Yo virus y vacunas inform+íticas henry 2
-
Upload
henryacaroc -
Category
Education
-
view
209 -
download
1
Transcript of Yo virus y vacunas inform+íticas henry 2
HENRY ANTONIO CARO
VIRUS Y VACUNAS INFORMATICAS
QUE ES UN VIRUSMODOS DE INFECCION DE LOS VIRUSMEDIOS DE ENTRADA QUE LOS VIRUS UTILIZAN PARA
INFECTAR LAS COMPUTADORASTIPOS DE VIRUSANTIVIRUSPREVENIR Y ELIMINAR VIRUS INFORMATICOSCARACTERISTICAS QUE DEBE TENER UN ANTIVIRUSTIPOS DE ANTIVIRUSOTROS ANTIVIRUSCONCLUSIONESBIBLIOGRAFIA
CONTENIDO
Los Virus informáticos son programas de ordenador quese reproducen a sí mismos e interfieren conel hardware de una computadora o con su sistemaoperativo (el software básico que controla lacomputadora). Los virus están diseñados parareproducirse y evitar su detección. Como cualquier otroprograma informático, un virus debe ser ejecutado paraque funcione: es decir, el ordenador debe cargar el virusdesde la memoria del ordenador y seguir susinstrucciones. Estas instrucciones se conocen como cargaactiva del virus. La carga activa puede trastornar omodificar archivos de datos, presentar un determinadomensaje o provocar fallos en el sistema operativo.
QUE ES UN VIRUS?
SEGURIDAD EN INFORMÁTICA
Ordenar los archivos personales
Establecer directorios lógicos que permitan una rápida búsqueda de nuestros archivos
De ser posible (si contamos con mas de un disco rígido o el disco esta particionado en mas de una unidad lógica) separar físicamente los archivos de datos de los archivos de programas.
Hacer copias de seguridad en forma periódica (backup)
PROTEGER LOS ARCHIVOS PERSONALESEN NUESTRA COMPUTADORA
Discos 3 ½
CD-Room
Zip Driver
Discos rígidos transportables (carry disk)
Memoria flash
MEDIOS DE ALMACENAR INFORMACION
Vulnerabilidad de los sistemas operativos, navegadores y
programas de mail
Proteger nuestra computadoradel ingreso de intrusos
Actualizar periodicamente el sistema operativo y los programas mas frecuentes que utilizamos en Internet
Configurar adecuadamente los programas que utilizamos para navegar por Internet
No ingresar a sitios desconocidos o dudosos y menos bajar programas de dichos sitios
Instalar programas o dispositivos “cortafuegos” (firewall)
Utilizar contraseñas “robustas” y cambiarlas periódicamente
Mantengase informado sobre virus, gusanos y troyanos (novedades, nuevos virus, como operan, alertas, anuncios críticos, etc.) en sitios serios.
Cómo defendernos?
Virus: Programa que se transmite de una computadora a otra, que puede afectar archivos, autoreplicarse y propagarse a otras computadoras. Este tipo de programas pueden actuar de diversas maneras como son:
a) Solamente advertir al usuario de su presencia, sin causar daño aparente.
b) Tratar de pasar desapercibidos para causar el mayor daño posible.
c) Adueñarse de las funciones principales (infectar los archivos de sistema).
VIRUS INFORMÁTICO
TODOSLOSVIRUSCREANEFECTOSPERNICIOSOS,ACONTINUACIONPRESENTAMOSLOSTIPOSDEVIRUS:
•CABALLOS DE TROYA•VIRUSDEMACROS•BOMBASDETIEMPO•VIRUSBOOT•VIRUSFALSOSOHOAX•VIRUSMULTIPLES•GUSANOS•VIRUSDESOBREESCRITURA•VIRUSDEPROGRAMA•VIRUSDEENLACEODIRECTORIO•VIRUSMUTANTESOPOLIFORMICOS
TIPOS DE VIRUS
ES UN PROGRAMA DAÑINO QUE SEOCULTA EN OTRO PROGRAMALEGÍTIMO, Y QUE PRODUCE SUSEFECTOS PERNICIOSOS ALEJECUTARSE, NO ES CAPAZ DEINFECTAR OTROS ARCHIVOS OSOPORTES Y SÓLO SE EJECUTA UNAVEZ, AUNQUE ES SUFICIENTE EN LAMAYORÍA DE LAS OCASIONES PARACAUSAR SUEFECTO DESTRUCTIVO.
