 |
|
|
 |
| |
Información sobre virus
|
|
|
 |
 |
Definición
de Virus
Un virus informático, por definición, es un
pequeño programa (o código) capaz de autoreproducirse
. Sin embargo, algunos virus modernos también incluyen
algo que los torna peligrosos: rutinas dañinas, también
conocidas como bombas. La rutina dañina es la parte
del virus que puede dificultarle la vida al usuario. Esta
puede formatear su disco rígido, dañar la FAT
o destruir la Tabla de Partición del disco. También
puede bloquear su sistema o crear algunos "efectos especiales"
que a veces son interesantes de observar (como letras que
caen de la pantalla). Recuperarse después de un ataque
virósico no es una tarea trivial. Es realmente trabajoso,
costoso y consume mucho tiempo.
Según un estudio hecho en 1994 por Dataquest, una
de las principales organizaciones encuestadoras en el área
de informática, el costo medio de recuperación
a un ataque de virus en una red es de US$15,000! Para empeorar
la situación, la misma encuesta demostró que
el 85% de las redes atacadas por virus vuelven a infectarse
en un plazo de no más de 30 días.
Los virus informáticos han estado entre nosotros por
muchos años, pero recién a fines de los '80
recibieron un reconocimiento general. Hoy en día, los
usuarios de computadoras reconocen a los virus informáticos
como una amenaza latente.
 |
|
|
|
Ciclo
de vida de un Virus
Los virus de computadoras así como los biológicos,
poseen ciclos de vida que aquí describimos:
Creación
Esta se produce cuando una persona con conocimiento de assembler
trabaja en su gestación por varias semanas y termina
creando un nuevo virus que se encuentra programado para reproducirse
rápidamente y hacer daño en algún momento
determinado especificado por el programador.
Gestación
Describe el proceso por el cual el virus se aloja en un sector
determinado con el propósito de futuras reproducciones.
Usualmente esto es hecho en un programa muy usado ubicándolo
luego en una BBS o distribuyendo copias a través de
la oficina, escuela, etc.
Reproducción
Los virus, por su propia naturaleza, se replican. Un virus
con un buen diseño se replicará por un largo
tiempo antes de que sea activado.
Activación
Los virus que poseen rutinas de destrucción de datos
se activarán cuando ciertas condiciones sean dadas.
Algunos virus se activan en una fecha determinada mientras
que otros poseen una especie de conteo regresivo interno de
tiempo. Pero, aunque ciertos virus no tengan rutinas de daño
(con lo cual sólo se reproducen), deben considerarse
igualmente destructivos, ya que toman recursos del sistema.
Descubrimiento
Esta fase del ciclo de vida del virus, no necesariamente tiene
porque producirse luego de la activación, pero usualmente
sucede de esta manera. Esto se produce cuando alguien da la
noticia de un nuevo virus. Usualmente, pasa a manos de la
NCSA (National Computer Security Association) en Washington
DC y es documentado y distribuido a diseñadores de
antivirus.
Asimilación
Luego del descubrimiento, los diseñadores de software
modifican sus productos para incluir la detección del
nuevo virus.
Erradicación
Si los suficientes diseñadores de antivirus son capaces
de detectarlo y limpiarlo así como los suficientes
usuarios adquieren el antivirus apropiado para combatirlo
el virus puede estar cerca de ser extinguido. A pesar de que,
ningún virus ha desaparecido por completo, algunos
han cesado por largo tiempo de aparecer en la comunidad informática.
|
|
|
|
Tipos
de metodologías Antivirus
Existen distintos tipos de métodos de detección,
protección y limpieza de virus informáticos.
• Rastreo
• Chequeo de Integridad
• Monitoreo de comportamiento
Rastreo
El rastreo de virus se basa en una lista de detección
y locación de virus conocidos. Esta lista de detección
llamada "pattern" es una única pieza de código
que identifica a un virus. Es el indicador y detector de un
virus en particular. Cuando un nuevo virus aparece, es extraído
del archivo infectado, analizado y actualizado a la lista
de detección. Luego el programa de rastreo se ejecuta
y comienza a efectuar una comparación entre los archivos
rastreados y una base de datos de reconocimiento de virus.
