Universidad Tcnica de Ambato Facultad De Ciencias de la Salud Carrera de Laboratorio Clnico

Tema: Virus/ Antivirus Nombre: Paola Chico Erazo Fecha de entrega: Ambato, 18 de julio del 2013. Curso: 1ero Paralelo: U

ndice de contenido
Tema: Virus y Antivirus.........................................................................................4 1. Objetivos:.............................................................................................................4 1.1. Objetivo General..........................................................................................4 1.2. Objetivos especficos:...................................................................................4 2. Virus.....................................................................................................................5 2.1. Caractersticas comunes...............................................................................6 ............................................................................................................................6 3. Sistema Operativos En Donde Funcionan............................................................6 4. Historia ................................................................................................................8 4.1. Cmo funcionan...........................................................................................9 5. Clasificacin Tipos de Virus ..............................................................................11 5.1. Virus residentes ..........................................................................................11 5.2. Virus de macro ...........................................................................................12 5.3. Virus falsos ................................................................................................17 5.4. Los Virus ms famosos ..............................................................................19 6. En la actualidad ............................................................................................21 7. Antivirus ............................................................................................................28 7.1. Cmo funcionan ........................................................................................28 7.2. Deteccin ...................................................................................................29 Sistemas operativos en donde funcionan los antivirus...........................................30 7.3. Eliminacin ................................................................................................31 7.4. Cuarentena .................................................................................................32 7.5. Bases de datos de antivirus ........................................................................32 8. Conclusiones......................................................................................................36 9. Recomendaciones...............................................................................................36 10. Glosario:...........................................................................................................37 11. Bibliografa: ....................................................................................................38

ndice de Tablas
Virus.......................................................................................................................16 Virus/Famosos........................................................................................................20 Antivirus.................................................................................................................35

Tema: Virus y Antivirus.

1. Objetivos:

1.1. Objetivo General Investigar tericamente sobre los virus y antivirus a nivel informativo.

1.2. Objetivos especficos:

Conocer que tipos de virus y antivirus existen.

Analizar porque los virus alteran el normal funcionamiento de aparatos electrnicos.

Verificar que se avance en el aprendizaje gradual de los estudiantes de una forma adecuada.

2. Virus
En la Real Academia nos encontramos con la siguiente definicin del termino virus: Programa Introducido en la memoria de un ordenador que, al activarse, destruye total o parcialmente la informacin almacenada. De una forma ms coloquial y quizs ms correcta podramos decir que un virus informtico es programa que se copia automticamente (sin conocimiento ni permiso del usuario), ya sea por medios de almacenamiento o por Internet, y que tiene por objeto alterar el normal funcionamiento del ordenador, que puede ir desde una simple broma; acceso a tus datos confidenciales; uso de tu ordenador como una maquina zombie; borrado de los datos; etc. En un principio estos programas eran diseados casi exclusivamente por los hackers y crackers que tenan su auge en los Estados Unidos y que hacan temblar a las grandes compaas. Tal vez esas personas lo hacan con la necesidad de demostrar su creatividad y su dominio de las computadoras, por diversin o como una forma de manifestar su repudio a la sociedad que los oprima. Hoy en da, resultan un buen medio para el sabotaje corporativo, espionaje industrial y daos a material de una empresa en particular. Un virus puede ser o no, muy peligroso, pero independientemente de dicho grado, si el sistema a comprometer es crtico, un virus de bajo grado de peligrosidad podr causar graves daos. Si por el contrario dicho virus es muy peligroso y afecta a una computadora familiar sus daos sern mnimos. Por ello desde el punto de vista de una empresa o gran corporacin, un virus sea cual sea, debe ser considerado siempre como peligroso.

2.1. Caractersticas comunes

Daino: Todo virus causa dao, ya sea de forma implcita, borrando archivos o modificando informacin, o bien disminuyendo el rendimiento del sistema. A pesar de esto, existen virus cuyo fin es simplemente algn tipo de broma. Auto reproductor: La caracterstica que ms diferencia a los virus es sta, ya que ningn otro programa tiene la capacidad de auto replicarse en el sistema. Subrepticio: Caracterstica que le permite ocultarse al usuario mediante diferentes tcnicas, como puede ser mostrarse como una imagen, incrustarse en libreras o en programas. 3. Sistema Operativos En Donde Funcionan Las mayores incidencias se dan en el sistema operativo Windows debido, entre otras causas, a: Su gran popularidad, como sistema operativo, entre los computadores personales, PC. Se estima que, en 2007, un 90% de ellos usaba Windows.[cita requerida] Esta popularidad basada en la facilidad de uso sin conocimiento previo alguno, motiva a los creadores de software malicioso a desarrollar nuevos virus; y as, al atacar sus puntos dbiles, aumentar el impacto que generan. Falta de seguridad en esta plataforma (situacin a la que Microsoft est dando en los ltimos aos mayor prioridad e importancia que en el pasado). Al ser un sistema muy permisivo con la instalacin de programas ajenos a ste, sin requerir ninguna autentificacin por parte del usuario o pedirle algn permiso especial para ello en los sistemas ms antiguos (en los Windows basados en NT se ha mejorado, en parte, este problema). A partir de la inclusin del Control de Cuentas de Usuario en Windows Vista o Windows 7, y siempre y cuando no se desactive, se ha solucionado este problema.

Software como Internet Explorer y Outlook Express, desarrollados por Microsoft e incluidos de forma predeterminada en las ltimas versiones de Windows, son conocidos por ser vulnerables a los virus ya que stos aprovechan la ventaja de que dichos programas estn fuertemente integrados en el sistema operativo dando acceso completo, y prcticamente sin restricciones, a los archivos del sistema. Un ejemplo famoso de este tipo es el virus ILOVEYOU, creado en el ao 2000 y propagado a travs de Outlook. La escasa formacin de un nmero importante de usuarios de este sistema, lo que provoca que no se tomen medidas preventivas por parte de estos, ya que este sistema est dirigido de manera mayoritaria a los usuarios no expertos en informtica. Esta situacin es aprovechada constantemente por los programadores de virus.

