Archivo de la etiqueta: virus

Virus informatico II

Vectores y huéspedes

4

Los virus se han dirigido a diferentes tipos de medios de transmisión o hosts. Entre ellos se encuentran:

  • Binarios ejecutables(como archivos COM y archivos EXE de MS-DOS, archivos ejecutables portables en Microsoft Windows, el formato Mach-O en OSX, y archivos ELF  en Linux)
  • Registros, volumen de arranque de los disquetes y particiones de disco duro
  • El registro de inicio maestro(MBR) de un disco duro
  • Archivos script de propósito general (como archivos por lotes de MS-DOS y Windows de Microsoft, VBScript y scripts de shell en Unix).
  • Específicos de la aplicación de archivos script (como Telix-scripts)
  • Específicos del sistema de autorun, archivos script (como Autorun.inf archivo necesario por Windows para ejecutar automáticamente el software almacenado en dispositivos USB de almacenamiento de memoria).
  • Los documentos que pueden contener macros (como Microsoft Word , documentos de Microsoft Excel hojas de cálculo, documentos AmiPro y Microsoft Access archivos de base de datos)
  • Cross-site scripting vulnerabilidades en aplicaciones web (ver gusano XSS )
  • Archivos arbitrarios informáticos. Un explotable desbordamiento de búfer , cadena de formato , condición de carrera u otro fallo explotable en un programa que lea el archivo, este puede ser usado para activar la ejecución de código oculto en su interior. La mayoría de los errores de este tipo pueden ser más difíciles de explotar en arquitecturas con características de protección tales como un bit de desactivación de ejecución y / o dirección de la aleatorización espacio de diseño .

PDFs y  HTML , puede tener un enlace al código malicioso. PDF también pueden ser infectados con código malicioso.

En los sistemas operativos que utilizan extensiones de archivo para determinar la asociación de programas (como Microsoft Windows), las extensiones pueden ser ocultadas al usuario de forma predeterminada. Esto hace que sea posible crear un archivo que sea de un tipo diferente del que se muestra al usuario. Por ejemplo, un archivo ejecutable puede ser crearse con el nombre “picture.png.exe”, en el que el usuario sólo ve “picture.png” y por lo tanto asume que el archivo es una imagen , si se abre se ejecuta el ejecutable en la máquina cliente.

Otro método consiste en generar el código del virus a partir de piezas existentes de archivos del sistema operativo mediante los CRC16/CRC32 datos. El código inicial puede ser bastante pequeño (decenas de bytes) y desempaquetar un virus bastante grande. Esto es análogo a un “prion” biológico en la forma en que funciona, pero es vulnerable a la detección basada en firmas. Este ataque no se ha visto “in the wild”.

Estrategias de infección

Con el fin de evitar la detección por los usuarios, algunos virus emplean diferentes tipos de engaño. Algunos virus antiguos, especialmente en la plataforma MS-DOS, se aseguran de que la fecha de “última modificación” de un archivo de host se mantiene tras la infección. Este enfoque no engaña al software antivirus, especialmente a aquellos que mantienen  fecha y comprobaciones de redundancia cíclica sobre los cambios del archivo.

Algunos virus pueden infectar archivos sin aumentar su tamaño o dañar los archivos. Logran esto al sobrescribir las áreas no utilizadas de los archivos ejecutables. Son los llamados virus de cavidad. Por ejemplo, el virus CIH o Chernobyl virus , infectan archivos ejecutables portables. Debido a que estos archivos tienen muchos huecos vacíos, el virus, que era 1 KB de longitud, no aumentan el tamaño del archivo.

Algunos virus intentan evitar la detección mediante la eliminación de las tareas asociadas con el software antivirus antes de que pueda detectarlos.

Mientras que los orednadores y sistemas operativos se hacen más grandes y más complejos, las técnicas antiguas y escondites necesitan ser actualizadas o reemplazadas. La defensa de un equipo frente a los virus puede exigir que el sistema de archivos implemente un sistema de permisos explícitos y detallados para cada tipo de acceso a archivos.

Añadidura o empalme
El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección.
Inserción

El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método.

jnjno

Reorientación

Es una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con reescribir los sectores marcados como defectuosos.
Polimorfismo

Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus.
Sustitución
Es el método mas tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo.

Evitar los archivos de cebo y otros huéspedes no deseados

Un virus necesita infectar a los anfitriones con el fin de difundirse. En algunos casos, puede ser una mala idea infectar ciertos programas. Por ejemplo, muchos programas antivirus realizar una comprobación de la integridad de su propio código. La infección de estos programas por lo tanto aumentará la probabilidad de que el virus sea detectado. Por esta razón, algunos virus están programados para no infectan programas que se sabe que son parte del software antivirus. Otro tipo de host que a veces evitan los virus son archivos de cebo. Esto archivos (o archivos de cabra) son archivos que están especialmente creados por el software antivirus, o por profesionales del sector, con el fin de que sean infectados por un virus. Estos archivos se pueden crear por diversas razones, todas relacionadas con la detección del virus:

 7

  • Antivirus Profesionales puede utilizar archivos de cebo para tomar una muestra de un virus (es decir, una copia de un archivo de programa que está infectado por el virus). Es más práctico almacenar e intercambiar un archivo pequeño, cebo infectado, que el intercambio de una aplicación de gran tamaño que ha sido infectada por el virus.
  • Antivirus Profesionales pueden utilizar archivos de cebo para estudiar el comportamiento de un virus y evaluar los métodos de detección. Esto es especialmente útil cuando el virus es polimórfico. En este caso, se puede hacer para infectar un gran número de archivos de cebo. Los archivos infectados se puede utilizar para comprobar si un programa antivirus detecta todas las versiones del virus.
  • Algunos programas antivirus emplean archivos de cebo que se accede con regularidad. Cuando estos archivos son modificados, el software antivirus advierte al usuario de que un virus esta probablemente activo en el sistema.