Si se encuentra una coincidencia, se considera que un archivo
se encuentra infectado. Si no son encontradas coincidencias
el rastreo es concluido y al archivo no se lo considera infectado.
Los rastreadores de calidad chequearán las áreas
de archivo y sectores de arranque. Una dificultad con los
rastreadores tradicionales de virus es que si un nuevo virus
no ha sido analizado infecta su computadora y no hay manera
de detectarlo. Por lo tanto, si un archivo infectado con un
nuevo virus no se encuentra dentro de la base de datos de
detección, el rastreador no será capaz de detectarlo.
Sin embargo, el rastreo, es un gran método para detectar
virus conocidos en archivos.
Chequeo de integridad
El chequeo de integridad depende de la habilidad y de la continuidad
de monitoreo y chequeo del estado de los ejecutables con respecto
a algunos cambios. Se debe primero ejecutar un "checksum"
para todos los ejecutables cada vez que un software es agregado
o el sistema es cambiado. El chequeador de integridad guarda
el estado de cada archivo de aplicación en el disco
rígido y luego chequea ese estado y ve si cambios fueron
hechos. Si se detecta un cambio, el chequeador de integridad
avisa de la existencia de un virus. El principal defecto de
los chequeadores de integridad es que no previenen de la acción,
esto significa que avisa que un cambio se produjo en la integridad
de un archivo, pero ya es tarde para efectuar una acción.
De hecho, los chequeadores de integridad no pueden identificar
la causa del cambio que se produjo en un momento. En conclusión
los chequeadores de integridad de archivos usados como herramienta
única no pueden ofrecer una protección de virus
efectiva.
Monitoreo del comportamiento
El monitoreo de comportamientos extraños producidos
por virus está usualmente acompañado de la instalación
de un programa residente en memoria. A este tipo de programas
se los denomina TSR (terminate-stay-resident) por una razón,
debe monitorear los pedidos que son pasados a las interrupciones
del DOS. Un comportamiento de virus se diferencia con respecto
a las otras aplicaciones por realizar determinadas operaciones
extrañas o anormales, éstas son denominadas
"actividad de virus". Esta actividad generalmente
requiere la escritura de un sector de arranque, abrir un archivo
ejecutable para escritura, o ubicarse en una posición
residente en memoria. Basados en determinados acciones comunes
correspondientes a virus una cierta cantidad de reglas deben
ser establecidas para discernir entre la actividad del virus
y las actividades normales de las aplicaciones. El monitoreo
basado en reglas es una muy efectiva manera de detectar todos
los virus conocidos como no conocidos. Esto impide la infección
de un archivo ejecutable, antes de que ésta se produzca
pudiendo, de esta manera, prevenir el daño. Por consiguiente,
se puede decir que este método es particularmente preventivo
de: Virus (tanto conocidos como no conocidos), Caballos de
Troya o Bombas lógicas.
|
|
|
|
Virus
en Internet
Introducción
Dentro de la tipificación de virus de archivo
se podría decir que, un virus informático, por
definición, es cualquier programa (o código)
que se reproduce incorporando una copia de sí mismo
en otro archivo. Un virus es particularmente peligroso si
no se posee una detección y protección contra
ellos. Es típico que los usuarios no sepan que sus
sistemas están siendo infectados hasta que ven resultados
que pueden ir de lo irrelevante hasta lo catastrófico.
Los virus tienen dos partes: una para producir daños
y otra para reproducirse. La rutina que tiene como objetivo
dañar afecta al sistema de varias maneras: formatea
una unidad, destruye la tabla de particiones o inutiliza al
mismo entre otras cosas.
La frecuencia de los virus informáticos y sus altos
costos han motivado el desarrollo y adopción de protecciones
de virus en los servidores de redes. De hecho actualmente
existen más de 10.000 virus en todo el mundo y de acuerdo
con encuestas realizadas, las infecciones en distintos países
oscilan entre el 35% y el 85% anual.
Los virus se presentan tanto en los sistemas Apple como en
las Pcs IBM compatibles. Sin embargo son más comunes
en los últimos ya que la arquitectura MS-DOS hace que
la programación de virus sea relativamente simple.
Limpiar un virus luego de la infección es costoso.
Dependiendo de la magnitud de la infección, se calcula
una incidencia en costos entre los 2.000 y los 500.000 dólares
estadounidenses por pérdidas de datos y de productividad.
Tipos de Virus
En la parte más básica, los virus se
pueden clasificar en dos tipos: los de archivo y los de arranque.
Los virus de archivo residen dentro de los archivos del tipo
.EXE o .COM. Estos toman el control del sistema cuando estos
son ejecutados, o agregan una copia de ellos en estos archivos.
Los virus de arranque residen en el sector del disco que es
cargado a memoria cuando el sistema se inicializa, cargándose
en memoria antes que todos los otros programas. Esto permite
al virus controlar las interrupciones del DOS y poder, de
esta manera, infectar discos flexibles que sean insertados
y leídos en la disketera.
Dentro de esta tipificación existe una sub-clasificación
de virus: los mutantes y los clandestinos "stealth".
Los primeros se encargan de cambiar su código cuando
migran de un archivo a otro con el fin de no ser reconocidos
por los rastreadores de virus comunes y así continuar
su infección. En cambio los clandestinos cuando se
cargan en memoria, toman el control del comportamiento del
sistema y muestran en pantalla datos que en realidad no son
verdaderos. Por ejemplo el virus XUXA 2.1 que no deja ver
la diferencia de tamaño del archivo infectado comparado
con el original al acceder a un directorio.
Recientemente, los virus de archivo sólo podían
infectar los del tipo .EXE y .COM, pero se ha detectado la
presencia de nuevos virus que atacan a los archivos de trabajo,
es decir, los generados por procesadores de textos como el
Word, o planillas de cálculo como Excel. Estos virus
evaden a gran cantidad de rastreadores y es muy común
verlos adosados en un archivo correspondiente a un e-mail.
Esto último hace que su distribución e infección
sea mucho más rápida y eficiente.
Entrando en Internet
Antes de la creciente popularidad de Internet, la distribución
e infección de virus en una computadora a otra era
más lenta. Por ejemplo, el virus Michelangelo apareció
en Asia en 1991, y no apareció en los Estados Unidos
hasta 2 años después. En Internet, un solo archivo
puede transmitir un virus desde San Pablo hasta Tokyo en sólo
un minuto y considerando que actualmente, el número
de archivos transmitidos por año en Internet se encuentra
en el orden del billón notamos la diferencia de tiempo
de reproducción de un virus actualmente comparado con
años anteriores.
Los virus nacidos en Internet generalmente no son interceptados
por los antivirus que se encuentran en el servidor a causa
de la conexión. Generalmente la conexión a Internet
no pasa por el servidor de la red interna a causa de una incompatibilidad
de protocolos y sistemas utilizados. Mientras que los típicos
servidores de red operan bajo Netware usando el protocolo
IPX, el 80% de los Gateways utilizados para Internet operan
bajo UNIX usando el protocolo TPC/IP.
Consulte las especificaciones del InterScan
VirusWall . Software diseñado especialmente
para servidores Internet/Intranet.
|
|
|
|
Capacidad
de detección de virus
Detección de virus conocidos
Cada virus contiene un único código
de identificación, pero diferentes tipos de virus pueden
hacer más fácil o difícil la tarea de
encontrarlo e identificarlo como un virus conocido dentro
del archivo. Tomando como un ejmplo al ServerProtect for NT
ofrece cinco tipos de métodos de rastreo para asegurar
una rápida y segura detección.
DeepScan - Alta velocidad de rastreo
Existen sólo ciertos lugares dentro del archivo donde
el código del virus se aloja. La tecnología
DeepScan de Trend sigue el flujo de ejecución del programa
para detectar e identificar el virus. Esta misma tecnología
detecta virus sin necesidad de rastrear el archivo por completo,
lo que provocaría un consumo elevado de tiempo. En
este proceso implica que el tamaño del archivo a rastrear
sea independiente a la velocidad del rastreo.
Softmice - Decodificación de virus polimórficos
Dado que el código de los virus polimórficos
está encriptado y dado que la apariencia del virus
va cambiando a medida que se reproduce, el método de
detección DeepScan no funcionará correctamente.