4. Historia
Existen multitud de fechas equivocadas y diferentes para los mismos acontecimientos de la historia de los virus, por ello es bastante complicado establecer fechas exactas. Tras contrastar diferentes fuentes de informacin esta sera una breve cronologa de la historia de los virus: En 1939, el cientfico matemtico John Louis Von Neumann, escribi "Teora y organizacin de autmatas complejos", donde se mostraba que era posible desarrollar programas que tomasen el control de otros. De 1949 1950s en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, desarrollaron inspirados en la teora de John Louis Von Neumann un juego llamado CoreWar.

Los contenedores del CoreWar ejecutaban programas que iban poco a poco disminuyendo la memoria del computador. Ganara este juego el que consiguiera eliminarlos totalmente.

1998, aparecen un nuevo tipo de virus macro que ataca a las bases de datos en MS-Access. Llega CIH o Chernobyl que ser el primer virus que realmente afecta al hardware del ordenador. Actualmente, existen multitud de tcnicas mucho ms sofisticadas y conocidas, lo que permite que se hagan mayor cantidad de virus (13 diarios segn Panda Software) y sean ms complejos. De esta forma aparecen virus como MyDoom o Netsky.

A pesar de esto no solo la sofisticacin de los virus ha aumentado la infeccin de equipos sino tambin la Ingeniera Social y la, a veces increble, ingenuidad de usuarios y administradores que facilitan bastante la labor de los virus. Aun con todos los avances que se estn haciendo en la actualidad para mejorar la seguridad de los sistemas, no podemos decir que stos nos reporten la seguridad necesaria. Por ejemplo el ltimo Sistema Operativo de Microsoft, MS Windows Windows Vista tambin es vulnerable a los virus informticos y exploits.

4.1. Cmo funcionan Se podra decir que la mayor parte de los virus estaban y quizs estn programados en Ensamblador, lenguaje de bajo nivel que permite trabajar directamente sobre el hardware, sin tener que interactuar con el Sistema Operativo. Actualmente no todos los virus se desarrollan en Ensamblador, sino que se utilizan todo tipo de lenguajes de alto nivel, que no permiten realizar todas las acciones que permite el ensamblador, pero s facilitan mucho su codificacin. Lo que tratan los virus es de ser ejecutados para con ello poder actuar y replicarse, ya que ningn usuario ejecutara un virus de forma intencionada. Los virus deben ocultarse, ya sea tras otros programas benignos o bien utilizando otras tcnicas. Por norma general, un virus intentar cargarse en la memoria para poder ejecutarse, y controlar las dems operaciones del sistema.

Primero si existe la posibilidad de cargarse en la CMOS, lo cual sera posible si la memoria no es ROM, sino que es Flash-ROM. Si esto no es posible, intentar cargarse en el sector de arranque. El sistema cargar el MBR en memoria RAM que le indicar las particiones, el tamao, cual es la activa (en la que se encuentra el S.O.) para empezar a ejecutar las instrucciones. Es aqu donde el virus deber cargar el MBR en un sector alternativo y tomar su posicin de tal forma que cada vez que se arranque el sistema el virus se cargar. As, ya que el antivirus se carga tras el S.O. la carga del virus en memoria no ser detectada. Por otro lado, si virus infecta un archivo ejecutable .EXE, intentar rastrear en el cdigo los puntos de entrada y salida del programa.

Tanto virus como gusanos, troyanos, tienen unos objetivos comunes. Ocultarse al usuario; reproducirse ya sea en otros ficheros o en el caso de los gusanos auto enviarse; y finalmente llevar a cabo la accin para la cual ha sido programado, destruccin de datos, obtencin de datos personales, control remoto de la mquina. Mdulo de reproduccin: Es la parte encargada de gestionar las rutinas gracias a las cuales el virus garantiza su replicacin a travs de ficheros ejecutables. Dichos ficheros ejecutables cuando sean trasladados a otras computadoras provocarn tambin la dispersin del virus. Mdulo de ataque: Mdulo que contiene las rutinas de dao adicional o implcito. Este podr ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un archivo especfico (COMMAND.COM), Mdulo de defensa: Mdulo encargado de proteger el cdigo del virus. Sus rutinas se ocuparn de disminuir los sntomas que puedan provocar su deteccin por parte de los antivirus. Utiliza para ello tcnicas que pueden ir desde una simple encriptacin, a tcnicas muy sofisticadas.

5. Clasificacin Tipos de Virus

Existen diversas clasificaciones de los virus. Cada una de ellas clasifica segn una caracterstica, ya sea dependiendo de la tcnica usada, su origen, lugar donde se esconde, ficheros a los que ataca, daos que produce, etc. No se puede considerar que ninguna de estas clasificaciones sea errnea, ya que muchas de ellas tienen muchos puntos en comn. A pesar de que todos se pueden considerar virus, los hemos separado en distintas categoras 5.1. Virus residentes Este tipo de virus se oculta en la memoria principal del sistema (RAM) de tal manera que pueden controlar todas las operaciones realizadas en el Sistema Operativo, pudiendo as infectar todos los archivos que deseen. Normalmente sus creadores le indican una serie de condiciones (fecha, hora) bajo las cuales llevar a cabo la accin para la cual fue programado. Ejemplos de este tipo de virus son: Randex, CMJ, Meve. Virus de accin directa Estos virus no se ocultan en la memoria. Su funcionamiento consiste en que una vez cumplida una determinada condicin, actuarn buscando los ficheros a infectar dentro de su mismo directorio o en aquellos directorios que se encuentren especificados en la lnea PATH del fichero AUTOEXEC.BAT. Este tipo de virus se puede desinfectar totalmente y recuperar los archivos infectados. Virus e sobre escritura Se escriben dentro del contenido del fichero infectado, haciendo que pueda quedar inservible. Se ocultan por encima del fichero de tal forma que la nica manera de desinfectarlo es borrar dicho archivo, perdiendo as su contenido.

Virus de boot o arranque Son aquellos virus que no infectan a ficheros directamente, sino que actan sobre los discos que los contienen, ms concretamente al sector de arranque de dichos discos, de tal manera que si un ordenador se arranca con un disquete infectado. Ejemplo de virus de boot: Polyboot.B. Retrovirus Un Retrovirus es un tipo de virus cuyo objetivo principal es atacar a los antivirus, ya sea de una forma genrica o un ataque a un antivirus especfico. En s mismo no produce ningn dao al sistema sino que simplemente permiten la entrada de otros virus destructivos que lo acompaan en el cdigo.

Virus multipartites Tipo de virus muy complejo que ataca mediante el uso de diferentes tcnicas, infectando tanto programas, macros, discos, etc. Sus efectos suelen ser bastante dainos. Por ejemplo el virus Ywinz. 5.2. Virus de macro Se caracterizan por infectar los ficheros que sean creados con aplicaciones que usen macros (Word, Excel, PowerPoint, Corel Draw). Las macros son pequeos programas asociados a los ficheros cuya funcin es automatizar conjuntos de operaciones complejas. Esto permite que en un documento de texto al existir un pequeo programa en su interior, dicho programa y en consecuencia dicho documento pueda ser infectado. Al abrirse, guardarse, realizar algn tipo de operacin, puede que alguna

de las macros se ejecute, en cuyo caso si contiene virus, se ejecutar. Virus de enlace o directorio La caracterstica principal de este tipo de virus reside en modificar la direccin que indica donde se almacena un fichero. As, cuando queramos ejecutar un fichero, si a dicho fichero se le ha modificado la direccin se ejecutar el virus producindose la infeccin. Los ficheros se ubican en determinadas direcciones (compuestas bsicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos. Una vez producida la infeccin, resulta imposible localizar y trabajar con los ficheros originales. Virus de FAT Tipo de virus muy daino ya que atacan a la FAT (Tabla de Asignacin de Ficheros), que es la encargada de enlazar la informacin del disco. Al atacar dicha tabla, impiden el acceso a ciertos ficheros o directorios crticos del sistema, provocando prdidas de la informacin contenida en dichos ficheros o directorios. Virus de fichero Infectan programas o ficheros ejecutables, por lo que al ejecutarse dicho fichero el virus se activar y llevar a cabo las acciones para las cuales ha sido creado. La mayora de los virus existentes son de este tipo. Virus de compaa Clase de virus de fichero que como su nombre indica acompaan a otros ficheros existentes antes de llegar al sistema. Pueden ser residentes o de accin directa. Su modo de actuar consiste en o bien esperar ocultos en la memoria hasta que se produzca la ejecucin de algn programa o bien actuar directamente haciendo copias de s mismo. Como ejemplos citamos el virus Stator, Terrax.1069.

De Active Agents y Java Applets Programas que se ejecutan y se graban en el disco duro cuando el usuario est en una pgina web que los usa. Hoy en da cada vez que se necesita ejecutar o guardar cualquiera de estos programas se le pide la autorizacin al usuario, el cual ser responsable de los posibles daos que causen.

De HTML Son ms eficaces que los anteriores ya que simplemente con acceder al contenido de la pgina web el usuario puede ser infectado, ya que el cdigo daino se encuentra en el cdigo HTML de dicha web. Este tipo de virus son desarrollados en Visual Basic Script. Virus lentos Como su nombre indica, estos virus infectan de forma lenta. nicamente infectarn aquellos archivos que el usuario har ejecutar por el Sistema Operativo. Son virus muy difciles de eliminar ya que cuando se le muestra un aviso al usuario, ste no presta atencin ya que en ese determinado momento estaba realizando alguna accin de la cual ya esperaba algn aviso.

Virus voraces Son altamente destructivos ya que se dedican a destruir completamente todos los datos a los que pueden acceder.

Sigilosos Son virus que poseen mdulos de defensa muy sofisticados. Se encuentran en el sector de arranque y su modo de funcionamiento consiste en engaar al S.O. a la hora de verificar el tamao, fecha,

nombre, de los ficheros. Reproductores o conejos Virus cuya caracterstica principal es reproducirse constantemente hasta terminar ya sea con la capacidad total del disco duro o con la capacidad de la memoria principal. Esto lo consiguen simplemente creando clones de s mismos que harn lo mismo que ellos, reproducirse. Virus encriptados Ms que un tipo de virus, son una tcnica que usan diversos virus, los cuales se descifran ellos mismos para poderse ejecutar y acto seguido se vuelven a cifrar. De esta manera lo que intentan es evitar o dificultar ser detectados por los antivirus. Virus polimrficos La diferencia esencial con los virus encriptados reside en que stos se cifran/descifran de forma distinta en cada una de sus infecciones. As consiguen impedir que los antivirus los localicen a travs de la bsqueda de cadenas o firmas. Por esta caracterstica, este tipo de virus son los ms difciles de detectarse. Como ejemplos: Elkern, Satan Bug, Tuareg. Gusanos Pueden no ser considerados como virus, ya que para replicarse no necesitan infectar otros ficheros. Los gusanos realizarn una serie de copias de s mismos (sin tener que infectar ningn otro fichero) a la mxima velocidad posible y envindose a travs de la red. Debido a esa replicacin a alta velocidad pueden llegar a saturar la red a travs de la que se propagan. Los canales ms tpicos de infeccin son el Chat, correo electrnico. Ejemplo: PSWBugbear.B, Lovgate.F

Troyanos o caballos de Troya Se puede llegar a pensar que los troyanos no son realmente virus, ya que no poseen su principal caracterstica, la auto reproduccin. A pesar de esto, al igual que los gusanos, ambos son tratados como virus a la hora de ser detectados por los antivirus. Su nombre hace referencia a la historia griega, as su objetivo consiste en introducirse en el sistema como un programa aparentemente inofensivo, siendo verdaderamente un programa que permite el control remoto de dicho sistema. Al igual que los virus, pueden modificar, eliminar, ciertos ficheros del sistema y a mayores pueden capturar datos confidenciales (contraseas, nmeros de tarjetas de crdito, etc.), y enviarlos a una direccin externa.

CDIGO MALICIOSO

VIRUS Altera el funcionamiento normal de una computadora. Va

GUSANO Infecta los nodos de una red de computadoras,

TROYANO Borra los archivos del usuario o instala ms

tiene la propiedad programas de duplicarse a s indeseables o mismo. Utilizan las partes automticas de un sistema operativoque generalmente son invisibles al usuario. maliciosos. Crea una puerta trasera

QU ATACA?

desde la destruccin de archivos hasta la destruccin del disco duro.

Cuando se ejecuta un

Suelen acompaar a los

Por medio de programas

CMO SE PROPAGA?

programa que la mayora de las ocasiones, por desconocimiento del usuario.

correos envan

maliciosos que como algo inocuo invitan al usuario a ejecutarlo ocultando un software malicioso.

est infectado, en electrnicos, y se estn disfrazados automticamente. o atractivo que

5.3. Virus falsos Hoy en da han surgido ciertos mensajes de correo electrnico, o programas, que pueden ser confundidos con virus. El principal tipo son los hoaxes, emails engaosos que pretenden alarmar sobre supuestos virus. Tratan de engaar al usuario proponiendo una serie de acciones a realizar para eliminar dicho virus que en realidad no existe. Lo ms probable es que dichas acciones sean dainas. Mtodos de infeccin A la hora de realizar la infeccin se pueden utilizar diferentes tcnicas. Algunas podran ser las siguientes: Aadidura o empalme: Consiste en agregar al final del archivo ejecutable el cdigo del virus, para que as una vez se ejecute el archivo, el control pase primeramente al virus y tras ejecutar la accin que desee, volver al programa haciendo que funcione de manera normal. El inconveniente de esta tcnica es que el tamao del archivo ser mayor que el original haciendo que sea ms fcil su deteccin. Insercin: No es una tcnica muy usada por los programadores de virus ya que requiere tcnicas de programacin avanzadas. El motivo es que este mtodo consiste en insertar el cdigo del virus en zonas de cdigo no usadas dentro del programa infectado. As lo que se consigue es que el tamao del archivo no vare, pero el detectar las zonas de cdigo en

donde puede ser insertado el virus es complejo. Reorientacin: Es una variante del mtodo de insercin. Consiste en introducir el cdigo del virus en zonas del disco que estn marcadas como defectuosas o en archivos ocultos del sistema. Al ejecutarse introducen el cdigo en los archivos ejecutables infectados. La ventaja principal es que al no estar insertado en el archivo, su tamao puede ser mayor con lo que podra tener una mayor funcionalidad.

Como inconveniente se encuentra su fcil eliminacin ya que bastara con eliminar archivos ocultos sospechosos o con sobrescribir las zonas del disco marcadas como defectuosas.

Polimorfismo: Es el mtodo ms avanzado de contagio. Consiste en insertar el cdigo del virus en un ejecutable al igual que el mtodo de aadidura o empalme, pero para evitar que el tamao del mismo aumente lo que realiza es una compactacin del propio cdigo del virus y del archivo infectado, haciendo que entre ambos el tamao del archivo no aumente. Una vez se ejecuta el archivo, el virus acta descompactando en memoria las partes del cdigo que haba compactado anteriormente. Esta tcnica se podra mejorar usando mtodos de encriptacin para disfrazar el cdigo del virus. Sustitucin: Es el mtodo ms primitivo. Consiste en sustituir el cdigo del archivo infectado por el cdigo del virus. Cuando se ejecuta, acta nicamente el cdigo del virus, infectando o eliminando otros archivos y terminando la ejecucin del programa mostrando algn tipo de mensaje de error. La ventaja de esta tcnica es que cada vez que se ejecuta se realizan copias del virus en otros archivos.

Tunneling: Tcnica compleja usada por programadores de virus y antivirus para evitar las rutinas al servicio de interrupcin y conseguir control directo sobre sta. El demonio de proteccin de los antivirus cuelga de todas las interrupciones usadas por los virus (INT 21, INT 13, a veces INT 25 Y 26), de tal forma que cuando un virus pretende escribir/abrir un ejecutable el antivirus recibe una alerta donde comprobar si es o no virus y le permite o no su acceso. Si la llamada no tiene peligro el mdulo del antivirus llamar a la INT 21 original. 5.4. Los Virus ms famosos Segn una reciente lista publicada por TechWeb podramos decir que los 10 virus ms destructivos, y por lo tanto ms conocidos de la historia han sido los siguientes (en esta lista no sereflejan los virus anteriores a 1998 ya que a pesar de ser conocidos por ser los primeros virus o por la tcnica usada, su difusin y peligrosidad era bastante limitada): CIH (1998) Dao estimado: 20 a 80 millones de dlares, sin contar las prdidas producidas por la prdida de informacin. Localizacin: Taiwn Junio de 1998, CHI es reconocido como uno de los virus ms peligrosos y destructivos. Infectaba ficheros ejecutables de Windows 95, 98 y Me, permaneciendo en memoria e infectando a otros ficheros. Lo que lo hizo tan peligroso fue que en poco tiempo afect muchos ordenadores, poda reescribir datos en el disco duro y dejarlo inoperativo. Blaster (2003) Dao Estimado: 2 a 10 billones de dlares, aproximadamente cientos de miles de ordenadores infectados. Localizacin: Fue en el verano de 2003 cuando apareci Blaster,

tambin llamado "Lovsan" o "MSBlast". Exactamente fue el 11 de Agosto cuando se propago rpidamente. Explotaba una vulnerabilidad en Windows 2000 y Windows XP, y cuando era activado abra un cuadro de dilogo en el cual el apagado del sistema era inminente. NOMBRE DEL VIRUS DAOS QUE CAUSA Perdida de informacin. CIH(1998) Infectan los ficheros ejecutables permaneciendo en la memoria. Desactiva la proteccin antivirus que Word incorpora para MELISSA(1999) documentos que tienen macros. PARTE QUE DAA Rescriben datos en el disco duro. Dejan inoperativo al disco duro. En la memoria del ordenador el dao que causa es al utilizar Microsoft Word 98, Macintosh Edition o Microsoft Excel 98 Elimina archivos con extensiones, Crea varias copias de si ILOVEYOU(200) JSE,CSS,JPG,JPEG,MP3. mismo en el disco duro

Puede generar inestabilidad del sistema e incluso una ventana que advierte al usuario de que se debe reiniciar el ordenador. BLASTER(2003)

Entra en los sistemas a travs de uno de los puertos de comunicaciones con el objetivo de provocar un desbordamiento de bfer que consiste en dar ms informacin al ordenador de la que

ste puede asimilar. Capaz de inutilizar una gran parte Dado que est diseado de Internet en tan solo unas pocas para terminar los

horas. SQL SLAMMER

procesos en memoria de un gran nmero de programas antivirus y firewalls deja a los ordenadores indefensos ante el ataque de otros virus y hackers con los problemas que ello conlleva.

