Virus Informaticos

Historia

• 1949: Se da el primer indicio de definicion de virus. John Von Neumann (considerado el Julio Verne de la informática), expone su “Teoría y organización de un automata complicado”. Nadie podia sospechar de la repercusión de dicho articulo.

• 1959: En los laboratorios AT&T Bell, se inventa el juego “Guerra Nuclear” (Core Wars) o guerra de núcleos de ferrita. Consistía en una batalla entre los códigos de dos programadores, en la que cada jugador desarrollaba un

programa cuya misión era la de acaparar la máxima memoria posible mediante la reproducción de si mismo.

• 1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje “SOY CREEPER…ATRAPAME SI PUEDES!”. Ese mismo año es creado su antídoto: el antivirus Reaper cuya misión era buscar y destruir al Creeper.

• 1974: El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema.

• 1980: La red ARPANET es infectada por un “gusano” y queda 72 horas fuera de servicio. La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de 23 años aunque según él fue un accidente.

• 1983: El juego Core Wars, con adeptos en el MIT, salio a la luz pública en un discurso de Ken Thompson. Dewdney explica los términos de este juego. Ese mismo año aparece el termino virus tal como lo entendemos hoy.

Funcionamiento

• El funcionamiento de un virus informático es conceptualmente simple: ejecutando un programa infectado (normalmente por desconocimiento del usuario) el código del virus queda almacenado (residente) en la memoria RAM del computador, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando los

posteriores ficheros ejecutables que sean abiertos o ejecutados, añadiendo su propio código al del programa infectado y grabándolo en disco, con lo cual el proceso de replicado se completa.

Clasificación

(según lo infectado)

• Según algunos autores, fundamentalmente existen dos tipos

de virus: Aquellos que infectan archivos. A su vez, estos se clasifican en:

• Virus de acción directa: En el momento en el que se ejecutan, infectan a otros programas.

• Virus residentes: Al ser ejecutados, se instalan en la memoria del ordenador. Infectan a los demás programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados.

• Los que infectan el sector de arranque: Recordemos que el sector de arranque es el primero leído por el computador cuando es encendido. Estos virus son residentes en memoria.

Clasificación

(según su comportamiento)

• Virus uniformes, que producen una replicación idéntica a sí mismos.

• Virus encriptados, que cifran parte de su código para que sea más complicado su análisis. A su vez pueden emplear:

• Encriptación fija, empleando la misma clave.

• Encriptación variable, haciendo que cada copia de si mismo esté encriptada con una clave distinta. De ésta forma reducen el tamaño del código fijo usado para su detección.

• Virus oligomórficos, que poseen un conjunto reducido de funciones de encriptación y eligen una de ellas aleatoriamente. Requieren distintos patrones para su detección.

• Virus polimórficos, que en su replicación producen una rutina de encriptación completamente variable, tanto en la fórmula como en la forma del algoritmo.

• Virus metamórficos, que reconstruyen todo su cuerpo en cada generación, haciendo que varíe por completo. De esta forma se llevan las técnicas avanzadas de detección al límite. Por fortuna, esta categoría es muy rara y sólo se encuentran en laboratorio.

• Sobreescritura, cuando el virus sobreescribe a los programas infectados con su propio cuerpo.

• Stealth o silencioso, cuando el virus oculta síntomas de la infección.

Medios de contagio

• Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo

adjunto).

• Ingeniería social, mensajes como ejecute este programa y

gane un premio.

• Entrada de información en discos de otros usuarios infectados.

• Instalación de software pirata o de baja calidad.

Métodos de protección

Activos

• Programas antivirus.

• Filtros de archivos: consiste en generar filtros de

archivos dañinos si el ordenador está conectado a una red. Estos filtros pueden usarse por ejemplo en el sistema de correos o usando técnicas de firewall. En general este sistema proporciona una seguridad donde el usuario no requiere de intervención, puede ser más tajante, y permitir emplear únicamente recursos de forma más selectiva.