Por esto, ServerProtect for NT utiliza otra tecnología
llamada Softmice para la detección de este tipo de
virus. Esta tecnología crea una "PC virtual"
generando un nuevo ambiente en donde desencriptará
el virus para poder luego detectarlo e identificarlo sin problemas.
Wildcard Virus Scanner - detecta nuevas formas de
virus conocidos
Muchos creadores de virus generan nuevos virus a
partir de existentes modificando partes del código.
Estas modificaciones pueden engañar a los antivirus
tradicionales, ServerProtect incorpora dentro de su tecnología
de detección, Wildcard Virus Scanner, capaz de detectar
modificaciones e identificar al nuevo virus.
Compressed File Scanner - detecta virus en archivos
comprimidos
El motor de rastreo de ServerProtect NT incluye rutinas de
descompresión de archivos que le permite detectar virus
dentro de archivos comprimidos. ServerProtect NT reconoce
todos los formatos de compresión más utilizados.
Macro Scanner - detecta virus macro conocidos
Los virus macro se han popularizado rápidamente
en este último tiempo desde que el primero fue detectado
cerca de Agosto de 1995. El rastreador de virus macro de ServerProtect
está diseñado para detectar todos los virus
macro conocidos desde el servidor NT.
Detección de virus desconocidos
A parte de detectar virus conocidos, un rastreador eficiente
debe estar preparado para detectar la presencia de virus no
conocidos en el sistema. ServerProtect también incorpora
varios métodos de detección de virus no conocidos
para cumplir este objetivo.
Behavior Monitor - detecta virus desconocidos por
comportamiento
Por definición, un virus es un programa que
intenta reproducirse. Para llevar a cabo ese cometido debe
replicarse y hacer algunos cambios en el sistema sin el permiso
y el consentimiento del usuario. Analizando el sistema en
búsqueda de este tipo de comportamiento virósicos
es como ServerProtect puede reportar la detección de
un virus no conocido. De esta forma alerta al administrador
para efectuar una investigación más profunda.
Es importante señalar que estos comportamientos no
son generados por el funcionamiento normal de un programa,
sino por programas que incluyan código de virus.
Checksumming - protege los archivos de cambios no
esperados
ServerProtect for NT utiliza chequeos de integridad de archivos
CRC para detectar cambios no esperados en archivos ejecutables
del sistema. Esta tecnología combinada con la detección
de virus no conocidos por comportamiento, crea un seguro mecanismo
de protección.
MacroTrapTM - detecta virus macro no conocidos
Teniendo en cuenta la cantidad de virus macro que surgen día
a día es importante contar con mecanismos especiales
para detectar aquéllos que todavía no son conocidos
por los sistemas antivirus tradicionales. MacroTrap utiliza
una combinación de la tecnología OLE de Microsoft
con un sistema capaz de detectar virus macro no conocidos
por comportamiento. Esta tecnología funciona a partir
de la detección de cambios y el análisis de
macros en documentos de MS Word y planillas de cálculo
MS Excel generados por algún virus macro no conocido.
|
|
|
|
Tipos
de Virus
Virus de Archivo
También llamados infectores parásitos,
estos programas son generalmente, mas pequeños que
4Kb. Los virus de archivo "viven" como unos parásitos
dentro de un archivo .EXE or .COM . Cuando el programa es
ejecutado, el virus toma el control del sistema. Luego de
tomar el control, usualmente buscará otro archivo .EXE
o .COM y tratará de agregar una copia de sí
mismo en esos archivos. Cuando este "ataca" otro
archivo, puede también ubicarse al principio del código
del archivo "víctima" (ponerse antes del
archivo y agregar una instrucción de salto), agrangarse
(ponerse al final del archivo y agregar una instrucción
de salto al comienzo), o puede sobreescribir el código
del mismo insertándose entre el código del archivo
víctima. Por lo tanto, estos virus pueden expandirse
rápidamente sin que el usuario lo note en la ejecución
de sus programas. Así como la mayoría de los
virus los virus de Archivo observarán el sistema esperando
que una condición se cumpla. Esta condición
puede ser tamto la fecha del sistema como el número
de archivos en el disco, entre otras cosas. Cuando la condición
está dada, el virus comienza su rutina de daño
si es que la tiene.
Virus Polimórficos
Estos virus son también llamados "mutantes"
. Los virus polimórficos trabajan de la siguiente manera:
Se ocultan en un archivo y se cargan en memoria cuando el
archivo infectado es ejecutado. Pero a diferencia de hacer
una copia exacta de sí mismos cuando infectan otro
archivo, modifican esa copia para verse diferente cada vez
que infectan un nuevo archivo. Valiéndose de estos
"motores de mutación", los virus polimórficos
pueden generar miles de copias diferentes de sí mismos.
A causa de esto, los rastreadores convencionales han fallado
en la detección de los mismos. Ciertamente , cada rastreador
de virus creado antes de Enero de 1992 no será capaz
de detectar virus polimórficos. De hecho, la mayoría
de las herramientas de rastreo utilizadas actualmente todavía
no pueden detectar estos virus. La tecnología de Trend
es una de las pocas capaz de detectar en forma consistente
este tipo de virus. La tecnología de Trend puede detectar
virus polimórficos observando eventos característicos
que los mismos deben realizar para sobrevivir y expandirse.
Cualquier virus, sin importar sus características debe
hacer ciertas cosas para sobrevivir. Por ejemplo, debe infectar
otros archivos y residir en memoria. Los sistemas de monitoreo
de virus de Trend (como el PC-cillin) observan estos comportamientos.
Virus de arranque
Los virus de arranque (también llamados usualmente
de buteo) sólo pueden expandirse a través de
disquettes. Si usted está familiarizado con el DOS,
entonces sabrá que cada vez que el sistema se inicializa,
generalmente la unidad A será a la primera a la que
se pedirá acceso, y luego la unidad C. Si usted tiene
un disquete puesto en la unidad A, el sistema intentará
inicializar el DOS desde ese disquete. Los virus de buteo
"viven" en un sector de los discos que son cargados
en memoria en tiempo de arranque del sistema. Por lo tanto,
el virus de arranque se carga en memoria antes de que cualquier
programa lo haga. Esta es la respuesta del porque no se debe
arrancar el sistema con un disquete a menos que se esté
completamente seguro que está limpio de virus. Una
vez que el virus de buteo se carga en memoria, puede observar
las interrupciones que realiza el DOS y reinfectar más
disquetes así como son puestos y accedidos desde la
disquetera. Este tipo de virus son difíciles de descubrir,
aunque fáciles de detectar por los anti-virus tradicionales.
Virus "Stealth"
Los virus "Stealth" son variaciones de los virus
de archivo. Cabe ecordar que una forma simple de reconocer
la infección de un virus de archivo es comparando el
tamaño en bytes del archivo infectado con el limpio.
Los virus "Stealth" no muestran esta diferencia
de tamaño al usuario, guardando una copia de la información
del archivo en el disco. Recuerde que una vez que el virus
está residente en memoria puede hacer muchas cosas.
Por lo tanto, cada vez que se ejecute un "DIR" (con
el virus en memoria) se obtendrá una lista de los archivos
y sus tamaños antes de que se produjera la infección,
camuflando asi su presencia.
Virus "Macro"
El hecho de pensar que un virus pudiera atacar la valiosa
información de una empresa en forma directa, almacenada
en un vulnerable archivo de trabajo MS-Word o al esfuerzo
de varias horas representado en un archivo MS-Excel , hasta
ahora, no pasaba por la cabeza de los usuarios. Valiéndose
de las macros automáticas introducidas en dichos programas
y del hecho que éstas se ejecutan sin el consentimiento
del usuario, nace un nuevo concepto en virus informáticos,
los "Macro Virus". Los primeros que aparecieron
fueron los conocidos como Word.Npad y WinWord.Concept (este
último también conocido como MS-Word AAAZAO
y Prank). Actualmente, están apareciendo virus Macro
que no sólo se reproducen, sino que también
causan daño en los archivos de sistema, tal es el caso
de virus Tedius, un nuevo virus Macro que luego de infectar
la computadora y en un momento determinado elimina subdirectorios
y archivos de arranque del sistema dejando, de esta manera,
inutilizable al mismo.
|
|
| 
|
| |
|
|