SASER

Los canales de transmisin pueden saturarse y el servicio de Internet ser lento e intermitente.

Afecta al sistema que se reinicia cada dos minutos sin ninguna accin.

6. En la actualidad Durante estos ltimos aos la mayora de las infecciones producidas son debidas a gusanos y troyanos transmitidos a travs de Internet y ms concretamente a travs del correo electrnico. Como vimos, estos virus son activados o a travs de archivos adjuntos o simplemente a travs de cdigo HTML. Es posible que la mayora de los virus sean creados para aprovechar las vulnerabilidades que ya existen y que irn apareciendo. La nica manera de defenderse ante esto es la educacin y la informacin sobre estrategias de seguridad. Estn apareciendo virus que no se parecen en nada a sus antecesores, que constituyen lo que puede ser una nueva cepa de virus, ms peligrosos y difciles de detectar. Aventurndonos un poco (y no tanto), se podra llegar a pensar que las guerras se basen en ataques a los sistemas informticos de los enemigos, ya que en la actualidad y ms en un futuro cercano todo estar

basado en la informtica.

Tenemos que darnos cuenta de que en el futuro todo se basar en sistemas informticos. Este es el caso de la domtica. Por ello podrn aparecer todo tipo de virus que ataquen a dichos sistemas domticos, a la televisin por internet, a la cocina que se encender desde internet, o a las persianas que podremos bajar con el mvil desde nuestro trabajo. Podramos comentar algunas de las posibles tendencias en el futuro. Gran incremento del nmero de virus, gusanos, backdoors, etc. Agujeros en los controles ActiveX podrn ser aprovechados. Mayor ancho de banda -> Mayor intercambio de informacin -> Mayor riesgo de virus. Ya que los fabricantes de software incluyen cada vez macros ms potentes, stos a su vez sern ms vulnerables. Aparecern virus cada vez ms destructivos. Debido al mayor conocimiento de las tcnicas y los lenguajes de programacin aparecern kits de creacin de virus que alentarn a los usuarios inexpertos a animarse a crear virus. Todo esto nos hace pensar que controlar todos los virus, dispositivos, bugs, etc, es totalmente imposible. Por ello la mejor solucin ser el desarrollo slido del mdulo de la heurstica en los antivirus.

Pueden ser atacados todos los sistemas La respuesta es s. El ataque a una entidad bancaria no depende ni del banco, ni de su localizacin, ni de su tamao, ni de los clientes que tenga, y s podra disminuir (pero no evitar) el uso de avanzados sistemas de seguridad.

Extrapolando esta afirmacin, podramos decir que un virus podra lograr infectar un sistema independientemente de la arquitectura, del Sistema Operativo, de sus dispositivos hardware, del usuario que la administre o de cualquier otra circunstancia similar. Con esto no queremos decir que ni en el caso de un banco, ni en el caso de un virus, no sea til tener una arquitectura y un S.O. que sean seguros y tengan en cuenta los posibles ataques de los virus y con ello frustren en muchos casos las posibles infecciones. Actualmente podemos decir que no existe ningn sistema que sea 100% seguro, ya que siempre existe alguna vulnerabilidad que pueda ser aprovechada por un virus. Obviamente siempre hay algunos sistemas ms seguros que otros. Cmo detectar una infeccin Detectar la posible presencia de un virus dentro de una computadora no es una tarea sencilla. Cada vez existen ms, mejores y ms conocidas tcnicas de programacin de virus, que dificultan la labor de deteccin de los mismos. A pesar de ello podramos enumerar una serie de acciones o condicionantes que pueden indicar la presencia de virus, que seran las siguientes: Aplicaciones que ya en un principio eran lentas, de forma inexplicable, pasan a ser an ms lentas. El disco duro o dispositivos de almacenamiento realizan lecturas sin justificacin aparente.

Aumento del tamao de los ficheros, ya que la mayora de los virus cuando infectan lo que hacen es colocarse al inicio y al final del cdigo de dichos ficheros ejecutables. Hoy en da puede que este no sea un indicador totalmente vlido ya que los propios virus modificarn el tamao

para que el usuario vea el tamao antiguo y no el real del fichero. Modificacin de la fecha original de los archivos, aunque puede suceder como en el caso anterior, que el virus remodifique dicha fecha para que el usuario la vea de forma correcta. Ralentizacin a la hora de ejecutar comandos o acciones. Esta caracterstica no es muy visible ya que el tiempo de cmputo del cdigo del virus es inapreciable. Aparicin de programas o procesos en memoria desconocidos para el usuario. Esto tiene fcil deteccin ya que los Sistemas Operativos poseen distintos comandos para poder ver qu programas y procesos se encuentran en memoria en un determinado momento. Modificacin sin justificacin del nombre de ciertos ficheros. Imposibilidad de acceder al disco duro o a alguna particin. Aparicin en pantalla de objetos (imgenes, mensajes,) desconocidos. Disminucin del espacio libre del disco duro sin razn, ya que algunos virus se caracterizan por extenderse hasta ocupar todo el disco duro. Apagado o reinicio del sistema. Aparicin o eliminacin de ficheros. Dificultad a la hora de arrancar la computadora. Aparecen nuevas macros en los documentos (Word, Excel,). Las opciones de ver macros aparecen desactivadas. Peticiones de contraseas no configuradas de antemano por el usuario.

En los usuarios domsticos la presencia de un antivirus podr ser la mejor solucin a la hora de detectar y desinfectar el sistema. En el mbito empresarial en ocasiones es necesario eliminar de forma manual dichos virus, ya que muchos de los parches son publicados de forma tarda y la criticidad de los datos de estos sistemas es mxima.

Cmo protegerse La educacin y la informacin seran por norma general el mejor modo de protegerse. A pesar de ello, con toda la educacin y conocimiento nadie nos podr negar que la mejor manera de protegerse frente a los virus es con un antivirus. No obstante existen una serie de pautas que pueden ayudar a lograr una mejor proteccin. En primer lugar crear un directorio para todos aquellos ficheros que se bajen de Internet. Ese directorio ser continuamente analizado por el antivirus. Puede que sea aconsejable que dicho directorio este en otra particin o incluso en otro disco duro. Tanto si nos encontramos una computadora familiar como en un sistema empresarial es recomendable el uso de firewall, ya sea por software (ms indicado en el caso familiar) o por hardware (caso empresarial). Todos estos firewalls nos protegern tanto de intrusos externos como del intento por parte de los virus de salir al exterior mandando informacin confidencial o permitiendo el uso remoto de nuestra mquina. Hay que tener en cuenta que muchos firewalls tambin incluyen un pequeo antivirus. Modificar en la BIOS la secuencia de booteo para que arranque siempre desde disco duro, lo que evitar que si introduce un CDROM, disquete o cualquier dispositivo de arranque infectado logre infectar el sistema. Obviamente sera til controlar la BIOS mediante password para que un intruso externo (en el caso de que alguien pretenda infectarnos, o en el caso de que un nio o familiar intente instalar algo) no pueda modificar la secuencia de booteo. En un mbito empresarial este password lo conocer exclusivamente el administrador del sistema y si algn usuario necesita cambiar esa secuencia o tener acceso al sistema ser el administrador quin lo haga.

El antivirus que usemos en nuestro sistema debe ser el adecuado, es decir si tenemos red deber ser capaz de analizarla, si tenemos dispositivos removibles tambin deber ser capaz de analizarlos. Tenga lo que tenga el sistema deber ser capaz de analizarlo. Adems el antivirus deber estar correctamente configurado, los mtodos por los cuales analizara, los archivos que deber y no deber analizar, dnde colocar ficheros en cuarentena, Los ficheros de definicin de virus debern estar protegidos para que ningn virus pueda acceder a esos datos (caso de los retrovirus). Tener el antivirus adecuado y bien configurado no es suficiente, existe algo ms importante, tenerlo constantemente actualizado. Es muy recomendable tener constantemente activado el antivirus (incluso con el modo heurstico activado) a pesar de la bajada de rendimiento que ello pueda significar. Tambin deberemos de hacer semanal o mensualmente, dependiendo de la criticidad del sistema, un anlisis completo y exhaustivo del sistema. En ocasiones es aconsejable que cada cierto tiempo se haga un anlisis completo pero usando los discos de arranque del antivirus, lo que permitira poder escanear el sistema sin que el Sistema Operativo este cargado. Realizar copias de seguridad del sistema. Esto es aconsejable en un mbito domstico y es totalmente obligatorio en mbito empresarial. En un mbito empresarial el encargado de seguridad deber documentar un plan de contingencia en el cual se debern explicar los pasos necesarios para que un usuario comn sepa actuar ante uno de estos problemas. En el caso de que el problema sobrepase el nivel de privilegios de actuacin del usuario (por ejemplo realizar una restauracin del sistema o el uso de ciertos comandos) este problema deber ser resuelto por el experto en seguridad.

Utilizar software original o que cuenten con su licencia correspondiente y que tengan toda la documentacin y soporte necesarios. En un mbito empresarial es recomendable no permitir el acceso de dispositivos de almacenamiento al sistema. No permitiremos el uso de disqueteras, CDROM, USB de almacenamiento. Solo permitiremos el acceso de ficheros por un mtodo controlado por el antivirus como puede ser grabarlos en un servidor central o enviarlos por emails. En el mismo mbito que el anterior se deber restringir y controlar el acceso a ciertos contenidos de internet. Todo programa que se quiera instalar o ejecutar en el sistema siempre debe ser analizado con anterioridad. Siendo muy estrictos no deberemos permitir que un intruso pueda conectar algn dispositivo externo al sistema, ya que puede ser una fuente de infeccin de virus. Como medidas ms generales tenemos las siguientes: Nunca abrir correos si no se conoce su origen. An en caso de conocer el origen si se desconfa del contenido o de sus ficheros adjuntos no abrirlos, ya que puede haber sido enviado por un virus desde el sistema de origen. No tener activada la opcin de Vista previa de algunos programas de correo electrnico.

Siempre que podamos leeremos el correo desde Web, ya que si tenemos desactivada la copia de pginas en cache el virus del mensaje no se grabara en nuestro disco duro y adems dichas pginas Web de correo suelen usar buenos antivirus

7. Antivirus
Los antivirus son programas cuyo objetivo es combatir y eliminar virus informticos. La efectividad de los antivirus va a depender ampliamente, tanto del antivirus del que se trate, como de su configuracin y lo que es ms importante, de mantener una base de definiciones de virus completamente actualizada. Estos programas tienen como cometido fundamental la deteccin de los virus, para posteriormente llevar a cabo la accin, elegida por el usuario, sobre ellos. Un antivirus no es la solucin definitiva. Con esto no queremos decir que no minimice los riesgos de infeccin, pero s que no todos los virus se pueden detectar a tiempo, que no todos los virus se pueden desinfectar, y por tanto muchas veces no podremos recuperar los datos.

7.1. Cmo funcionan Identificacin Para identificar un virus primero deberemos detectarlo y luego determinar de cul se trata. A la tcnica de identificacin se le conoce como scanning. Los programas antivirus poseen cadenas propias de cada virus. Dichas cadenas las usar el antivirus como huella para identificar si un fichero se trata o no de virus y si es as cul es en concreto. Tericamente se deberan comprobar todos los archivos del sistema con todas y cada una de las cadenas de virus que tiene en la base de datos el antivirus, pero esto en la prctica no es eficiente ya que sera bastante costoso.

