ACCIONES DE UN VIRUS Y MEDIOS DE LLEGADA EL SISTEMA
Las acciones que lleva a cabo el virus informático son las siguientes:
· Unirse a un programa instalado en el ordenador permitiendo su reproducción.
· Mostrar en la pantalla mensajes o imágenes humorísticas, las cuales resultan generalmente molestas.
· Provocan
que cualquier actividad que se pretenda llevar a cabo en la computadora
sea lenta y en algunas ocasiones también logran bloquear las acciones
que se estén llevando a cabo en la misma.
· Destruyen
información almacenada en el disco duro o en la memoria RAM, las cuales
son vitales para el sistema lo que ocasiona que deje de funcionar el
equipo.
· Provocan la reducción el espacio en el disco.
Un
virus puede llegar a nuestro ordenador de varias maneras ya sea a
través de un disco (disquete, CD-ROM, DVD, Tape Backup), o bien a través
de la red (principalmente Internet). Los que nos llegan por Internet,
sin embargo, tienen un mayor potencial de contagio a otros usuarios, ya
que algunos pueden auto enviarse a todas las direcciones de nuestra
agenda, por ejemplo.
Una
vez en nuestro PC, lo primero que hace un virus es autocopiarse en él.
Muchas veces no solo se copia en un sitio, sino que se reparte en
diversas carpetas con el fin de sobrevivir el mayor tiempo posible en
nuestro sistema.
Una
vez "seguro", generalmente escribirá en el registro de Windows (que es
el archivo donde está contenida toda la información de nuestro sistema,
tanto de software como de hardware, y que el ordenador lee cada vez que
se inicia). ¿Y por qué hace esto? Muy sencillo: de esta forma, cuando
volvamos a encender el ordenador, tomará el control de nuestro sistema,
generalmente sin que nos demos cuenta al principio, y actuará según le
interese: borrando información, mostrando mensajes, etc.
Otra
manera de actuar es la de sobrescribir el sector de arranque de nuestro
disco duro. El resultado viene a ser el mismo que el mencionado
anteriormente, aunque también es posible que de esta forma nuestro PC ni
siquiera arranque, con lo cual el formateo será prácticamente
necesario. Por supuesto, si tenemos datos importantes que recuperar
tenemos la solución de arrancar con un disco de inicio, e intentar una
recuperación manual.
Los
más peligrosos actúan sobre la CMOS de nuestra placa base
(motherboard), sobrescribiéndola. La CMOS controla nuestra BIOS: datos
del reloj, de nuestras unidades, periféricos, entro otros. En estos
casos es frecuente, incluso, el tener que cambiar la placa base.
SÍNTOMAS DE INFECCIÓN DE VIRUS
Los síntomas de un virus en estado latente son cuatro:
· Aumento de bits en los archivos ocupados por el virus.
· Cambio de fecha, sin razón alguna, en archivos.
· Aparición de archivos sin motivo aparente.
· Desaparición de un archivo borrado por algún virus para ocupar su lugar.
Los síntomas de algún virus en estado activo son seis:
· Se incrementa la ocupación de la memoria.
· Se reduce la velocidad de respuesta de los programas.
· Un programa en funcionamiento se detiene de pronto y después vuelve a funcionar en aparente normalidad.
· En
la pantalla aparecen objetos raros no observados antes, algunas veces
se presentan figuras, desaparecen letras en los textos, aparecen
mensajes ofensivos y sonido burlones.
· Programas que antes funcionaban bien dejan de funcionar.
· Los archivos se alteran y borran fuera del control del usuario.
En términos más amplios podemos señalar a continuación mas síntomas del virus informático.
a) La velocidad de procesamiento y el rendimiento del equipo se vuelve lenta.
b)
Algunos programas no pueden ser ejecutados, principalmente los archivos
COM o los EXE de menor extensión, posiblemente también los macro virus,
una vez que hayan cumplido con su efecto reproductor o dañino. El
COMMAND.COM es infectado en primer lugar, pero como la función del virus
es la de seguir infectando, éste continúa operando. Los archivos
ejecutables siguen existiendo pero sus cabeceras ya han sido averiadas y
en la mayoría de los casos, su extensión se ha incrementado en un
determinado número de bytes.
c)
Al iniciar el equipo no se puede acceder al disco duro, debido a que el
virus malogró el COMMAND.COM y se muestra este mensaje: "bad or missing
command interpreter".
d)
Al iniciar el equipo no se puede acceder al disco duro, ya que el virus
malogró la Tabla de Particiones o el Master Boot Record y se muestra
este mensaje: "invalid drive especification".
e)
Los archivos ejecutables de los gestores de bases de datos como: BASE,
Clipper, FoxPro, etc. están operativos, sin embargo las estructuras de
sus archivos DBF están averiadas. Lo mismo puede ocurrir con las hojas
de cálculo como: Lotus 1-2-3, Q-Pro, Excel, etc., o con el procesador de
textos MS-Word, hojas de cálculo de MS-Excel o base de datos de
MS-Access (macro virus).