Pasivos

• Copias de seguridad: mantener una política de

copias de seguridad garantiza la recuperación de los

datos y la respuesta cuando nada de lo anterior ha

funcionado.

Antivirus

• Los antivirus son programas cuya función es detectar y eliminar virus informáticos y otros programas maliciosos (a veces denominado malware).

• Básicamente, un antivirus compara el código de cada archivo con una base de datos de los códigos de los virus conocidos, por lo que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea

detectado. También se les ha agregado funciones avanzadas, como la búsqueda de comportamientos típicos de virus (técnica conocida como heurística) o la verificación contra virus en redes de computadoras. Actualmente existe una nueva tecnología basada en Inteligencia artificial

llamada TruPrevent que cuenta con la capacidad de detección de virus desconocidos e intrusos.

• Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados, en tiempo real. Es muy común que tengan componentes que revisen los adjuntos de los correos electrónicos salientes

y entrantes, así como los scripts y programas que pueden ejecutarse en un navegador web (ActiveX, Java, JavaScript).

• Los antivirus son esenciales en sistemas operativos cuya seguridad es baja, como Microsoft Windows, pero existen situaciones en las que es necesario instalarlos en sistemas más seguros, como Unix y similares.

Firewall

• Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en una red de computadoras para prevenir algunos tipos de comunicaciones prohibidas por las políticas de red, las cuales se fundamentan en las necesidades del usuario. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.

Virus más conocidos

• Blaster(Worm)

• Sasser(Worm)

• Bagle.IB/Bagle.HZ/Bagle.HX(Worm)

• CreatextRange (Troyano)

• Nodelm.A(Backdoor)

• Gurong.A(Worm)

www.nachox.com

1988,

empieza

el baile. Este año será recordado siempre entre los expertos en seguridad informática como "el año en el que empezó el baile". De hecho, fue el año en el que comenzaron a aparecer los fabricantes de anti-virus, creando una moda de lo que en principio sólo era un problema potencial. Los vendedores de software anti-virus eran pequeñas compañías, que ofrecían sus productos a muy bajo precio, en algunos casos gratuitamente. Fue en este año cuando la compañía IBM se dio cuenta de que tenía que tomarse el asunto de los virus completamente en serio. Esta conclusión no la tomaron debido a la incidencia del popular 'gusano del árbol de Navidad', de amplia difusión, sino porque IBM sufrió un brote del virus 'Cascade', y se encontró en la embarazosa necesidad de tener que comunicar a sus clientes que ellos también habían sido infectados. Desde este momento, el 'High Integrity Laboratory' de IBM fue el encargado del área virus.

En 1988 aparecieron, desde luego, múltiples rebotes de 'Brain', 'Italian', 'Stoned', 'Cascade' y 'Jerusalem'. Esto representó la prueba definitiva de la existencia real de los virus. Peter Norton, en una entrevista, había comentado que eran una leyenda urbana, como los cocodrilos de las alcantarillas de Nueva York, y un experto informático del Reino Unido llegó a proclamar que tenía la prueba de que los virus eran un producto de la imaginación de mentes calenturientas...

En aquel momento, cada nueva aparición de virus provocaba la aplicación de un análisis paso-a-paso.

El software existente era utilizado para detectar virus de sector de arranque, y solamente fue escrito un programa anti-virus, de manera excepcional, para afrontar los rebrotes de 'Cascade' y 'Jerusalem'.

Entonces, apareció

el virus

'Virus-B'. No se alojaba en memoria residente, y resultó ser una modificación de aquel que borraba los archivos todos los viernes y 13. Cuando 'Virus-B' se ponía en funcionamiento, desplegaba el siguiente mensaje: "Warning! This program is infected with Virus-B!

It will infect every .COM file in the current sub directory!". Un virus que se manifiesta de una manera tan obvia, obviamente no puede ser tan pernicioso: evidentemente, se trata de la demostración de la forma de actuación

...