AÑO DE LOS DERECHOS DE LAS PERSONAS CON DISCAPACIDAD Y DEL CENTENARIO DEL NACIMIENTO DE JORGE BASADRE VIRUS TRABAJO PRESENTADO COMO REQUISITO DE APROBACIÓN DEL CURSO DE COMPUTACIÓN POR Julio 25 del 2003 LIMA − PERÚ CONCLUSIONES Un virus es un programa pensado para poder reproducirse y replicarse por sí mismo, introduciéndose en otros programas ejecutables o en zonas reservadas del disco o la memoria. Sus efectos pueden no ser nocivos, pero en muchos casos hacen un daño importante en el ordenador donde actúan. Pueden permanecer inactivos sin causar daños tales como el formateo de los discos, la destrucción de ficheros, etc... BIBLIOGRAFÍA Network Associates, Mcaffe Virus Scan, 105 Pine Island Road Suite 205 − USA, Versión 4, 338 pp. Internet; www. Nai.com, virus.com, google.com (Virus Informáticos, clases de Virus, antivirus). ANEXOS INTRODUCCIÓN El presente trabajo monográfico tiene por finalidad dar a conocer los resultados de la investigación acerca de los Virus Informáticos. Muchas veces estos intrusos acaban con archivos importantes guardados en el disco duro. Son más de 16 000 virus conocidos en circulación y capaces de atacar sistemas informáticos basados en DOS y Windows, es solo cuestión de tiempo, siendo necesario tiempo y esfuerzo para encontrar el origen de la infección y eliminar todos sus efectos. Esperamos pues, sirva de ayuda a todos aquellos interesados en este tema, que afecta a muchos usuarios cada día. DEFINICION ¿Qué es un virus informático? 1 Definiciones hay tantas como preguntas sin respuesta exacta. Veamos, pues, si cabe la posibilidad de concretar algunos requisitos que cumplen estos agentes víricos: * Son programas de computadora. * Su principal cualidad es la de poder autor replicarse. * Intentan ocultar su presencia hasta el momento de la explosión. * Producen efectos dañinos en el "huésped". Si exceptuamos el primer punto, los restantes podrían aplicarse también a alos virus biológicos. El parecido entre biología y tecnología puede llegar a ser en ocasiones ciertamente abrumador. Como el cuerpo humano, el computadora puede ser atacado por agentes infecciosos capaces de alterar su correcto funcionamiento o incluso provocar daños irreparables en ciertas ocasiones. En estas páginas usaré comúnmente términos biológicos. Esto es debido a que pienso que , realmente, los virus informáticos son auténticas imitaciones de sus hermanos biológicos. Así pues usaré palabras como "explosión", "huésped", "peligrosidad tecnológica o tecnopeligrosidad", "zona caliente", etc... para explicar términos completamente informáticos. Un virus es un agente peligroso que hay que manejar con sumo cuidado. La "contención" es la primera regla de oro. Desarrollemos un poco los puntos expuestos antes: Un virus informático es un programa de computadora, tal y como podría ser un procesador de textos, una hoja de cálculo o un juego. Obviamente ahí termina todo su parecido con estos típicos programas que casi todo el mundo tiene instalados en sus computadoras. Un virus informático ocupa una cantidad mínima de espacio en disco (el tamaño es vital para poder pasar desapercibido), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de sí mismo e infecta archivos, tablas de partición o sectores de arranque de los discos duros y disquetes para poder expandirse lo más rápidamente posible. Ya se ha dicho antes que los virus informáticos guardan cierto parecido con los biológicos y es que mientras los segundos infectan células para poder replicarse los primeros usan archivos para la misma función. En ciertos aspectos es una especie de "burla tecnológica" hacia la Naturaleza. Mientras el virus se replica intenta pasar lo más desapercibido que puede, intenta evitar que el "huésped" se dé cuenta de su presencia... hasta que llega el momento de la "explosión". Es el momento culminante que marca el final de la infección y cuando llega suele venir acompañado del formateo del disco duro, borrado de archivos o mensajes de protesta. No obstante el daño se ha estado ejerciendo durante todo el proceso de infección, ya que el virus ha estado ocupando memoria en el computadora, ha ralentizado los procesos y ha "engordado" los archivos que ha infectado. ¿Cómo surge un virus? Los virus tienen un ciclo de vida muy concreto: * Programación y desarrollo * Expansión * Actuación * Extinción o mutación ( en este último caso el ciclo se repite ) Virii: Con este término se hace referencia al estudio y desarrollo de virus informáticos. Tras esta palabra se esconde toda una filosofía informática. En Internet podemos encontrar cientos de páginas que tratan el tema, y tras ellas importantes desarrolladores de virus, en algunos casos organizados en grupos con nombres como 29A , La Vieja Guardia, ... En la cabecera de algunas de estas páginas podemos encontrar un mensaje como "Los autores no se responsabilizan del contenido de estas páginas"... o " solo con fines educativos"... pero cuando damos una vuelta por ellas podemos encontrar código destructivo de lo más variado, incluso ponen a disposición de incautos programas ejecutables infectados. También podemos encontrar herramientas de 2 generación de virus tales como el Virus Creation Lab, Trojan Horse. Estos grupos se mueven a sus anchas por Internet, participando en los grupos de noticias (ej.: es.comp.virus ) y en los canales de IRC. Las páginas de "La Vieja Guardia" son un ejemplo de las muchas relacionadas con el Underground, un tema que está gozando de un gran auge en Internet. Es justo reconocer que estos grupos hacen casi más que nadie en la lucha contra los virus informáticos, aunque esto pueda parecer una contradicción. Ciertamente podemos hacer distinciones entre desarrolladores de virus. En su inmensa mayoría son personas que intentan superarse a sí mismas creando virus cada vez más complicados, pero cuando alguien necesita ayuda para desinfectar ese virus puede encontrarse con que el propio programador le responda en algún grupo de noticias diciéndole lo que tiene que hacer o que antivirus le recomienda. (Ciertamente hacen un doble juego). Normalmente el buen desarrollador de virus maneja con gran perfección el lenguaje ensamblador, aunque un virus puede desarrollarse también en lenguajes de alto nivel. Se pueden encontrar incluso aplicaciones destinadas a usuarios con pocos conocimientos de programación para la creación de virus tales como el Virus Construction Lab, Nowhere Utilities, Vc2000, nada que ver con el Turbo Assembler. "Peligro Biológico": Los trabajadores de hospitales, laboratorios e industrias farmacológicas saben muy bien lo que significa la "flor de biopeligrosidad"... la gente que trabaja con computadoras no sabe en la mayoría de las ocasiones lo que implica el término "Virus Informático". ¿ Por que se hace un virus ? La gran mayoría de los creadores de virus lo ven como un hobby, aunque también otros usan los virus como un medio de propaganda o difusión de sus quejas o ideas radicales, como por ejemplo el virus Telefónica, que emitía un mensaje de protesta contra las tarifas de esta compañía a la vez que reclamaba un mejor servicio, o el famosísimo Silvia que sacaba por pantalla la dirección de una chica que al parecer no tuvo una buena relación con el programador del virus. En otras ocasiones es el orgullo o la competitividad entre los programadores de virus lo que les lleva a desarrollar virus cada vez más destructivos y difíciles de controlar. Pero que afortunadamente se están desarrollando mejores antivirus. HISTORIA Desde la aparición de los virus informáticos en 1984 y tal como se les concibe hoy en día, han surgido muchos mitos y leyendas acerca de ellos. Esta situación se agravó con el advenimiento y auge de Internet. A continuación se presenta una breve cronología de lo que ha sido los orígenes de los virus: 1949: Se da el primer indicio de definición de virus. John Von Neumann (considerado el Julio Verne de la informática), expone su "Teoría y organización de un autómata complicado". Nadie podía sospechar de la repercusión de dicho articulo. 1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de núcleos de ferrita. Consistía en una batalla entre los codigos de dos programadores, en la que cada jugador desarrollaba un programa cuya misión era la de acaparar la máxima memoria posible mediante la reproducción de si mismo. 3 1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER...ATRAPAME SI PUEDES!". Ese mismo año es creado su antídoto: el antivirus Reaper cuya misión era buscar y destruir al Creeper. 1974: El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema. 1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de 23 años aunque según él fue un accidente. 1983: El juego Core Wars, con adeptos en el MIT, salio a la luz publica en un discurso de Ken Thompson. Dewdney explica los términos de este juego. Ese mismo año aparece el término virus tal como lo entendemos hoy. 1985: Dewdney intenta enmendar su error publicando otro artículo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores". 1987: Se da el primer caso de contagio masivo de computadoras a través del MacMag Virus también llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y contaminó la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand. El virus contaminó el disco maestro que fue enviado a la empresa fabricante que comercializó su producto infectado por el virus. Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusalén. 1988: El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistan aparece en Estados Unidos. 