Para que este proceso sea posible, y un usuario pueda identificar un virus, con anterioridad otro usuario debe haber informado de su presencia a las empresas desarrolladoras de antivirus para que stas creen la cadena del virus y preparen su desinfeccin si es que es posible. Por ello es tan importante tener actualizadas las bases de datos y que la empresa desarrolladora de nuestro antivirus saque con frecuencia actualizaciones de las firmas. Esto ltimo es lo que hace que la tcnica de scanning sea algo dbil, ya que para que un virus sea detectado depende de que tengamos su firma en nuestro antivirus. Durante ese transcurso de tiempo el virus es libre. 7.2. Deteccin Es muy interesante detectar un virus antes de que ocasione daos. Por ello es primordial detectarlo por encima de identificarlo. La tcnica de scanning es algo dbil por lo que aparecen otras tcnicas que nos permiten detectar a un virus aunque no sepamos exactamente cul es. Entre ellas se encuentran el anlisis heurstico y la comprobacin de integridad. Anlisis heurstico Puede ser considerada como la tcnica de deteccin de virus ms comn. Est tcnica analizar los distintos ficheros en bsqueda de instrucciones, o secuencia de ellas, dainas para el sistema.

Algunos posibles ejemplos serian instrucciones de que intentarn replicarse, modificaciones en la FAT, acceso a los contactos de nuestro programa de correo, etc. No obstante alguna de las instrucciones comentadas antes no tiene por qu ser dainas. Por ello esta tcnica conlleva multitud de falsas alarmas.

Comprobacin de integridad Tcnica de deteccin que consiste en una vigilancia contina de algunos sectores del sistema controlando que estos no sean alterados sin el permiso del usuario. Esta comprobacin se realiza tanto en archivos como en sectores de arranque. Para poder usar est tcnica lo primero que deber hacer el antivirus ser crear un registro con las caractersticas (nombre, tamao, fecha.) de cada uno de los archivos y aplicar sobre cada uno de ellos un algoritmo que nos dar un valor, en principio nico (aunque en ocasiones dos ficheros distintos han producido checksum idnticos), denominado checksum. En el momento en que un virus se introduzca en un fichero ser detectado por el antivirus al realizar la consiguiente comprobacin de checksum, ya que al aplicar dicho algoritmo sobre el fichero el checksum resultante no ser el mismo. El mtodo de comprobacin de integridad para un MBR o para el sector de boot es bastante similar, pero en este caso no solo se har un checksum sino que tambin se har una copia de seguridad de dichos datos.

Sistemas operativos en donde funcionan los antivirus

Las plataformas ms atacadas por virus informticos son la lnea de sistemas operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como GNU/Linux, BSD, Solaris, Mac OS X, estos han corrido con mayor suerte debido en parte al sistema de permisos. No obstante en las plataformas derivadas de Unix han existido algunos intentos que ms que presentarse como amenazas reales no han logrado el grado de dao que causa un virus en plataformas Windows.

7.3. Eliminacin Podra parecer sencillo el hecho de desinfectar o eliminar un virus de un fichero ya que la idea es sencilla: extraer el cdigo daino del fichero infectado, que normalmente como ya dijimos se sita en el inicio y fin del fichero. Pero no es una tarea tan sencilla ya que por lo general los antivirus son capaces de eliminar un pequeo porcentaje de los virus, exactamente de los que se tiene un amplio conocimiento, por lo general los ms conocidos.

Incluso en los casos en los que la eliminacin sea posible puede ser peligrosa ya que si el virus no est perfectamente identificado las tcnicas usadas para su eliminacin no sern las adecuadas. Por todo ello quizs lo ms adecuado en los casos en que la seguridad sea crtica es borrar dichos ficheros infectados y restaurarlos con la correspondiente copia de seguridad. Incluso si no estamos seguros o si la infeccin se ha realizado en los sectores de arranque la solucin pasara por formatear la unidad correspondiente (si tenemos la seguridad de que no han sido infectadas las dems unidades del sistema).

Demonios de proteccin Conocidos en el mbito de UNIX como demonios de proteccin y el de MSDOS como TSR, stos son mdulos del antivirus que residen en memoria evitando la entrada de cualquier virus y controlando aquellas operaciones que se consideren sospechosas. Controlar operacin de creacin de nuevos ficheros, borrado, copia, etc. Dichos demonios sern cargados antes que cualquier otro programa para poder detectar desde un principio la carga en memoria de los posibles virus.

7.4. Cuarentena Ya que la eliminacin de los virus, como ya indicamos, no siempre es posible, en muchas ocasiones la solucin podra consistir en borrar el fichero. Esto es un procedimiento arriesgado ya que puede que realmente el fichero no est infectado, y que no se tenga copia de seguridad para restaurarlo por lo que borrarlo supondra perderlo. Es aqu cuando surge el concepto de cuarentena. Todos aquellos ficheros que sospechemos que realmente no estn infectados o que nos queremos asegurar de su infeccin (porque no podemos permitirnos borrarlos as como as) se pondrn en cuarentena. La cuarentena consiste en encriptar dicho fichero y guardarlo en un directorio creado para tal efecto. Esto paralizar el posible dao del virus, si es que realmente se trata de un virus, o restaurarlo en el momento en que nos aseguremos de que no es un virus.

7.5. Bases de datos de antivirus Para que la tcnica de scanning sea efectiva, las definiciones, cadenas o firmas de los virus deben estar actualizadas. De esto se ocuparn las compaas de antivirus que controlarn los virus siguiendo sus posibles modificaciones y sacarn nuevas firmas. No obstante no solo es imprescindible mantener actualizadas dichas firmas sino que tambin es importante mantener actualizado el programa antivirus en s, ya que nos proporcionar tcnicas mejoradas de anlisis heurstico, mejora de los demonios de proteccin, etc.

Cmo elegir un buen antivirus Un buen antivirus podra ser aquel que detecta infinidad de virus o que posee un demonio de proteccin muy potente. Sin embargo esto no es del todo correcto, ya que depender de las necesidades del usuario. No es lo mismo una multinacional o un gobierno que una pyme o usuario domstico. Segn el mbito en que nos encontremos elegiremos entre mxima seguridad, rendimiento o un compendio entre ambas. Por norma general un aumento de la seguridad provocar una bajada en el rendimiento. A pesar de todo esto podramos decir que existen una serie de caractersticas a tener en cuenta a la hora de elegir un antivirus: Frecuencia en las actualizaciones de las firmas de virus. Tener un demonio de proteccin. Aqu se deber elegir el que ms se adecue a nuestras necesidades ya que existen gran cantidad de demonios que quitan demasiados recursos. Contar con un mdulo para comprobar la integridad tanto de ficheros como de los sectores de arranque. Opcin a realizar copias de seguridad de los ficheros infectados.

