UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO

Campus SLT

Seguridad en redes de rea Local y Amplia

Anlisis de un virus informtico

29/11/13

Equipo 3

Integrantes:

Martnez Sols Israel

Mijangos Martnez Jorge Adrin

Mndez Santiago Eduardo

Ramrez Pineda Jaime

Rodrguez Ortiz Jonatn

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

Introduccin:

El virus vienna es muy sencillo y

antiguo, creado en Alemania. Fue

usado como base para la creacin

de muchsimas variantes.

Su cdigo fuente fue publicado en

el libro "Computer viruses: A

High-Tech Disease".

Objetivo:

A travs de los conocimientos

adquiridos, haremos un pequeo a

anlisis de algunos virus

informticos, tanto sus

caractersticas, el creador de cada

uno, el lugar de origen, y lo

principal, su funcin.

Desarrollo:

Analizando los siguientes virus:

1. - command._om

2. - edit._om

3. - keyb._om

4. - sys._om

1.- Command._om

Tamao del virus: 53.9KB esto es

(55172bits).

Tipo de archivo: DOS EXE

Nombre del Archivo es: Vienna-

IT-457

Creador del Virus: nunca ha sido

revelada la informacin.

En la figura1 lo analizamos con el

programa hackman,

desamoblando el virus.

Figura 1

2.- edit._om

Tamao del virus: 900 bytes.

Tipo de archivo: DOS COM

Creado en Alemania,

Nombre del Archivo es:

COHAUIL

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

Figura 2

3.- keyb._om

Tamao del virus: 15.3KB

(15628bytes).

Tipo de archivo: DOS EXE

Nombre del Archivo es:

TROJ_GEN.F47V1030

Figura 3

4.- sys._om

Tamao del virus: 9.6KB (9880

bytes).

Tipo de archivo: DOS EXE

Nombre del Archivo es: VIENNA

Figura 4

Cunto mide en bytes?

Segn los datos obtenidos en

www.virustotal.org el archivo

infectado mide 119937 bytes. El

nombre del virus vara segn el

antivirus analizado:

Avast Vienna-IT-457

Jiangmin Vienna.457

Sophos Vienna-457

Ad-Aware PS-MPC.0457.AK.Gen

Agnitum ITV.457

AhnLab-V3 ITV.457

AVG unknown virus

BitDefender PS-

MPC.0457.AK.Gen

Comodo UnclassifiedMalware

DrWeb Itv.454

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

msisoft PS-MPC.0457.AK.Gen

(B)

F-Prot ITV.457

F-Secure PS-MPC.0457.AK.Gen

Fortinet ITV.457

Figura 5

Qu realiza el virus?

Funcin del Virus: cuando se

empieza a ejecutar, el virus

restaura los tres primeros bytes

del programa. Como original,

Provoca la prdida de

informacin almacenada en el

ordenador, bien de archivos

concretos, o generalizada.

Provoca prdidas de

productividad en el ordenador,

en la red a la que ste

pertenece o a otros sitios

remotos. Realiza acciones que

conducen a un decremento en el

nivel de seguridad del ordenador.

No se propaga automticamente

por sus propios medios.

Viena es un no residente, de accin

directa. Infector com. Cuando se

ejecuta un archivo infectado con el

virus, ste busca. Archivos com en

el sistema e infecta a uno de ellos.

Los segundos en marca de tiempo

del archivo infectado leern "62",

un valor imposible, haciendo que

sean fciles de encontrar. Uno de

seis a ocho de los archivos sern

destruidos cuando Viena intenta

infectarlos sobrescribiendo los

primeros cinco bytes con la cadena

de caracteres hex " EAF0FF00F0

", las instrucciones que causarn

un arranque en caliente cuando se

ejecuta el programa. Estos

archivos no contienen realmente el

virus Viena, slo estn

corrompidos por ella.

El creador del virus de Viena:

Nunca ha sido revelada. Algunas

fuentes dicen que el virus fue

creado por Viena estudiante de

secundaria como un experimento.

La primera persona para detectar

el virus era Franz Swoboda.

La informacin se filtr que

Swoboda recibi el virus de Ralf

Burger, hamburguesa, pero afirm

que recibi el virus de Swoboda.

Ralf hamburguesa s cre una

variante que caus el equipo se

bloquee despus de un reinicio.

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

sys no infectado

sys infectado

Keyb no infectado

Key infectado

edit no infectado

edit infectado

command no infectado

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

command infectado

En las comparaciones echas y

vistas en el programa de hex

whorkshop, obtuvimos grandes

hallazgos acerca de los archivos

infectados y los que no lo eran.

Una de las caractersticas

principales de los archivos con

virus es su tamao, estos ocupan

mayor tamao, otras

caractersticas eran los datos

visualizados, en este caso haba

segmentos de diferentes colores.

Que nos indicaban los datos

daados y diferentes a los que no

tenan el virus.

Programas utilizados:

Hex Workshop

Hex Hacman (utilizado en

dessamblador)

Conclusiones:

En esta prctica se trabaj

con el virus llamado Vienna es

el ms comn de los virus NO-

TSR. Vienna fue el primer

virus de archivo, pero ahora

tiene variaciones.

Hay muchos virus basados en

Viena, ya que desde su

publicacin en 1987 hasta

nuestros das se ha tomado

como base el publicado

originalmente en el libro, los

archivos infectados que se

abordaron en esta prctica

nos sirvieron para poder

observar las modificaciones

que hace a veces un 'autor' de

virus realmente no alcanzan

para considerarlo un virus

nuevo. Adems de la rutina de

destruccin y la muy dudosa

rutina para confundir al que

quiera desensamblarlo, el que

hizo las modificaciones

posteriores al original no

parece tener mucha idea de

programacin, ni parece

entender el cdigo lo

suficientemente bien como

para mejorarlo mucho.

UNIVERSIDAD AUTNOMA DE LA CIUDAD DE MXICO UACM

Bibliografa:

Aguilera Lpez Purificacin

Seguridad informtica.

Mxico 2004. Ed. Edimex.

Areitio Bertoln Javier

Seguridad de la informacin:

redes, informtica y sistemas

de informacin.Espaa 2008.

Ed. Paraninfo.

Portantier Fabin.

Seguridad informtica.

Mxico 2001. Ed. RedUsers.

2013-11-29T22:37:25-0600Israel Solispractica de virus