1991 Los virus peruanos Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutación del virus Jerusalem−B y al que su autor le agregó una ventana con su nombre y número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron variantes del Jerusalem−B y prácticamente se difundieron a nivel nacional. Continuando con la lógica del tedio, en 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que formateaba el disco duro). La creación de los virus locales ocurre en cualquier país y el Perú no podía ser la excepción. No es nuestra intención narrar en forma exhaustiva la historia completa de los virus y sus connotaciones, de tal modo que consideramos tratar como último tema, los macro virus, que son las especies virales que rompieron los esquemas de programación y ejecución de los virus tradicionales. En el capítulo "FAQ acerca de virus", de esta misma página web resolvemos preguntas frecuentes acerca de los virus informáticos. Y en el capítulo "Programación de virus" tratamos sobre las nuevas técnicas de programación de las especies virales. CLASIFICACION Dependiendo del lugar donde se alojan, la técnica de replicación o la plataforma en la cual trabajan, podemos diferenciar en distintos tipos de virus. 4 • Virus de sector de arranque (boot). • Virus de archivos. ♦ Virus de accion directa. ♦ Virus de sobreescritura. ♦ Virus de compañia. • Virus de macro. • Virus BAT • Virus del MIRC. VIRUS DE SECTOR DE ARRANQUE (BOOT). Utilizan el sector de arranque, el cual contiene la información sobre el tipo de disco, es decir, numero de pistas, sectores, caras, tamaño de la FAT, sector de comienzo, etc. A todo esto hay que sumarle un pequeño programa de arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de discos duros pueden utilizar también la tabla de particiones como ubicación. Suelen quedar residentes en memoria al hacer cualquier operación en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el Brain. VIRUS DE ARCHIVOS. Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM...) los que están en boga gracias a los virus de macro (descritos mas adelante). Normalmente insertan el código del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que se continúe de modo normal. El Viernes 13 es un ejemplar representativo de este grupo. Dentro de la categoría de virus de archivos podemos encontrar mas subdivisiones, como los siguientes: Virus de acción directa. Son aquellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un archivo infectado. Virus de sobreescritura. Corrompen el archivo donde se ubican al sobreescribirlo. Virus de compañía. Aprovechan una característica del DOS, gracias a la cual si llamamos un archivo para ejecutarlo sin indicar la extensión el sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica el programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo el virus con extensión COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente este pasara el control a la aplicación original. VIRUS DE MACRO. Es una familia de virus de reciente aparición y gran expansión. Estos están programas usando el lenguaje de macros WordBasic, gracias al cual pueden infectar y replicarse a través de archivos MS−Word (DOC). En la actualidad esta técnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son multiplataformas en cuanto a sistemas operativos, ya que dependen únicamente de la aplicación. Hoy en día son el tipo de virus que están teniendo un mayor auge debido a que son fáciles de 5 programar y de distribuir a través de Internet. Aun no existe una concienciación del peligro que puede representar un simple documento de texto. Porción de código de un típico virus Macro: Sub MAIN DIM dlg As FileSaveAs GetCurValues dlg ToolsOptionsSave.GlobalDotPrompt=0 Ifcheckit(0)=0 Then MacroCopy FileName$() + ":autoopen", "global;autoopen" End If VIRUS BAT. Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dañinos como cualquier otro tipo virus. En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a código maquina son <<comodines>> y no producen ningún efecto que altere el funcionamiento del virus. VIRUS DEL MIRC. Vienen a formar parte de la nueva generación Internet y demuestra que la Red abre nuevas forma de infección. Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini". FUNCIONAMIENTO Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las histerias y los miedos infundados y al mismos tiempo ser consientes del daño real que puede causarnos. Para ello, lo mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente. PROCESO DE INFECCION. El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último archivo descargado de Internet. Dependiendo del tipo de virus el proceso de infección varía sensiblemente. Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario introduce el disco en la computadora ( por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus desfasado ) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un ejecutable. Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son leídas por el computadora y procesadas, pero también procesa otras instrucciones que no deberían estar ahí. El virus comprueba si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa a esta y puede que se quede residente en ella. A partir de ese momento todo 6 programa que se ejecute será contaminado. El virus ejecutará todos los programas, pero después se copiará a sí mismo y se "pegará" al programa ejecutado "engordándolo" unos cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan esos bytes de más para que parezca que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de sistema, aquellos que están en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. Así, cuando el usuario vuelva a arrancar la computadora el virus se volverá a cargar en la memoria cuando se ejecuten los archivos de arranque del sistema contaminados y tomará otra vez el control del mismo, contaminando todos los archivos que se encuentre a su paso. Puede que el virus sea también de "Sector de arranque". En ese caso el código del virus se copiará en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobreescriba el sector original o que se quede una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si el usuario arranca la computadora con un disquete "limpio" el virus no podrá cargarse en memoria y no tendrá el control. Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de arranque... TECNICAS DE PROGRAMACION Técnicas Stealth Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus ocultan el tamaño real de los archivos que han contaminado, de forma que si hacemos un DIR la información del tamaño de los archivos puede ser falsa. Los virus de tabla de partición guardan una copia de la FAT original en otro lugar del disco que marcan como sectores defectuosos para mostrársela al usuario cuando haga por ejemplo un FDISK. Incluso hay virus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de su propio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda. Tunneling Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupción y tener así un control directo sobre esta. Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena. Antidebuggers Un debugger es un programa que permite descompilar programas ejecutables y mostrar parte de su código en lenguaje original. Los virus usan técnicas para evitar ser desemsamblados y así impedir su análisis para la fabricación del antivirus correspondiente. Polimorfismo o automutación Es una técnica que consiste en variar el código vírico en cada infección (más o menos lo que hace el virus del SIDA en los humanos con su capa protéica). Esto obliga a los antivirus a usar técnicas heurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código. Esto se 7 consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus. La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es reversible: 7 XOR 9 = 2 2 XOR 9 = 7 En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obtiene una codificación también distinta. Otra forma también muy utilizada consiste en sumar un número fijo a cada byte del código vírico. TSR Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecución. Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido. Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando se vuelva a arrancar la computadora volverá a ser cargado en memoria. CONSECUENCIAS Ejemplo del Virus "World Cup 98 8 Green Caterpillar Inversión de la pantalla por el virus HPS Virus Marburg ¿Qué daño puede hacer un virus a mi sistema? • Software ♦ Modificación de programas para que dejen de funcionar ♦ Modificación de programas para que funcionen erróneamente ♦ Modificación sobre los datos ♦ Eliminación de programas y/o datos ♦ Acabar con el espacio libre en el disco rígido ♦ Hacer que el sistema funcione mas lentamente ♦ Robo de información confidencial • Hardware ♦ Borrado del BIOS ♦ Quemado del procesador por falsa información del sensor de temperatura ♦ Rotura del disco rígido al hacerlo leer repetidamente sectores específicos que fuercen su funcionamiento mecánico ¿Cómo se propagan los virus? • Disquetes u otro medio de almacenamiento removible • Software pirata en disquetes o CDs • Redes de computadoras • Mensajes de correo electrónico • Software bajado de Internet • Discos de demostración y pruebas gratuitos Síntomas que indican la presencia de Virus.... • Cambios en la longitud de los programas 9 • Cambios en la fecha y/u hora de los archivos • Retardos al cargar un programa • Operación más lenta del sistema • Reducción de la capacidad en memoria y/o disco rígido • Sectores defectuosos en los disquetes • Mensajes de error inusuales • Actividad extraña en la pantalla • Fallas en la ejecución de los programas • Fallas al bootear el equipo • Escrituras fuera de tiempo en el disco Tipos de Virus de Computación por su destino de infección Infectores de archivos ejecutables ♦ Afectan archivos de extensión EXE, COM, BAT, SYS, PIF, DLL, DRV ♦ Infectores directos El programa infectado tiene que estar ejecutándose para que el virus pueda funcionar (seguir infectando y ejecutar sus acciones destructivas) Infectores