Sistema antivirus

Ventajas

Desventajas

1. Es el segundo ms vendido 2. 3. 4.
Norton en el mundo. Mejor porcentaje de deteccin. Interfaz sencilla. Buena integracin con el correo y los navegadores de Internet. Licencia del producto de por vida. Al instalarse queda con todas las opciones habilitadas. Respuesta rpida ante nuevos virus.

1. Algo dbil en la 2.
deteccin de troyanos y backdoors. Problemas con la instalacin en sistemas infectados.

5. 6. 7.

1. Es el primero en ventas en 2.
McAfee el mundo. Alta deteccin de virus con un 94 % de la Wildlist. Buena integracin con el correo e Internet. Rpida respuesta ante nuevos virus

1. Falta de sencillez en la 2.
interfaz, que puede confundir al usuario. Presenta algunos fallos en la deteccin en correo

3. 4.

1. Especializado en entornos 2. 3.
corporativos. Soporta varias plataformas Interfaz sencilla.

1. Indice muy bajo de 2.

deteccin. Es el nico sistema que no es capaz de desinfectar ejecutables. Interfaz de configuracin compleja. Funciones escasas de soporte por correo.

Sophos

3. 4.

1. Se destaca en la
Norman AV

1. Detect un 15 % de 2. 3.
falsos positivos. Interfaz de configuracin extensa y compleja. Falta de integracin al correo.

2. 3.

instalacin sobre un sistema infectado. Deteccin aceptable (93 %). Al presentar una gran cantidad de productos especializados permite un gran control cuando se

utiliza por expertos.

1. Alta deteccin de virus, 2. 3.

(segundo despus de Norton). Mdulos especficos para correo e Internet con buena deteccin. Menor porcentaje de deteccin de falsos positivos.

1. Problemas con
Outlook Express.

2. Al instalarse, la opcin
de anlisis heurstico queda deshabilitada y debe ser el usuario quien la habilite.

Panda

1. Alta deteccin (> 95 %). 2. Util para redes

corporativas, porque permite una distribucin y gestin centralizada. 3. Interfaz muy simple, poco intuitiva.

1. No se destaca en 2. 3. 4.
diferentes plataformas. No posee mdulo especfico para Internet. El usuario debe tomar una decisin en cada virus encontrado. El costo del producto es muy elevado y dobla el costo de casi todos los dems sistemas.

F-Secure

1. Alta deteccin y bajo por 2.

PC-Cillin ciento de falsos positivos. Existen diferentes versiones para distintos entornos (multiplataforma). Buena integracin con el correo. Buenos resultados cuando se combina UNIX y Windows 2000 dentro de una empresa.

1. Problemas en su 2.
instalacin en un sistema infectado. Problemas en el mdulo de anlisis de Internet.

3. 4.

1. Interfaz sencilla y prctica. 2. Alta deteccin de virus 3.

AVP (Karpesky) (ms del 95 %). Se destaca en la instalacin sobre sistemas infectados. Es altamente apreciado por la potencia de su motor de deteccin y desinfeccin.

1. Ausencia de un
mdulo especfico para analizar las vas de entrada desde Internet. Conflictos con Outlook Express.

2.

4.

8. Conclusiones
Se conoci los tipos de virus y antivirus que existen como son Panda, Avira,Melissa, Gusano etc. Se analiz que los virus alteran el funcionamiento porque destruye total o parcialmente la informacin almacenada. Con el presente informe se pretendi llegar a dar conocimientos a los estudiantes que lo realizan ya que fui muy til para el aprendizaje el haberlo realizado. 9. Recomendaciones Se recomienda que al momento de usar un sistema de antivirus procurar tener el equipo en constante mantenimiento ya que hay algunos virus que traspasan el sistema de seguridad del mismo. Si se encuentra infectada su computador se recomienda realizar una anlisis del disco duro para poder solucionarlo de no haber solucin llevar inmediatamente a un servicio tcnico. Se recomienda instalar un sistema de recuperacin de datos ya que hay algunos antivirus que inmediatamente al detectar un virus lo eliminan.

10. Glosario:
Coloquial: propio de la conversacin oral y cotidiana. Cronologa: es la ciencia determinada cuya finalidad es determinar. el orden temporal de los acontecimientos histricos; forma parte de la disciplina de la Historia. Autmatas: que significa espontneo o con movimiento propio. Subsidiaria: Se aplica a la accin o la responsabilidad que sustituye o apoya a otra principal. Ensamblador: se refiere a un tipo de programa informtico que se encarga de traducir un fichero fuente escrito en un lenguaje ensamblador, a un fichero objeto que contiene cdigo mquina, ejecutable directamente por el microprocesador. S.O.: sistemas operativos Inoperativo: que no est en funcionamiento alguno. Persianas: Ejecucin remota desde aplicaciones informticas y compatibilidad. Ralentizacin: Disminucin de la velocidad, especialmente referido a un proceso o actividad. Inapreciable: De tanto valor que no se puede calibrar su importancia. Multiplataforma: En informtica, multi-plataforma, es un atributo conferido a los programas informticos o los mtodos de clculo y los conceptos que se ejecutan e interoperar en mltiples plataformas informticas. Encriptados: En informtica, convertir un texto normal en un texto codificado de forma que las personas que no conozcan el cdigo sean incapaces de leerlo

11. Bibliografa: PRIETO A.; Virus Informticos.; visitado 12/07/2013.; Disponible en: http://sabia.tic.udc.es/docencia/ssi/old/20062007/docs/trabajos/08%20-%20Virus%20Informaticos.pdf Rivero M.; Info Spiware.; publicado en: 13/01/2011.; visitado el 15/07/2013.;disponible en: http://www.infospyware.com/articulos/%C2%BFque-son-losvirus-informaticos/