Acciones, Sintomas y Mecanismos de Defensa

ACCIONES DE UN VIRUS Y MEDIOS DE LLEGADA EL SISTEMA
Las acciones que lleva a cabo el virus informático son las siguientes: 

·         Unirse a un programa instalado en el ordenador permitiendo su reproducción.
·         Mostrar en la pantalla mensajes o imágenes humorísticas, las cuales resultan  generalmente molestas.
·         Provocan que cualquier actividad que se pretenda llevar a cabo en la computadora sea lenta y en algunas ocasiones también logran bloquear las acciones que se estén llevando a cabo en la misma.
·         Destruyen información almacenada en el disco duro o en la memoria RAM, las cuales son vitales para el sistema lo que ocasiona que deje de funcionar el equipo.
·         Provocan la reducción el espacio en el disco.

·         Logran llevar a cabo acciones molestas para el usuario en la que se incluyen abrir y cerrar ventanas  o mover el mouse.
Un virus puede llegar a nuestro ordenador de varias maneras ya sea a través de un disco (disquete, CD-ROM, DVD, Tape Backup), o bien a través de la red (principalmente Internet). Los que nos llegan por Internet, sin embargo, tienen un mayor potencial de contagio a otros usuarios, ya que algunos pueden auto enviarse a todas las direcciones de nuestra agenda, por ejemplo.
Una vez en nuestro PC, lo primero que hace un virus es autocopiarse en él. Muchas veces no solo se copia en un sitio, sino que se reparte en diversas carpetas con el fin de sobrevivir el mayor tiempo posible en nuestro sistema.
Una vez "seguro", generalmente escribirá en el registro de Windows (que es el archivo donde está contenida toda la información de nuestro sistema, tanto de software como de hardware, y que el ordenador lee cada vez que se inicia). ¿Y por qué hace esto? Muy sencillo: de esta forma, cuando volvamos a encender el ordenador, tomará el control de nuestro sistema, generalmente sin que nos demos cuenta al principio, y actuará según le interese: borrando información, mostrando mensajes, etc.
Otra manera de actuar es la de sobrescribir el sector de arranque de nuestro disco duro. El resultado viene a ser el mismo que el mencionado anteriormente, aunque también es posible que de esta forma nuestro PC ni siquiera arranque, con lo cual el formateo será prácticamente necesario. Por supuesto, si tenemos datos importantes que recuperar tenemos la solución de arrancar con un disco de inicio, e intentar una recuperación manual.
Los más peligrosos actúan sobre la CMOS de nuestra placa base (motherboard), sobrescribiéndola. La CMOS controla nuestra BIOS: datos del reloj, de nuestras unidades, periféricos, entro otros. En estos casos es frecuente, incluso, el tener que cambiar la placa base.


SÍNTOMAS DE INFECCIÓN DE VIRUS

Los síntomas de un virus en estado latente son cuatro:


·         Aumento de bits en los archivos ocupados por el virus.
·         Cambio de fecha, sin razón alguna, en archivos.
·         Aparición de archivos sin motivo aparente.
·         Desaparición de un archivo borrado por algún virus para ocupar su lugar.

Los síntomas de algún virus en estado activo son seis:



·         Se incrementa la ocupación de la memoria.
·         Se reduce la velocidad de respuesta de los programas.
·         Un programa en funcionamiento se detiene de pronto y después vuelve a funcionar en aparente normalidad.
·         En la pantalla aparecen objetos raros no observados antes, algunas veces se presentan figuras, desaparecen letras en los textos, aparecen mensajes ofensivos y sonido burlones.
·         Programas que antes funcionaban bien dejan de funcionar.

·         Los archivos se alteran y borran fuera del control del usuario.

En términos más amplios podemos señalar a continuación mas síntomas del virus informático.

a) La velocidad de procesamiento y el rendimiento del equipo se vuelve lenta.
b) Algunos programas no pueden ser ejecutados, principalmente los archivos COM o los EXE de menor extensión, posiblemente también los macro virus, una vez que hayan cumplido con su efecto reproductor o dañino. El COMMAND.COM es infectado en primer lugar, pero como la función del virus es la de seguir infectando, éste continúa operando. Los archivos ejecutables siguen existiendo pero sus cabeceras ya han sido averiadas y en la mayoría de los casos, su extensión se ha incrementado en un determinado número de bytes.
c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus malogró el COMMAND.COM y se muestra este mensaje: "bad or missing command interpreter".
d) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus malogró la Tabla de Particiones o el Master Boot Record y se muestra este mensaje: "invalid drive especification".
e) Los archivos ejecutables de los gestores de bases de datos como: BASE, Clipper, FoxPro, etc. están operativos, sin embargo las estructuras de sus archivos DBF están averiadas. Lo mismo puede ocurrir con las hojas de cálculo como: Lotus 1-2-3, Q-Pro, Excel, etc., o con el procesador de textos MS-Word, hojas de cálculo de MS-Excel o base de datos de MS-Access (macro virus).
Cuando las computadoras están infectadas con
virus, presentan comportamientos extraños

f) La configuración (set-up) del sistema ha sido alterado y es imposible reprogramarlo. Virus como: ExeBug, CMOS-Killer o Anti-CMOS producen un bloqueo en la memoria conexa de 64 bytes del CMOS.
g) El sistema empieza a "congelarse". Puede tratarse de un virus con instrucciones de provocar "reseteos" aleatorios a los archivos del sistema, tales como: el COMMAND.COM, los "hidden files" o el CONFIG.SYS que han sido infectados.
h) Ciertos periféricos tales como: la impresora, módem, tarjeta de sonido, etc., no funcionan o tienen un raro comportamiento. Se trata de un virus que reprograma el chip "PPI" (Programmable Peripheral Interfase).
i) La pantalla muestra símbolos ASCII muy raros comúnmente conocidos como "basura", se escuchan sonidos intermitentes, se producen bloqueos de ciertas teclas o se activan los leds de los drives.
j) Las letras de los textos empiezan a caerse. Este es un efecto impresionante del virus alemán "CASCADA".
k) La memoria RAM decrece. El sistema se vuelve muy lento.

l) Los archivos de documento .DOC o las macros empiezan a corromperse y no funcionan.

MECANISMOS DE DEFENSA

Numerosos ejemplos de software malintencionado utilizan algún tipo de mecanismo de defensa para reducir la probabilidad de ser detectados y eliminados. Algunos ejemplos de las técnicas empleadas son:
ARMADURA
Este tipo de mecanismo de defensa emplea técnicas que intentan impedir el análisis del código malintencionado, por ejemplo, detectar cuándo se ejecuta un depurador e intentar evitar que funcione correctamente, o agregar grandes cantidades de código sin sentido para ocultar el objetivo del código malintencionado.
OCULTACIÓN.
El software malintencionado utiliza esta técnica para ocultarse mediante la interceptación de solicitudes de información y la devolución de datos falsos. Por ejemplo, un virus puede almacenar una imagen del sector de inicio no infectado y mostrarla cuando se intente visualizar el sector de inicio afectado. El virus informático más antiguo conocido, denominado “Brain”, utilizó esta técnica en 1986.
CIFRADO.
El software malintencionado que utiliza este mecanismo de defensa realiza un cifrado de sí mismo o de la carga (y en ocasiones incluso de otros datos del sistema) para evitar la detección o la recuperación de datos. El software malintencionado cifrado contiene una rutina de descifrado estática, una clave de cifrado y el código malintencionado cifrado (que incluye una rutina de cifrado). Cuando se ejecuta, utiliza la rutina de descifrado y la clave para descifrar el código malintencionado. A continuación, crea una copia del código y genera una nueva clave de cifrado. Emplea esa clave y la rutina de cifrado para cifrar la copia nueva de sí mismo, agregando la clave nueva con la rutina de descifrado al inicio de la copia nueva. A diferencia de los virus polimórficos, el software malintencionado de cifrado utiliza siempre las mismas rutinas de descifrado, así que aunque el valor de la clave (y, por tanto, la firma de los códigos malintencionados cifrados) generalmente cambia de una infección a otra, los programas antivirus pueden buscar la rutina de descifrado estática para detectar el software malintencionado que utiliza este mecanismo de defensa.

SOFTWARE MALINTENCIONADO OLIGOMÓRFICO. 
Se trata de software que utiliza el cifrado como mecanismo para defenderse y puede cambiar la rutina de cifrado únicamente un número determinado de veces (generalmente una cantidad reducida). Por ejemplo, un virus que puede generar dos rutinas de descifrado diferentes se clasificaría como oligomórfico.

SOFTWARE MALINTENCIONADO POLIMÓRFICO.

Utiliza el cifrado como mecanismo de defensa para cambiarse con el fin de evitar ser detectado, generalmente mediante el cifrado del propio software malintencionado con una rutina de cifrado para, a continuación, proporcionar una clave de descifrado diferente para cada mutación. De este modo, el software malintencionado polimórfico utiliza un número ilimitado de rutinas de cifrado para evitar la detección. Cuando el software se replica, una parte del código de descifrado se modifica. En función del tipo específico de código, la carga u otras acciones llevadas a cabo pueden utilizar o no el cifrado. Generalmente existe un motor de mutación, que es un componente incorporado del código malintencionado de cifrado que genera rutinas de cifrado aleatorias. Este motor y el software malintencionado quedan cifrados y la nueva clave de descifrado se pasa con ellos.

A continuación te presentamos un vídeo interesante que puede servirte para protegerte de los virus.



No hay comentarios:

Publicar un comentario

BIENVENIDOS A ESTE ESPACIO DEDICADO A CONOCER ACERCA DE LOS VIRUS INFORMATICO

Suscribirse a: Entradas (Atom)