residentes en memoria El programa infectado no necesita estar ejecutándose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destrucción Infectores del sector de arranque Tanto los discos rígidos como los disquetes contienen un Sector de Arranque, el cual contiene información específica relativa al formato del disco y los datos almacenados en él. Además, contiene un pequeño programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non−system Disk or Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rígido, infectando luego cada disquete utilizado en la PC. Es importante destacar que como cada disco posee un sector de arranque, es posible infectar la PC con un disquete que contenga solo datos..... Macrovirus Son los virus mas populares de la actualidad. No se transmiten a través de archivos ejecutables, sino a través de los documentos de las aplicaciones que poseen algún tipo de lenguaje de macros. Entre ellas encontramos todas las pertenecientes al paquete Office (Word, Excel, Power Point, Access) y también el Corel Draw. Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos, de forma que sean infectados todos los archivos que se abran o creen en el futuro... Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuración del sistema operativo, borrar archivos, enviar e−mails, etc. De Actives Agents y Java Applets 10 En 1997, aparecen los Java applets y Actives controls. Estos pequeños programas se graban en el disco rígido del usuario cuando está conectado a Internet y se ejecutan cuando la página web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rígido a través de una conexión www de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, envíen información a un sitio web, etc. De HTML Un mecanismo de infección más eficiente que el de los Java applets y Actives controls apareció a fines de 1998 con los virus que incluyen su código en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una página web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Win98, 2000 y de las últimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos. Trojanos/Works Los troyanos son programas que imitan programas útiles o ejecutan algún tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el código dañino. Los troyanos no cumplen con la función de autorreproducción, sino que generalmente son diseñados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusión del virus. (Generalmente son enviados por e−mail) Tipos de Virus de Computación por sus acciones y/o modo de activación Bombas Se denominan así a los virus que ejecutan su acción dañina como si fuesen una bomba. Esto significa que se activan segundos después de verse el sistema infectado o después de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del equipo. (bombas lógicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lógicas son los virus que se activan cuando al disco rígido solo le queda el 10% sin uso, etc. Camaleones Son una variedad de virus similares a los caballos de Troya que actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales). Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y password para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón. Reproductores Los reproductores (también conocidos como conejos−rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema. La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal. 11 Gusanos (Worms) Los gusanos son programas que constantemente viajan a través de un sistema informático interconectado, de PC a PC, sin dañar necesariamente el hardware o el software de los sistemas que visitan. La función principal es viajar en secreto a través de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso. Backdoors Son también conocidos como herramientas de administración remotas ocultas. Son programas que permiten controlar remotamente la PC infectada. Generalmente son distribuidos como troyanos. Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningún tipo de mensaje o consulta al usuario. Incluso no se lo vé en la lista de programas activos. Los Backdoors permiten al autor tomar total control de la PC infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc.... Estrategias de infección usadas por los virus Añadidura o empalme: El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección. Inserción: El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método. Reorientación: Es una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con rescribir los sectores marcados como defectuosos. Polimorfismo: Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus. Sustitución: Es el método mas tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo. Ejemplos de virus y sus acciones 12 • Happy99: Programa enviado por mail, abre una ventana con fuegos artificiales. Manipula la conectividad con Internet. • Melissa: Macrovirus de Word. Se envía a sí mismo por mail. Daña todos los archivos .doc • Chernobyl (W95.CIH): Borra el primer Mb del HD, donde se encuentra la FAT. Obliga a formatear el HD. Además intenta rescribir el BIOS de la PC lo que obliga a cambiar el mother. Se activa el 26 de abril. • Michelangelo: Virus de boot sector. Se activa el 6 de marzo. Sobre escribe la FAT, dejando el disco inutilizable. • WinWord.Concept: Macrovirus que infecta la plantilla Normal.dot. Hace aparecer mensajes en la pantalla y mal funcionamiento del Word. • FormatC: Troyano que infecta el Word, al abrir un archivo infectado formatea el disco rígido. • Back Orifice2000 (BO2K): Funcionalmente es un virus y sirve para el robo de información. Permite tomar control remoto de la PC o del servidor infectados, con la posibilidad de robar información y alterar datos. • VBS/Bubbleboy: Troyano que se ejecuta sin necesidad de abrir un attachment, y se activa inmediatamente después de que el usuario abra el mail. No genera problemas serios. Virus falsos: HOAX ¿Qué son? Falsas alarmas de virus Ejemplos: Join The Crew, Win a Holiday, Solidaridad con Brian ¿Qué no hay que hacer? Responder esas cadenas, ya que crea saturación de los servidores de mail y, además son usadas para levantar direcciones de e−mails para luego enviar publicidades. Email Bombing and Spamming Descripción E−mail bombing es el envío reiterado de un mismo mail a una cuenta en particular. E−mail spamming es una variante del bombing, es el envío de e−mail a cientos o miles de usuarios. El problema se acrecienta si alguien responde el mensaje a todos. Spamming y bombing pueden ser combinados con e−mail spoofing, que consiste en alterar la dirección del emisor del destinatario, haciendo imposible conocer quien originó la cadena. Cuando una gran cantidad de mensajes son dirigidos a un mismo servidor, este puede sufrir un DoS (Denial of Service), o que el sistema se caiga como consecuencia de utilizar todos los recursos del servidor, o completar el espacio en los discos. ¿Qué puede hacer usted? En principio es imposible de prevenir ya que cualquier usuario de e−mail puede spam cualquier otra cuenta de e−mail, o lista de usuarios. Se deben activar las opciones de filtrado de mensajes Práctica de seteo de opciones de filtrado de mensajes ¿Qué no debe hacer? Responder esas cadenas, ya que crea saturación de los servidores de mail y además son usadas para levantar direcciones de e−mails para luego enviar publicidades. 13 E−mail con attachments ¿Qué hacer cuando se reciben? No lo abra a menos que necesite su contenido En este caso, primero grábelo en el HD y luego pásele un antivirus. ¿Qué hacer si debe enviarlos? Si es un documento de texto grábelo con formato RTF De lo contrario ejecute su antivirus antes de adosar el archivo Contenido activo en el e−mail ¿Qué es? Páginas con xml, java, Actives objects, etc. ¿Cuándo se ejecuta? Al visualizar la página ¿Cómo me protejo? Solo se puede limitar el riesgo con las opciones de la Zona de Seguridad empleada. Practica de cambiar opciones de seguridad..... Web scripts malignos ¿Qué son? Un "script" es un tipo de programa de computación usado en la programación de sitios web. (Ej.: Javascript, Perl, Tcl, VBScript, etc). Un script consiste en comandos de texto. Cada vez que el browser recibe estos comandos, los interpreta y los ejecuta. Esto significa que un script puede ser incluido en cualquier página web como si fuese texto. En principio un script no es necesariamente un programa maligno, sino que se utiliza su funcionalidad con fines malignos. ¿Cómo me llegan? Al visitar una página web que contenga en su código algún script. ¿Qué pueden hacer? Monitorear la sesión del usuario, copiar datos personales a un tercer sitio, ejecutar programas de forma local, leer las cookies del usuario y reenviarlas a un tercero, etc. y todo esto sin que el usuario se entere en absoluto. ¿Cómo se soluciona este problema? Deshabilitando todos los lenguajes de script en las opciones de seguridad del explorador. ¿Cómo afecta mi navegación esta solución? Indudablemente va a limitar su interacción con algunos web sites. Cada día se utilizan más los scripts para dotar a las páginas de un site de un comportamiento personalizado y más dinámico. Tal vez lo recomendable es deshabilitar estas opciones al visitar páginas de sitios no confiables. Práctica en Explorer para deshabilitar estas opciones... Seguridad en Internet..... Cookies Medidas antivirus 14 Nadie que usa computadoras es inmune a los virus de computación. Un programa antivirus por muy bueno que sea se vuelve obsoleto muy rápidamente ante los nuevos virus que aparecen día a día. • Desactivar arranque desde disquete en el setup para que no se ejecuten virus de boot. • Desactivar compartir archivos e impresoras. • Analizar con el antivirus todo archivo recibido por e−mail antes de abrirlo. • Actualizar antivirus. • Activar la protección contra macrovirus del Word y el Excel. • Sea