6- Seguridad

V 2.2 Prof. Marisol Hormaechea 48

VIRUS INFORMTICO VIRUS INFORMTICO VIRUS INFORMTICO VIRUS INFORMTICOS SS S

Un virus es un Malware, que tiene por objetivo alterar el normal funcionamiento de la
computadora sin el consentimiento del usuario. Los virus remplazan archivos ejecutables
por otros infectados, borran y/o modifican otros, llegando a destruir los datos de una
computadora. Adems se propagan de una computadora a otra, aprovechando la creciente
conectividad de los sistemas informticos.
Un malware debe cumplir bsicamente tres condiciones para ser considerado un virus:
Ser dainos dainos dainos dainos. Un virus informtico siempre causa daos en el sistema que infecta. El
dao puede ser implcito cuando lo que busca es destruir o alterar informacin, o
pueden ser situaciones con efectos negativos para la computadora.
Son autoreproductores autoreproductores autoreproductores autoreproductores. Esta es la caracterstica ms importante ya que este tipo de
programas puede crear copias de s mismo y de ese modo propagarse.
Son subrepticios subrepticios subrepticios subrepticios. Significa que utilizar varias tcnicas para evitar que el usuario no
se de cuenta de su presencia. Puede llegar a manipular el resultado de peticiones al
sistema operativo, modificar caractersticas de los archivos, etc.

Su origen Su origen Su origen Su origen
En 1949, el matemtico estadounidense John Von Neumann plante la posibilidad terica de
que un programa informtico se reprodujera a si mismo.
En el ao 1959, en los laboratorios de la Bell Computer, tres jovenes programadores:
crean un juego denominado CoreWar, inspirados en la teora de Von Neumann. CoreWar
(el precursor de los virus informticos) es un juego en donde programas combaten entre si
con el objetivo de ocupar toda la memoria de la maquina eliminando as a los oponentes
El que se considera el primer virus propiamente dicho y que fue capaz de infectar
maquinas IBM 360 a traves de una red ARPANET (el precedente de la Internet actual), fue
el llamado Creeper, creado en 1972 por Robert Thomas Morris. Este parasito emita un
mensaje en la pantalla peridicamente: Im a creepercatch me if you can! (Soy una
enredadera, atrpame si puedes).
Para eliminar a Creeper se creo un programa llamado Reaper (segadora) programado para
buscarlo y eliminarlo. Este es el origen de los actuales antivirus.
Sin embargo, el termino virus no se adoptara hasta 1984. Desde entonces los virus han
tenido una gran expansin, desde los que atacan los sectores de arranque de disquetes
hasta los que se adjuntan en el correo electrnico.

Cuando es nocivo: Cuando es nocivo: Cuando es nocivo: Cuando es nocivo:
Cuando un virus lleva a cabo la accin para la que haba sido creado, se dice que se
ejecuta la carga activa. Entonces pueden ser muy dainos e intentan producir un dao
irreparable al ordenador personal destrozando archivos, desplazando/sobrescribiendo el
sector de arranque principal, borrando los contenidos del disco duro o incluso escribiendo
sobre la BIOS, dejando inutilizable el equipo. La mayora de los virus no borran todos los
archivos del disco duro. La razn de esto es que una vez que el disco duro se borra, se
eliminar el virus, terminando as el problema. Hay que tener en cuenta que para que se d
la carga activa la computadora debe estar encendida.
6- Seguridad
V 2.2 Prof. Marisol Hormaechea 49
Pero obviamente nadie va a ejecutar un virus en forma intencionada. Estos utilizan
diferentes estrategias para acceder a la memoria de la computadora en forma clandestina.

Clasificacin de los virus Clasificacin de los virus Clasificacin de los virus Clasificacin de los virus
Parsi Parsi Parsi Parsitos tos tos tos
Tipo de virus informtico que se adhieren a archivos (especialmente ejecutables),
como lo hara un parsito. Ese archivo ejecutable es denominado portador (o Host) y el
virus lo utiliza para propagarse. Si el programa es ejecutado, lo primero que se ejecuta
es el virus y luego, para no levantar sospechas, se ejecuta el programa original. Otras
veces el virus parsito reemplaza parte del archivo portador destruyndolo, de este
modo es ms difcil que sea detectado por un antivirus
De arranque: De arranque: De arranque: De arranque:
Tanto los discos rgidos como los disquetes contienen un Sector de Arranque, el cual
contiene informacin especfica relativa al formato del disco y los datos almacenados
en l. Adems, contiene un pequeo programa llamado Boot Program que se ejecuta al
bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los
archivos del sistema operativo. Este programa es el que muestra el famoso mensaje
de "Non-system Disk" o "Disk Error" en caso de no encontrar los archivos del
sistema operativo. Este es el programa afectado por los virus de sector de arranque.
La computadora se infecta con un virus de sector de arranque al intentar bootear desde
un disco infectado. En este momento el virus se ejecuta e infecta el sector de arranque
del disco rgido, infectando luego cada disco utilizado en la computadora. A pesar
del riesgo que parecen esconder estos virus, son de una clase que est tendiendo a
desaparecer, sobre todo desde la explosin de Internet, las redes y los sistemas
operativos posteriores al DOS. Para erradicarlos, es necesario inicializar la
Computadora desde un disquete sin infectar y proceder a removerlo con un antivirus, y
en caso necesario reemplazar el sector infectado con el sector de arranque original.
Multipa Multipa Multipa Multipartitos: rtitos: rtitos: rtitos:
Los virus multipartitos combinan las capacidades de los virus parsitos y de sector de
arranque inicial y pueden infectar tanto archivos ejecutables como sectores de
arranque inicial de los discos.
Acompaantes: Acompaantes: Acompaantes: Acompaantes:
Son un tipo de virus de archivo clsico que no modifican al archivo anfitrin. En su
lugar, crean un archivo infectado cuya copia contiene el virus y que toma el nombre del
archivo de programa, ponindole al archivo de programa cualquier otro nombre.
Cuando el usuario quiere ejecutar el archivo, el sistema operativo lo que hace es
ejecutar el primero que encuentra con el nombre adecuado y en este caso va a ser el
virus y no el archivo que el usuario quera
Virus macro Virus macro Virus macro Virus macro
Los Macro-virus representan una de las amenazas mas importantes para una red.
Actualmente son los virus que mas se estn extendiendo por la Internet.
Representan una amenaza tanto para las redes informticas como para los ordenadores
independientes. Su mximo peligro esta en que son completamente independientes del
sistema operativo o de la plataforma. Es mas, ni siquiera son programas ejecutables.
Los Macro virus son pequeos programas escritos en el lenguaje propio (conocido
como lenguaje scrip o macro-lenguaje) propio de un programa. As nos podemos
encontrar con macro-virus para editores de texto, hojas de calculo y utilidades
especializadas en la manipulacin de imgenes
6- Seguridad
V 2.2 Prof. Marisol Hormaechea 50

Otros malware que no llegan a ser virus Otros malware que no llegan a ser virus Otros malware que no llegan a ser virus Otros malware que no llegan a ser virus
Troyanos Troyanos Troyanos Troyanos
Es un Software malicioso que se presenta al usuario como un programa aparentemente
legtimo e inofensivo pero al ejecutarlo ocasiona daos. Pueden realizar diferentes
tareas y en la mayora de los casos crean una puerta trasera que permite la
administracin remota del ordenador a un usuario no autorizado. No propagan la
infeccin a otros sistemas por si mismos.
Gusanos Gusanos Gusanos Gusanos
Malware cuya caracterstica fundamental es la de duplicarse a si mismo. stos utilizan
las partes automticas del un sistema operativo que generalmente estn ocultas al
usuario para replicarse en forma descontrolada. Es algo usual detectar un gusano
cuando debido a su incontrolada replicacin, los recursos del sistema se consumen
hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o
simplemente no pueden ejecutarse. Casi siempre causan problemas en la red (aunque
sea simplemente consumiendo el ancho de banda). Su principal medio de propagacin
es a travs de las unidades de almacenamiento extrables (USB). No se los considera
virus porque no se ocultan.
Bombas lgicas o de tiempo: Bombas lgicas o de tiempo: Bombas lgicas o de tiempo: Bombas lgicas o de tiempo:
Son programas que se activan al producirse un acontecimiento determinado. La
condicin suele ser una fecha (Bombas de Tiempo), una combinacin de teclas, o
ciertas condiciones tcnicas (Bombas Lgicas). Es entonces cuando ejecutan la accin
para la que fueron programados. Si no se produce la condicin permanece oculto al
usuario.
Keylogger Keylogger Keylogger Keylogger: Se encarga de registrar las pulsaciones que se realizan en el teclado, para
almacenarlas en un archivo y/o enviarlas a travs de Internet. De ste modo permite
que otros usuarios tengan acceso a contraseas importantes, como los nmeros de una
tarjeta de crdito, u otro tipo de informacin privada que se quiera obtener. El registro
de lo que se teclea puede hacerse tanto con medios de hardware como de software.)
Ransomware Ransomware Ransomware Ransomware (Son programas que encriptan los archivos importantes para el usuario,
hacindolos inaccesibles, y piden que se pague un "rescate" para poder recibir la
contrasea que permite recuperar los archivos.)
Spyware Spyware Spyware Spyware (es un programa, dentro de la categora malware, que se instala furtivamente
en un ordenador para recopilar informacin sobre las actividades realizadas en ste.
Dado que el spyware usa normalmente la conexin de una computadora a Internet para
transmitir informacin, consume ancho de banda, con lo cual, puede verse afectada la
velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a
la red)
Los antivirus Los antivirus Los antivirus Los antivirus
Es un programa creado para prevenir o evitar la activacin de los virus as como su
prolongacin y contagio. Cuenta adems con rutinas de detencin, eliminacin y
reconstruccin de los archivos y las reas infectadas del sistema.
Un antivirus tiene 3 principales funciones:
VACUNA: es un programa instalado que residente en la memoria, acta como filtro de
programas que son ejecutados abiertos para ser ledos o copiados en tiempo real.
DETECTOR: es un programa que examina todos los archivos existentes en el disco o en
los que se le indique en una determinada ruta o path. Tiene funciones de control y
6- Seguridad
V 2.2 Prof. Marisol Hormaechea 51
reconocimiento exacto de los cdigos virales que permiten capturar sus pares
seguidamente registrados en forma sumamente rpida que desarman su estructura.
ELIMINADOR: es un programa que una vez desactivada la estructura del virus, procede
eliminarlo e inmediatamente despus preparar o reconstruir los archivos y reas
afectadas.

Estrategias de bsqueda:
Un antivirus compara el cdigo de cada archivo con una de los cdigos de los virus
conocidos, por lo que es importante actualizarla peridicamente a fin de evitar que un
virus nuevo no sea detectado.
Tambin se les ha agregado funciones avanzadas, como la bsqueda de comportamientos
tpicos de virus o la verificacin contra virus en redes de computadores.
Normalmente un antivirus tiene un componente que se carga en memoria y permanece en
ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en
tiempo real. Es muy comn que tengan componentes que revisen los adjuntos de los
correos electrnicos salientes y entrantes, as como los scripts y programas que pueden
ejecutarse en un navegador web.

Un antivirus compara el cdigo de cada archivo con una Base de datos de los cdigos
de los virus conocidos, por lo que es importante actualizarla peridicamente a fin de
evitar que un virus nuevo no sea detectado. (Tcnica de Scanning)
Los desarrolladores de programas antivirus han dotado a sus creaciones de mtodos
para bsquedas de virus informticos (y de sus actividades), que no identifican
especficamente al virus sino a algunas de sus caractersticas generales y
comportamientos universalizados. Este tipo de mtodo rastrea rutinas de alteracin de
informacin que no puedan ser controladas por el usuario, modificacin de sectores
crticos de las unidades de almacenamiento.
Otra forma de detectar la presencia de un virus informtico en un sistema consiste en
monitorear las actividades de la PC sealando si algn proceso intenta modificar los
sectores crticos de los dispositivos de almacenamiento o los archivos ejecutables. Los
programas que realizan esta tarea se denominan chequeadores de integridad.