta algn virus eliminela instalacin lo antes posible. 26. COMPUTADORAS (efectos nodestructivos) Emisin de mensajes en pantalla: Es uno de los efectosms habituales de los virus. Simplemente causan laaparicin de pequeos mensajes en la pantalla delsistema, en ocasiones se trata de mensajes humorsticos, deCopyright, etc. Borrado a cambio de la pantalla: Tambin es muyfrecuente la visualizacin en pantalla de algn efectogeneralmente para llamar la atencin del usuario. Losefectos usualmente se producen en modo texto. Enocasiones la imagen se acompaa de efectos de sonido.Ejemplo: Ambulance: Aparece una ambulancia movindose por laparte inferior de la pantalla al tiempo que suena una sirena. Walker: Aparece un mueco caminando de un lado a otrode la pantalla. 27. Efectos destructivos Desaparicin de ficheros Modificacin de programas para que dejen defuncionar Acabar con el espacio libre en el disco rgido Hacer que el sistema funcione mas lentamente Robo de informacin confidencial Borrado del BIOS Quemado del procesador por falsa informacin delcensor de temperatura Modificacin de programas para que funcionenerrneamente Formateo de discos duros 28. Sntomas que indican la presencia de Virus: Cambios en la longitud de los programas Cambios en la fecha y/u hora de los archivos Retardos al cargar un programa Operacin ms lenta del sistema Reduccin de la capacidad en memoria y/o disco rgido Sectores defectuosos en los disquetes Mensajes de error inusuales Actividad extraa en la pantalla Fallas en la ejecucin de los programas Fallas al bootear el equipo Escrituras fuera de tiempo en el disco 29. Entre otros los virus mas amenazadores de Amrica latinason: W32.Beagle.AV@mm Segn datos del 12 denoviembre de 2004 es el Virus ms amenazador enAmrica Latina. Fue descubierto el viernes 29 deoctubre de 2004. W32.Beagle.AV@mm es un gusano de envo masivode correos electrnicos que tambin se dispersa atravs de los recursos compartidos de la red. El gusanotambin tiene una funcionalidad de abrir un backdooren el puerto TCP 81.