cuidadoso al bajar archivos de Internet (Analice si vale el riesgo y si el sitio es seguro) • No envíe su información personal ni financiera a menos que sepa quien se la solicita y que sea necesaria para la transacción. • No comparta discos con otros usuarios. • No entregue a nadie sus claves, incluso si lo llaman del servicio de Internet u otro. • Enseñe a sus niños las practicas de seguridad, sobre todo la entrega de información. • Cuando realice una transacción asegúrese de utilizar una conexión bajo SSL • Proteja contra escritura el archivo Normal.dot • Distribuya archivos RTF en vez de DOCs • Realice backups LOS ANTIVIRUS Los programas antivirus son una herramienta específica para combatir el problema virus, pero es muy importante saber como funcionan y conocer bien sus limitaciones para obtener eficiencia no combate a los virus. Cuando se piensa en comprar un antivirus, no se debe perderse de vista que, como todo programa, para funcionar correctamente, debe esta bien configurado. Además, un antivirus es una solución para minimizar los riesgos y nunca será una solución definitiva, el principal es mantenerlo actualizado. La única forma de mantener su sistema seguro es mantener su antivirus actualizado y estar constantemente leyendo sobre los virus y las nuevas tecnologías. La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Éste es el aspecto más importante de un antivirus, pero, las empresas deben buscar identificar también las características administrativas que el antivirus ofrece. La instalación y administración de un antivirus en una red es una función muy compleja si el producto no lo hace automáticamente, pero eso no es el tema de ese artículo. Es importante tener en claro la diferencia entre "detectar" e "identificar" un virus en una computadora. La detección es la determinación de la presencia de un virus, la identificación es la determinación de qué virus es. Aunque parezca contradictorio, lo mejor que debe tener un antivirus es su capacidad de detección, pues las capacidades de identificación están expuestas a muchos errores y sólo funcionan con virus conocidos. Identificación El modelo más primario de las funciones de un programa antivirus es la detección de la presencia de un virus y, en lo posible, su identificación. La primera técnica que se popularizó en los productos antivirus fuera la técnica de rastreo (scanning). Los rastreadores antivirus representan la mayoría de los productos de actualidad. La desventaja de los rastreadores es que éstos no consiguen reconocer los virus "desconocidos"; o sea, todo nuevo virus necesita ser descubierto y analizado antes de que un rastreador pueda reconocerlo. La velocidad de actualización de un rastreador depende en mucho de los laboratorios de cada fabricante; cuantos ms laboratorios haya en el mundo, mas ingenieros investigadores locales estarán trabajando en la localización de un virus, haciendo así un trabajo mas rápido y eficiente para la solución del antivirus. Rastrear es el método conocido para localizar un virus después de que éste haya infectado un sistema. Cabe mencionar que los rastreadores también pueden identificar los virus por nombre, mientras otros métodos no pueden. Detección 15 Debido a las limitaciones de la técnica de rastreo, los productores de programas antivirus han desarrollado otros métodos para detección de virus informáticos. Estas técnicas buscan identificar los virus por funciones básicas comunes en los virus, reconociendo el virus por su comportamiento y no por una pequeña porción de código como hace los rastreadores. De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, instrucciones potencialmente dañinas pertenecientes a un virus informático. El método de monitoreo del sistema (también conocido como rule−based) es la mejor alternativa de protección en tiempo real para PC´s individuales o para estaciones de trabajo. Estos sistemas antivirus permanecen residentes en la memoria y quedan a la expectativa en caso de actividades virulentas. Por ejemplo, si un programa en memoria intentara infectar un archivo en el disco, un producto antivirus de monitoreo de sistema percibirá dicho intento y alertará al usuario. McAfee VIRUS SCAN El nombre VirusScan se aplica tanto a la serie completa de componentes de programas antivirus de escritorio descritos en la Guía del Usuario como a un componente concreto de dicha serie: Scan32.exe o explorador requerido de VirusScan. Requerido significa que, como usuario de VirusScan usted decide cuándo debe iniciar y finalizar una operación de exploración, qué objetivos debe examinar, qué debe hacer cuando detecta un virus o cualquier otro aspecto del funcionamiento del programa. Por el contrario, otros componentes de VirusScan funcionan automáticamente o de acuerdo con un programa establecido por usted. Al principio, VirusScan estaba formado únicamente por un explorador manual. Las