Virus informatico II

Vectores y huéspedes

4

Los virus se han dirigido a diferentes tipos de medios de transmisión o hosts. Entre ellos se encuentran:

  • Binarios ejecutables(como archivos COM y archivos EXE de MS-DOS, archivos ejecutables portables en Microsoft Windows, el formato Mach-O en OSX, y archivos ELF  en Linux)
  • Registros, volumen de arranque de los disquetes y particiones de disco duro
  • El registro de inicio maestro(MBR) de un disco duro
  • Archivos script de propósito general (como archivos por lotes de MS-DOS y Windows de Microsoft, VBScript y scripts de shell en Unix).
  • Específicos de la aplicación de archivos script (como Telix-scripts)
  • Específicos del sistema de autorun, archivos script (como Autorun.inf archivo necesario por Windows para ejecutar automáticamente el software almacenado en dispositivos USB de almacenamiento de memoria).
  • Los documentos que pueden contener macros (como Microsoft Word , documentos de Microsoft Excel hojas de cálculo, documentos AmiPro y Microsoft Access archivos de base de datos)
  • Cross-site scripting vulnerabilidades en aplicaciones web (ver gusano XSS )
  • Archivos arbitrarios informáticos. Un explotable desbordamiento de búfer , cadena de formato , condición de carrera u otro fallo explotable en un programa que lea el archivo, este puede ser usado para activar la ejecución de código oculto en su interior. La mayoría de los errores de este tipo pueden ser más difíciles de explotar en arquitecturas con características de protección tales como un bit de desactivación de ejecución y / o dirección de la aleatorización espacio de diseño .

PDFs y  HTML , puede tener un enlace al código malicioso. PDF también pueden ser infectados con código malicioso.

En los sistemas operativos que utilizan extensiones de archivo para determinar la asociación de programas (como Microsoft Windows), las extensiones pueden ser ocultadas al usuario de forma predeterminada. Esto hace que sea posible crear un archivo que sea de un tipo diferente del que se muestra al usuario. Por ejemplo, un archivo ejecutable puede ser crearse con el nombre “picture.png.exe”, en el que el usuario sólo ve “picture.png” y por lo tanto asume que el archivo es una imagen , si se abre se ejecuta el ejecutable en la máquina cliente.

Otro método consiste en generar el código del virus a partir de piezas existentes de archivos del sistema operativo mediante los CRC16/CRC32 datos. El código inicial puede ser bastante pequeño (decenas de bytes) y desempaquetar un virus bastante grande. Esto es análogo a un “prion” biológico en la forma en que funciona, pero es vulnerable a la detección basada en firmas. Este ataque no se ha visto “in the wild”.

Estrategias de infección

Con el fin de evitar la detección por los usuarios, algunos virus emplean diferentes tipos de engaño. Algunos virus antiguos, especialmente en la plataforma MS-DOS, se aseguran de que la fecha de “última modificación” de un archivo de host se mantiene tras la infección. Este enfoque no engaña al software antivirus, especialmente a aquellos que mantienen  fecha y comprobaciones de redundancia cíclica sobre los cambios del archivo.

Algunos virus pueden infectar archivos sin aumentar su tamaño o dañar los archivos. Logran esto al sobrescribir las áreas no utilizadas de los archivos ejecutables. Son los llamados virus de cavidad. Por ejemplo, el virus CIH o Chernobyl virus , infectan archivos ejecutables portables. Debido a que estos archivos tienen muchos huecos vacíos, el virus, que era 1 KB de longitud, no aumentan el tamaño del archivo.

Algunos virus intentan evitar la detección mediante la eliminación de las tareas asociadas con el software antivirus antes de que pueda detectarlos.

Mientras que los orednadores y sistemas operativos se hacen más grandes y más complejos, las técnicas antiguas y escondites necesitan ser actualizadas o reemplazadas. La defensa de un equipo frente a los virus puede exigir que el sistema de archivos implemente un sistema de permisos explícitos y detallados para cada tipo de acceso a archivos.

Añadidura o empalme
El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección.
Inserción

El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método.

jnjno

Reorientación

Es una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con reescribir los sectores marcados como defectuosos.
Polimorfismo

Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus.
Sustitución
Es el método mas tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo.

Evitar los archivos de cebo y otros huéspedes no deseados

Un virus necesita infectar a los anfitriones con el fin de difundirse. En algunos casos, puede ser una mala idea infectar ciertos programas. Por ejemplo, muchos programas antivirus realizar una comprobación de la integridad de su propio código. La infección de estos programas por lo tanto aumentará la probabilidad de que el virus sea detectado. Por esta razón, algunos virus están programados para no infectan programas que se sabe que son parte del software antivirus. Otro tipo de host que a veces evitan los virus son archivos de cebo. Esto archivos (o archivos de cabra) son archivos que están especialmente creados por el software antivirus, o por profesionales del sector, con el fin de que sean infectados por un virus. Estos archivos se pueden crear por diversas razones, todas relacionadas con la detección del virus:

 7

  • Antivirus Profesionales puede utilizar archivos de cebo para tomar una muestra de un virus (es decir, una copia de un archivo de programa que está infectado por el virus). Es más práctico almacenar e intercambiar un archivo pequeño, cebo infectado, que el intercambio de una aplicación de gran tamaño que ha sido infectada por el virus.
  • Antivirus Profesionales pueden utilizar archivos de cebo para estudiar el comportamiento de un virus y evaluar los métodos de detección. Esto es especialmente útil cuando el virus es polimórfico. En este caso, se puede hacer para infectar un gran número de archivos de cebo. Los archivos infectados se puede utilizar para comprobar si un programa antivirus detecta todas las versiones del virus.
  • Algunos programas antivirus emplean archivos de cebo que se accede con regularidad. Cuando estos archivos son modificados, el software antivirus advierte al usuario de que un virus esta probablemente activo en el sistema.

 5

Puesto que los archivos de cebo se utilizan para detectar el virus, o para hacer posible la detección, un virus no puede beneficiarse de ellos. Los virus suelen evitar programas sospechosos, tales como pequeños archivos de programa o programas que contengan ciertos patrones de “Instrucciones basura”.

Fuentes:

http://en.wikipedia.org/wiki/Computer_virus

http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml

http://bienveni2alblogdamili.blogspot.com.es/2012/01/virus-de-computadoras.html

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s