CABALLO DE TROYA
ES UN PROGRAMA CUYA ÚNICA FINALIDAD ES LADE IR CONSUMIENDO LA MEMORIA DELSISTEMA, SE COPIA A SI MISMOSUCESIVAMENTE, HASTA QUE DESBORDA LARAM, SIENDO ÉSTA SU ÚNICA ACCIÓN MALIGNA.
GUSANO O WORM
INFECTAN DOCUMENTOS WORD YHOJAS DE CALCULO EXCEL, SOLO SEPUEDE INFECTAR O PROPAGARSE ATRAVES DE ARCHIVOS . EXELCOM, TIENE CAPACIDAD DE INFECTARY AUTOCOPIARSE EN UN MISMOSISTEMA O A OTROS SISTEMAS O ENUNIDADES DE RED QUE ESTENCONECTADAS
VIRUS DE MACROS
SOBRESCRIBEN Y DESTRUYEN LAINFORMACION DE LOS DOCUMENTOS ALOS QUE INFECTA DEJANDOLOSINSERVIBLES, PUEDE ELIMINARSELIMPIANDO EL CONTENIDO DONDE SEENCUENTRA SOLO QUE ESTE SE PIERDE.
VIRUS DE SOBREESCRITURA
SON LOS PROGRAMAS OCULTOS EN LA MEMORIADEL SISTEMA, EN LOS DISCOS O EN LOS ARCHIVOSDE PROGRAMAS EJECUTABLES CON TIPO COM OEXE, QUE ESPERAN UNA FECHA O UNA HORADETERMINADA PARA "EXPLOTAR". ALGUNOS DEESTOS VIRUS NO SON DESTRUCTIVOS Y SOLOEXHIBEN MENSAJES EN LAS PANTALLAS ALMOMENTO DE LA "EXPLOSIÓN". LLEGADO ELMOMENTO, SE ACTIVAN CUANDO SE EJECUTA ELPROGRAMA QUE LOS CONTIENE.
BOMBAS DE TIEMPO
COMÚNMENTE INFECTAN ARCHIVOSCON EXTENSIONES.EXE, .COM, .OVL, .DRV, .BIN, .DLL, Y.SYS., LOS DOS PRIMEROS SONATACADOS MÁS FRECUENTEMENTEPORQUE SE UTILIZAN MAS.
VIRUS DE PROGRAMA
CORROMPEN EL SISTEMA DE ARRANQUEDEL DISCO DURO E IMPIDEN SU PUESTAEN FUNCIONAMIENTO, PARAELIMINARLOS SE DEBE HACER USO DE UNCD DE ARRANQUE, ESTOS VIRUS NOINFECTAN HASTA QUE SE PONGA ENMARCHA EL ORDENADOR CON UN DISCOINFECTADO
VIRUS BOOT
MODIFICAN LAS DIRECCIONES QUEPERMITEN, A NIVEL INTERNO, ACCEDERA CADA UNO DE LOS ARCHIVOSEXISTENTES, Y COMO CONSECUENCIANO ES POSIBLE LOCALIZARLOS YTRABAJAR CON ELLOS.
VIRUS DE ENLACE O DIRECTORIO
EN REALIDAD NO SON VIRUS, SINOCADENAS DE MENSAJES DISTRIBUÍDASA TRAVÉS DEL CORREO ELECTRÓNICOY LAS REDES. ESTOS MENSAJESNORMALMENTE INFORMAN ACERCA DEPELIGROS DE INFECCIÓN DE VIRUS, LOSCUALES MAYORMENTE SON FALSOS YCUYO ÚNICO OBJETIVO ESSOBRECARGAR EL FLUJO DEINFORMACIÓN A TRAVÉS DE LAS REDESY EL CORREO ELECTRÓNICO DE TODOEL MUNDO.
VIRUS FALSO O HOAX
CADA VEZ QUE ACTUA LO HACE DE FORMA DISTINTA, GENERANDO GRAN CANTIDAD DE COPIAS DE SI MISMO POR LO QUE ES MUY DIFICIL DETECTARLO Y ELIMINARLO.
VIRUS MUTANTE O POLIFORMICOS
SON VIRUS QUE INFECTAN ARCHIVOSEJECUTABLES Y SECTORES DE BOOTEOSIMULTÁNEAMENTE, COMBINANDO ENELLOS LA ACCIÓN DE LOS VIRUS DEPROGRAMA Y DE LOS VIRUS DE SECTORDE ARRANQUE.
VIRUS MULTIPLES
ENGAÑAN A LOS SOFTWAREANTIVIRUS. ESENCIALMENTE, UN VIRUSDE ESTE TIPO CONSERVAINFORMACIÓN SOBRE LOS ARCHIVOSQUE HA INFECTADO Y DESPUÉS ESPERAEN MEMORIA E INTERCEPTACUALQUIER PROGRAMA ANTIVIRUSQUE BUSQUE ARCHIVOS MODIFICADOSY LE OFRECE LA INFORMACIÓNANTIGUA EN LUGAR DE LA NUEVA.
VIRUS STEALTH O INVISIBLES
◦ Troyano: Como el Caballo de Troya, realiza una tarea útil y aparentemente inofensiva mientras está realizando otra diferente y dañina. El creador del programa puede acceder al interior del sistema en el que se introduce de manera subrepticia.
◦ Gusano: programa que se autoduplica sin infectar a otrosarchivos, incrementando su número hasta llegar a saturar la memoria del equipo. En contraste con los virus, los gusanos suelen estar especialmente escritos para redes (Intranet, Internet).
Virus de archivo: Virus que infectan archivos
Virus de sector de arranque maestro: Infectan al sector de arranque de los disquetes o discos duros
Virus mixtos: Combinación de los anteriores
Virus de macros: Afectan las macros de programas como Word, Excel, etc.
Retrovirus: Infectan programas antivirales que le permiten evitar su detección y deshabilitar o dañar determinados antivirus
Algunos conceptos útiles
Virus de sobreescritura: Sobreescriben el contenido de archivos ejecutables con su propio código fuente
Exploit: aplicación diseñada para romper un programa o acceder ilegalmente a ordenadores, aprovechando un fallode seguridad -una vunerabilidad- existente en un determinado protocolo de comunicaciones, sistema operativo, o herramienta informática.
Dropper (cuenta gotas): Archivo que cuando se ejecuta “gotea”o libera un virus. Tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse.
Peer-to-Peer -- P2P ( entre pares,entre colegas,entre iguales ) Comunicación bilateral exclusiva entre dos personas a través de Internet para el intercambio de información en general y de ficheros en particular. Napster es un ejemplo de aplicación con este fin.
Algunos conceptos útiles
Pérdida de datos
Pérdida de tiempo
Daños a terceros
1999: Melissa originó pérdidas por más de 80 millones de dólares
2000: I Love You, pérdidas por más de 15 mil millones de dólares.
Disquettes (80’s a mediados de 90’s)
Internet (2da mitad de 90’s hasta la actualidad)
◦ Web (sitios inseguros)
◦ P2P - Peer to peer (Kazaa)
◦ Chat
1991: Michelangelo, originado en Asia llegó a América en dos años
2001: Kournikova se propagó en dos horas a todo el mundo por medio del email.
2004: Sasser, descubierto el 1/5/04 afectó millones de máquinas en 48 hs.
Se emplea por los crackers para engañar a los usuarios
No se emplea ningún programa de software o elemento de hardware, sólo grandes dosis de ingenio, sutileza y persuasión para así lograr datos del usuario y/o dañar su sistema y propagarse rápidamente
Emplea como señuelos mensajes o ficheros con explícitas referencias eróticas
Alude a personajes famosos (“Anna Kournikova”)
Se sirve de "ganchos" vinculados a las relaciones amorosas:
◦ "LOVE-LETTER-FOR-YOU.TXT"
"LOVE-LETTER-FOR-YOU.TXT.VBS"
Panda Software
.scr .exe .pif .bat .reg .dll .vbs .scr .lnk .bmp
.zip .rar .arc pueden tener virus en su interior
Pueden tener dobles extensiones (la primera “inocente” y la segunda “culpable”):
◦ LOVE-LETTER-FOR-YOU.TXT.VBSContent-Type: application/x-msdownload; name="Glucemias con y sin LANTUS.xls.scr“Content-Transfer-Encoding: base64Content-Disposition: attachment; filename="Glucemias con y sin LANTUS.xls.scr"
Utilizar un programa antivirus
◦ actualizado en forma semanal,
◦ residente en memoria (“centinela”),
◦ configurado para analizar archivos comprimidos, emails y texto plano,
Analizar semanalmente todo el equipo
Configurar un segundo programa antivirus
Utilizar un programa “filtro” tipo MailWasher
En conexiones continuas o prolongadas, utilizar un firewall
Desactivar la “vista previa” del correo electrónico
Demarcar la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
Marcar la opción "Mostrar todos los archivos y carpetas ocultos”*
Recomendaciones en archivos adjuntos:
◦ Tradicional: nunca abrir archivos adjuntos que envía un desconocido
◦ Actual: no abrir archivos adjuntos que no hayan sido anunciados y, ante la duda, consultar con el remitente
◦ De cualquier manera, no abrir adjuntos sin antes analizarlos por lo menos con dos antivirus (a veces lo que uno no detecta, lo hace el otro) y verificar la existencia de doble extensión
Estar atentos a Alertas de sitios serios; instalar “parches” de seguridad:
En directorios y archivos:
◦ La cantidad de espacio disponible es cada vez menor.
◦ Aumento de tamaño de archivos
◦ Algunos archivos desaparecen del disco (borrados).
◦ El directorio muestra archivos desconocidos por el usuario.
◦ Los archivos son sustituidos por caracteres ilegibles.
◦ Alteración en la indicación de la hora de un archivo. *
En la ejecución de aplicaciones:
◦ Los programas tardan mas tiempo en cargarse o no son operativos.
◦ Algunas aplicaciones trabajan mas lentamente que lo normal.
◦ Al abrir un archivo aparecen errores que antes no existían.
◦ Al solicitar la apertura de un archivo aparecen en el menú drivers que no están instalados. *
Funcionamiento del sistema:◦ Rendimiento del sistema reducido.◦ La cantidad de memoria disponible cambia o disminuye
continuamente.◦ Arranque incompleto del sistema o fallo en el arranque.◦ Escrituras inesperadas en una unidad.◦ Mensajes de error extraños o no estándar.◦ Actividad de pantalla no estándar
(animaciones, etc.), fluctuaciones de pantalla.◦ Sectores erróneos en disquetes y en discos duros.◦ Cualquier operación extraña que su computadora no
realizaba antes y que de un momento a otro comienza a ejecutar.
◦ Otros errores no justificados (ej. en la FAT, direccionador de archivos).
El gusano Sasser explota un fallo en el componente Local Security Authority Subsystem Service (LSASS) de Windows. Esta vulnerabilidad solo afecta a equipos con Windows XP y 2000 que no tengan instalado el parche que Microsoft había publicado y anunciado hacía ya bastantes días (13 de abril).
Los equipos infectados se reinician constantemente cada 60 segundos, las tareas de limpieza, incluida la descarga de antivirus, herramientas y parches de Microsoft, pueden verse dificultadas. Esto ha causado grandes estragos en la banca y otras actividades críticas.
Algunos ejemplos:Sasser (en sus 6 versiones
gusano de Internet
Enciclopedia virus
Aparecen en pantalla alguno de estos mensajes o similares:
Apagar el sistemaSe está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT AUTORITHY\SYSTEM
Tiempo restante para el apagado: xx:xx:xx
El proceso del sistema C:\WINNT\system32\lsass.exe terminó se forma inesperada indicando código 0 Windows debe reiniciar ahora.
Enciclopedia virus
•La aparición de la tres ultimas variantes del gusano (Sasser.D, E, F), puede significar un aumento notorio en su propagación. Mientras las versiones A, B y C no pueden ejecutarse correctamente en equipos con Windows 95, 98 y Me, la D, E y F si puede hacerlo, aunque no los infecta.
•La simple posibilidad de que el gusano corra en esos sistemas, permite que aumente su rango de propagación, ya que cada vez que se ejecuta, puede rastrear miles de máquinas vulnerables a las que luego se podrá copiar. La versión D es capaz de rastrear más de 200 direcciones IP por segundo, en busca de equipos vulnerables.
Enciclopedia virus
•Reportado el 16 de mayo de 2004, Bobax es un gusano del tipo Sasser, que utiliza la vulnerabilidad en el componente LSASS.EXE de Windows XP y 2000 para propagarse.
•El gusano escanea direcciones IP al azar en busca de computadoras vulnerables. Son afectadas todas aquellas que no tengan instalado el parche correspondiente (ver "MS04-011 Actualización crítica de Windows (835732)",
Bobax (variantes A, B y C)gusano de Internet
Enciclopedia virus
•Cuando el gusano infecta un equipo remoto, el exploit utiliza comandos HTTP enviados al puerto TCP/445 para descargar el gusano propiamente dicho de un servidor web instalado por el propio gusano en la máquina actualmente infectada, que permanece escuchando en un puerto aleatorio.
•Los datos son descargados en un archivo "dropper" llamado SVC.EXE. Este archivo libera el cuerpo principal del gusano (un .DLL) en un directorio temporal con un nombre al azar. Debido a que el gusano se ejecuta como un hilo de ejecución del propio Explorer, el mismo no es visible como un proceso separado.
Enciclopedia virus
Kaspersky Labs informó la aparición de un nuevo troyano que se vale de archivos de imágenes BMP para infectar a los usuarios.El troyano habría sido enviado a una gran cantidad de usuarios, por medio del envío masivo de un mensaje no solicitado (spam), conteniendo una aparentemente inofensiva imagen en formato BMP.
El nuevo troyano puede infectar al usuario cuando éste pretende visualizar un gráfico en formato BMP.
Se vale de una vulnerabilidad en el Internet Explorer 5.0 y 5.5, la cual permite que un código malicioso sea activado al intentar visualizar un archivo BMP.
Agenttroyano
Enciclopedia virus
•Cuando un usuario abre el archivo BMP, el troyano se conecta de inmediato a un servidor remoto localizado en Libia, y descarga y ejecuta un segundo troyano llamado "Throd".
•"Throd" es un típico parásito del tipo spyware, que se copia en el registro del sistema de Windows y luego queda a la espera de las instrucciones de un usuario remoto.
Enciclopedia virus
Mensaje de correo electrónico no solicitado que publicita productos, servicios, sitios Web, etc.
Tipos de Spam:
◦ comercial, políticos, religiosos, de hostigamiento, propuestas de ganancias económicas mediante cartas en cadena (“envía dinero a la primera persona de la lista, borra el nombre y pon el tuyo en su lugar, reenvía este mensaje a otras personas y te sorprenderás de la respuesta“), etc., etc.
Remitente falso. Spam que engañosamente simula ser enviado por una persona u organización. *
Enviar un mensaje solicitando la baja de la "supuesta" lista: al responder se “blanquea” nuestra dirección.
Enviar quejas a direcciones que no estemos seguros de que son las que realmente han distribuido el mensaje.
Tratar con violencia al spammer: aparte de “blanquear” nuestra dirección, lo alienta a continuar.
Distribuir el mensaje a otras personas o listas.
Poner filtros en los programas de correo electrónico para borrar automáticamente el spam: se pueden perder mensajes que no sean Spam y lo spammers cambian periodicamente sus textos (Her bal V1agra" and ways to make "F*A*S*T C*A*S*H”) *
http://www.fac.org.ar/scvc/help/virus/viresp.htm#Spam
Criterio para filtrado y borrado automático:
Asunto: viagra
Falsos positivos: (lo toma como span y lo borra)
Asunto: [Pharma-PCVC]Uso de viagra en enfermos cardiópatas
Falso negativo: (lo da como valedero y no lo borra)
Asunto: Venta de v.i.a.g.r.a. sin receta
Investigar la dirección del emisor o del responsable de la máquina o del dominio que ha permitido la difusión de dicho mensaje.
Disponer de dos mensajes tipo en castellano y en inglés, para utilizarlos en una denuncia o queja.
¿Cómo localizar las direcciones a las que hay que enviar el mensaje de queja?: identificar los dominios implicados en la distribución del mensaje recibido y localizar las direcciones de los responsables que por defecto suelen estar en:◦ * [email protected]◦ * [email protected] (donde xx corresponde
a .es, .com, .net, etc.) *
Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico:
◦ Alerta, avise a todos sus conocidos!
◦ Urgenteeeeee!!! no lo borres, es muy importante !!!
◦ Salvemos a Brian, que padece una enfermedad incurable (rara dolencia que le impide crecer, pues desde hace cinco años mantiene la misma edad)
◦ Microsoft acaba de enviarme este aviso!
◦ Soy Madam Yogurto´ngue, viuda del General....
Hay que borrarlos y no hay que reenviarlos ni responderlos
Hoax
Algunas caracteristicas de los hoax:Lenguaje que impresiona técnico (...el procesador de la computadora sera colocado en un bucle binario de enésima complejidad que puede dañarlo gravemente...)
Apelan a la sensibilidad y solidaridad de la gente (...necesitamos juntar 240 dadores de sangre para un científico reconocido mundialmente, afectado de una rara enfermedad...)
Utilizan la “credibilidad por asociación” (...este mensaje es una advertencia de la FCC – Federal Communication Comission...)
1. Instalar y configurar el programa MailWasher (se
obtiene en http://www.mailwasher.net )
2. Conectarse al proveedor de Internet
3. Abrir el programa MailWasher para filtrar los
mails, eliminando aquellos mensajes tipo spam,
mensajes no deseados y mensajes sospechosos
de contener virus.
4. Abrir el programa de correo (verificar que no este
habilitada la opción “Enviar y recibir mensajes al
inicio”
Spyware: programas que se instalan habitualmente sin advertir al usuarioSe ejecutan en segundo plano al conectarse a InternetMonitorean la actividad del usuario (“Big brother”) y envían la información a sus creadores:
◦ configuración del hardware y software instalado antiviruslibreta de direccionescontraseñas
◦ hábitos y costumbres (lectura del teclado)
◦ sitios adonde accede el usuario
Adware: se instala en forma similar al Spyware.Permite visualizar anuncios publicitarios y obtiene datos del usuario. *
Proteger nuestro datos confidencialesen computadoras compartidas
Reglas básicas cuando trabajamos en computadoras ajenas:
No efectuar operaciones delicadas como bancarias o comerciales
En Hotmail, tildar la opción “No recordar mi dirección de correo electrónico en futuros inicios de sesión”
En Hotmail, No elegir la opción “Iniciar sesión automáticamente”
En Yahoo no tildar la opción “Recordar mi identidad en esta computadora”
En Yahoo, Seleccionar el modo seguro de envio de datos ( en Hotmail esto es automático)
Cerrar totalmente la sesión de correo (En hotmail seleccionar “Cerrar sesión”y en Yahoo “Salir” y luego “Salir por completo de Yahoo”)
Al iniciar una sesión de chat, no seleccionar “Recordar mi nombre y contraseña en este equipo”
Asegurarse de seleccionar la opción “Cerrar sesión” al finalizar dado que con solo cerrar la ventana, la sesión continúa abierta.
Eliminar todos los archivos que se bajan al finalizar la sesión.
GRACIASHENRY ANTONIO CARO CARO
CODIGO 201211708
OBRAS CIVILES 1 SEMESTRE