características integradas en el programa desde entonces proporcionan ahora un grupo de funciones antivirus que le ofrecen la máxima protección contra los virus y los ataques de software perjudicial. El componente requerido de VirusScan funciona en dos modos: la interfaz de clásica de VirusScan prepara su sistema en muy poco tiempo, precisa un número mínimo de opciones de configuración, pero que le ofrece toda la potencia del sistema de exploración antivirus de VirusScan; de modo avanzado de VirusScan añade flexibilidad a las opciones de configuración del programa y permite, por ejemplo, realizar más de una exploración simultáneamente. Inicio de VirusScan Para Iniciar VirusScan: Inicie la consola VirusScan y, a continuación haga clic en explorar en la parte izquierda de la ventana. Haga clic en iniciar y seleccione ejecutar en el menú que aparece. Escriba scan32.exe en el cuadro de diálogo de Ejecutar y haga clic en Aceptar. VSHIELD VShield explora el sistema en segundo plano, mientras usted trabaja con sus archivos, para protegerlos de virus contenidos en disquetes, introducidos desde de la red, incluidos en los archivos que se anexan a los mensajes de correo electrónico o cargados a la memoria. VShield se inicia cuando se arranca su computadora y permanece residente en memoria hasta que la apaga. Incluye tambien tecnología que protege de los applets de Java y controles del ActiveX perjudiciales y que impide la conexión de la computadora a sitios de internet peligrosos. La protección mediante contraseñas de su configuración previene la introducción de modificaciones no autorizadas. UTILIZACION DE ASISTENTE DE CONFIGURACION DE VSHIELD Una vez instalado VirusScan y reiniciada la computadora, VShield se carga inmediatamente en la memoria y 16 comienza a funcionar con un conjunto de opciones predeterminadas que proporcionan una protección anti−virus básica. A menos que desactive VShield ó uno de sus módulos (o lo detenga completamente), nunca tendra que preocuparse de iniciar o planificar tareas para que les realice. Sin embargo, para garantizar un nivel de seguridad mas alto, debe configurar VShield para que funcione con el software cliente de correo electrónico y hacer que examine minuciosamente el tráfico de internet en busca de virus y software dañino. El asistente de configuración de VShield puede ayudarle a configurar muchas de estas opciones inmediatamente; luego podrá adaptar el programa para que funcione mejor en su entorno a medida que se familiarice con VShield y la susceptibilidad del sistema al software dañino. CÓMO ELEGIR EL MEJOR ANTI−VIRUS Debe ofrecer: • Máximo índice de detección y eliminación de virus avalado por las principales certificaciones internacionales. • Actualizaciones permanentes vía Internet y otros soportes. • Gestión centralizada y versiones específicas para todas las plataformas. • Alcance y capacidad para incorporar con rapidez todos los nuevos virus a nivel mundial. • Respaldo de un equipo de profesionales con experiencia que proporcione solución inmediata a los nuevos virus. VIRUS INFORMATICOS DEL 2003 Motivos para crear un virus. A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de computadora no ocurren en forma natural, cada uno debe ser programado. No existen virus benéficos. Algunas veces son escritos como una broma, quizá para irritar a la gente desplegando un mensaje humorístico. En estos casos, el virus no es mas que una molestia. Pero cuando un virus es malicioso y causa daño real, ¿quién sabe realmente la causa? ¿Aburrimiento? ¿Coraje? ¿Reto intelectual? Cualquiera que sea el motivo, los efectos pueden ser devastadores. Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su identificación. ¿Cómo Evitarlos? • Sospecha de los programas activos todo el tiempo (residentes en memoria). Los virus tienen la mala costumbre de quedarse en memoria para realizar sus fechorías. • Sospecha de cualquier programa gratuito (shareware, freeware; fotos, videos, rutinas, patchs) que bajes de Internet. Los fabricantes de virus colocan frecuentemente en estos sus nocivos productos. • Obtén una lista de los virus mas comunes y verifica contra esta lista cualquier programa nuevo que tengas. • Fíjate en el tamaño de los archivos del sistema [COMMAND.COM principalmente]. Sospecha si es diferente del original. • Haz una copia de la Tabla de Localidades para Archivo [File Allocation Table] y CMOS si te es posible. Te ahorrará mucho tiempo, dinero y esfuerzo el copiarla de nuevo si algún virus la dañó. • Al estar buscando un virus, y si tienes disco duro, bloquea el acceso a este temporalmente. • Actualiza mensualmente tu AntiVirus. Si no lo tienes puedes conseguir una copia gratuita en: Symantec Corp., Network Associates Inc., Command Software Systems, Inc., Aladdin Knowledge Systems, Data Fellows, Norman Data Defense Systems, Panda Software International, Sophos Inc., entre otros. 17