Cuando las computadoras están infectadas con
virus, presentan comportamientos extraños
f)
La configuración (set-up) del sistema ha sido alterado y es imposible
reprogramarlo. Virus como: ExeBug, CMOS-Killer o Anti-CMOS producen un
bloqueo en la memoria conexa de 64 bytes del CMOS.
g)
El sistema empieza a "congelarse". Puede tratarse de un virus con
instrucciones de provocar "reseteos" aleatorios a los archivos del
sistema, tales como: el COMMAND.COM, los "hidden files" o el CONFIG.SYS
que han sido infectados.
h)
Ciertos periféricos tales como: la impresora, módem, tarjeta de sonido,
etc., no funcionan o tienen un raro comportamiento. Se trata de un
virus que reprograma el chip "PPI" (Programmable Peripheral Interfase).
i)
La pantalla muestra símbolos ASCII muy raros comúnmente conocidos como
"basura", se escuchan sonidos intermitentes, se producen bloqueos de
ciertas teclas o se activan los leds de los drives.
j) Las letras de los textos empiezan a caerse. Este es un efecto impresionante del virus alemán "CASCADA".
k) La memoria RAM decrece. El sistema se vuelve muy lento.
l) Los archivos de documento .DOC o las macros empiezan a corromperse y no funcionan.
Numerosos
ejemplos de software malintencionado utilizan algún tipo de mecanismo
de defensa para reducir la probabilidad de ser detectados y eliminados. Algunos ejemplos de las técnicas empleadas son:
ARMADURA
Este
tipo de mecanismo de defensa emplea técnicas que intentan impedir el
análisis del código malintencionado, por ejemplo, detectar cuándo se
ejecuta un depurador e intentar evitar que funcione correctamente, o
agregar grandes cantidades de código sin sentido para ocultar el
objetivo del código malintencionado.
OCULTACIÓN.
El
software malintencionado utiliza esta técnica para ocultarse mediante
la interceptación de solicitudes de información y la devolución de datos
falsos. Por ejemplo, un virus puede almacenar una imagen del sector de
inicio no infectado y mostrarla cuando se intente visualizar el sector
de inicio afectado. El virus informático más antiguo conocido,
denominado “Brain”, utilizó esta técnica en 1986.
CIFRADO.
El
software malintencionado que utiliza este mecanismo de defensa realiza
un cifrado de sí mismo o de la carga (y en ocasiones incluso de otros
datos del sistema) para evitar la detección o la recuperación de datos.
El software malintencionado cifrado contiene una rutina de descifrado
estática, una clave de cifrado y el código malintencionado cifrado (que
incluye una rutina de cifrado). Cuando se ejecuta, utiliza la rutina de
descifrado y la clave para descifrar el código malintencionado. A
continuación, crea una copia del código y genera una nueva clave de
cifrado. Emplea esa clave y la rutina de cifrado para cifrar la copia
nueva de sí mismo, agregando la clave nueva con la rutina de descifrado
al inicio de la copia nueva. A diferencia de los virus polimórficos, el
software malintencionado de cifrado utiliza siempre las mismas rutinas
de descifrado, así que aunque el valor de la clave (y, por tanto, la
firma de los códigos malintencionados cifrados) generalmente cambia de
una infección a otra, los programas antivirus pueden buscar la rutina de
descifrado estática para detectar el software malintencionado que
utiliza este mecanismo de defensa.
SOFTWARE MALINTENCIONADO OLIGOMÓRFICO.
Se
trata de software que utiliza el cifrado como mecanismo para defenderse
y puede cambiar la rutina de cifrado únicamente un número determinado
de veces (generalmente una cantidad reducida). Por ejemplo, un virus que
puede generar dos rutinas de descifrado diferentes se clasificaría como
oligomórfico.
SOFTWARE MALINTENCIONADO POLIMÓRFICO.
Utiliza
el cifrado como mecanismo de defensa para cambiarse con el fin de
evitar ser detectado, generalmente mediante el cifrado del propio
software malintencionado con una rutina de cifrado para, a continuación,
proporcionar una clave de descifrado diferente para cada mutación. De
este modo, el software malintencionado polimórfico utiliza un número
ilimitado de rutinas de cifrado para evitar la detección. Cuando el
software se replica, una parte del código de descifrado se modifica. En
función del tipo específico de código, la carga u otras acciones
llevadas a cabo pueden utilizar o no el cifrado. Generalmente existe un
motor de mutación, que es un componente incorporado del código
malintencionado de cifrado que genera rutinas de cifrado aleatorias.
Este motor y el software malintencionado quedan cifrados y la nueva
clave de descifrado se pasa con ellos.
A continuación te presentamos un vídeo interesante que puede servirte para protegerte de los virus.
A continuación te presentamos un vídeo interesante que puede servirte para protegerte de los virus.
No hay comentarios:
Publicar un comentario
BIENVENIDOS A ESTE ESPACIO DEDICADO A CONOCER ACERCA DE LOS VIRUS INFORMATICO