 5

Puesto que los archivos de cebo se utilizan para detectar el virus, o para hacer posible la detección, un virus no puede beneficiarse de ellos. Los virus suelen evitar programas sospechosos, tales como pequeños archivos de programa o programas que contengan ciertos patrones de “Instrucciones basura”.

Fuentes:

http://en.wikipedia.org/wiki/Computer_virus

http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml

http://bienveni2alblogdamili.blogspot.com.es/2012/01/virus-de-computadoras.html

Virus informatico I

1

Un virus informático es un programa informático que puede replicarse a sí mismo y propagarse de un ordenador a otro. El término común es “virus”, pero se utiliza erróneamente para referirse a otros tipos de programas maliciosos, incluyendo pero no limitado a adware y spyware programas que no tienen una capacidad reproductiva.

Malware incluye virus, gusanos informáticos, troyanos , la mayoría de los rootkits , spyware , adware deshonesto y otro software malicioso o no deseado, incluidos los virus verdaderos. Los virus se confunden a veces con gusanos y caballos de Troya, que son técnicamente diferentes. Un gusano puede explotar la seguridad y vulnerabilidades para propagarse automáticamente a otros ordenadores a través de redes, mientras que un caballo de Troya es un programa que parece inocuo pero esconde funciones maliciosas. Los gusanos y caballos de Troya, como los virus, pueden dañar los datos de un sistema informático o el rendimiento. Algunos virus y otros programas maliciosos presentan síntomas perceptibles para el usuario de la computadora, pero muchos son subrepticia o simplemente no hacer nada que llame la atención. Algunos virus no hacer nada más allá de reproducirse.

Los profesionales de antivirus no aceptan el concepto de los virus benévolos, como cualquier función deseada puede llevarse a cabo sin la participación de un virus. Cualquier virus, por definición, realiza cambios no autorizados en un ordenador, lo que no es deseable, incluso si no se hace daño.

2

Clasificación

Con el fin de replicarse a sí mismo, un virus debe ser permitido para ejecutar código y escribir en la memoria. Por esta razón, muchos virus se unen a archivos ejecutables que pueden ser parte de los programas legítimos (inyección de codigo). Si un usuario intenta iniciar un programa infectado, el código del virus pueden ser ejecutados simultáneamente. Los virus pueden ser divididos en dos tipos según su comportamiento cuando se ejecutan. Los virus no residentes inmediatamente buscar otros hosts que puedan ser infectados, infectar a esos objetivos y, finalmente, transferir el control a la aplicacion que infecta. Los virus residentes no buscan anfitriones cuando se inician. En cambio, un virus residente se carga en la memoria de ejecución y transfiere el control al programa de acogida. El virus permanece activo en segundo plano e infecta a nuevos huéspedes cuando otros programas o el sistema operativo acceden a los archivos infectados.

Los virus no residentes

Virus no residentes se pueden considerar como un conjunto de un módulo buscador y un módulo de replicación. El módulo buscador es responsable de encontrar nuevos archivos a infectar. Para cada nuevo archivo ejecutable encontrado por el módulo buscador este llama al módulo de replicación para infectar a ese archivo.

Los virus residentes

Virus residentes contienen un módulo de replicación que es similar al que emplean los virus residentes. Este módulo, sin embargo, no es llamado por un módulo buscador. El virus se carga el módulo de replicación en memoria cuando se ejecuta y se asegura de que este módulo se ejecuta cada vez que se llama al sistema operativo para realizar una determinada operación. El módulo de replicación puede ser llamado, por ejemplo, cada vez que el sistema operativo ejecuta un archivo. En este caso el virus infecta cada programa susceptible de ser infectado que se ejecuta en el ordenador.

3

Los virus residentes a veces se subdivide en una categoría de colonizadores rapidos y una categoría de colonizadores lentos. Los colonizadores rapidos están diseñados para infectar los archivos a medida que sea posible. Un colonizador rapido, por ejemplo, puede infectar a todos los archivos de acogida potencial al que se accede. Esto plantea un problema especial cuando se utiliza software antivirus, ya que un escáner de virus tendrá acceso a todos los archivos de acogida potencial en un equipo cuando se realiza un análisis de todo el sistema. Si el escáner de virus no se da cuenta de que un virus está presente en la memoria, el virus puede “piggy-back”(subirse a la espalda) del escáner y de esta manera infectar todos los archivos que son escaneados. Los colonizadores rapidos confían en su rápida tasa de infección para propagarse. La desventaja de este método es que infecta muchos archivos puede hacer la detección más rapida, ya que el virus puede ralentizar el ordenador o realizar muchas acciones sospechosas que detecta con facilidad el software antivirus. Los colonizadores lentos, por otro lado, están diseñados para infectar a los anfitriones con poca frecuencia. Algunos infecciones lentas se producen, por ejemplo, cuando se copian archivos. Otros colonizadores lentos están diseñados para evitar la detección mediante la limitación de sus acciones: son menos propensos a retrasar un equipo notablemente y con poca frecuencia son detectados por el. El enfoque colonizadores lentos, sin embargo, no parece ser muy exitoso.

 

Fuentes:

http://en.wikipedia.org/wiki/Computer_virus

http://bienveni2alblogdamili.blogspot.com.es/2012/01/virus-de-computadoras.html

http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml