Manual Reparacion de PCs - modulo7.PDF - MANUALS - pokarmy9

Cybercursos.net

MODULO Nº 7

CLASE Nº 38

VIRUS INFORMÁTICOS

QUÉ ES UN VIRUS INFORMÁTICO ?:

Un virus es un pequeño PROGRAMA ( generalmente menos de 1Kb ), que se instala de

forma de forma subrepticia ( inadvertida ) dentro de otro programa con el objeto de tomar el control

del Sistema Operativo para causar algún tipo de daño.

Todo virus tiene las siguientes características:

* Siempre produce algún tipo de DAÑO : Está programado para causar daño en

cualquiera de sus formas. En el mejor de los casos el daño es "TRIVIAL" ( puede

bajar la performance del sistema al consumir Memoria, tiempo de trabajo del Micro,

espacio en disco, etc ). En el peor de los casos el daño es "SEVERO" y consiste en

la pérdida TOTAL o PARCIAL de la Información.

* Tiene capacidad de AUTO-REPRODUCCIÓN: Posee la habilidad de realizar copias

de sí mismo, de manera que se asegura la supervivencia de su especie. Al copiarse

en archivos de una unidad de Diskette se asegura su proliferación y transporte,

supuestamente, hacia otra máquina.

* Es OCULTO y trabaja en forma OCULTA : El virus se instala dentro de un programa

ejecutable modificándolo internamente, aunque no en su apariencia, de modo que su

pesencia no sea notoria. De esta manera será transportado hacia la Memoria del

equipo cada vez que el programa anfitrión se ejecute, quedando residente para llevar a

cabo de esa manera su accionar, sin que se note su presencia.

Para lograr sus objetivos, un virus cuenta con las siguientes partes constitutivas:

* Un Módulo de Reproducción: Es la parte del código del virus encargada de

realizar copias de sí mismo en otros archivos ejecutables con el objeto de que

se asegure la supervivenvia de su especie.

* Un Módulo de Defensa: Es la parte del virus encargada de ocultar, por divesos

medios, la presencia del virus ante la búsqueda de los programas Antivirus .

* Un Módulo de Ataque: Es la parte del virus encargada de ejecutar la acción

destructiva, un vez dada un cierta condición.

FASES EN LA VIDA DE UN VIRUS:

Las fases de actuación de un virus son las siguientes:

a) INFECCIÓN: El virus llega al ordenador dentro de un programa existente en un DKT

o vía Modem, o también sólo en el sector booteable de un DKT . El usuario,

ignorando su presencia , ejecuta el programa infectado transladando también el

VIRUS a la memoria RAM ( donde generalmente queda residente ). A partir de su

presencia en la memoria ram principal el virus intentará tomar el control de SO

infectando los archivos de sistema en primer lugar, luego el DBR y finalmente el MBR.

b) REPRODUCCIÓN: Una vez infectado el SO comienza esta etapa, en la cual el virus

tiene el control de las operaciones de Sistema. Es aquí cuando comienza a infectar

Módulo Nº 7

pág.1/12

Cybercursos.net

a todo programa que se ponga a su alcance ( al ser ejecutado y cargado en RAM ).

Todo programa que se utiliza en ésta etapa será modificado por el virus para incluir en

él una copia del mismo. De éste modo, si uno de esos programas infectados es

copiado en un dkt y llevado a otra máquina, la infección se propagará a está.

c) DETONACIÓN: Una vez que se da una determinada circunstancia, como por ejemplo la

llegada de cierta fecha o la realización de cierta cantidad de copias de sí mismo,

el virus "detona" su acción destructiva. El tipo de acción destructora es muy variada,

desde borrar archivos ejecutables, a hacer aparecer en la pantalla diversos objetos,

borrar la Tabla de Partición o formatear el HDD .

TIPOS DE VIRUS:

Según el lugar donde se alojan ( ZONA DE ATAQUE ) se pueden clasificar en:

* CONTAMINADORES DEL MBR, DBR Y DEL SO : Éste tipo de virus se aloja en las áreas

más importantes del Sistema para lograr de ésa manera cargarse en la

memoria RAM ppal. antes del booteo, cada vez que la máquina sea encendida.

Existen virus que atacan una sola de ellas, o más de forma combinada.

Recordemos que las áreas más importante del disco son:

1.- El MBR ( Master Boot Record ): El mismo es el primer sector físico de

un HDD ( cyl 0, head 0, sector 1 ) y contiene no sólo la Tabla de

Partición , sino también, el Master Boot ( de allí su nombre ). Éste es un

pequeño programa que permite que indica que el hdd es booteable y

dirige el proceso de arranque hacia el DBR ( DOS Boot Record , grabado

en cyl 0, head 0, sector 1 ) el cual, a su vez, llama a los archivos de

Sistema ( MSDOS.SYS , IO.SYS y COMMAND.COM ) . Los virus

que atacan éste sector sustituyen el Master Boot por su propio código.

2.- El DBR ( DOS Boot Record ): Es el primer sector físico de la cara 1

de un hdd ( cyl 0, head 1, sector 1 ), y contiene toda la información

necesaria para acceder al disco una vez formateado por el SO ( cantidad

y tamaños de FAT, tamaño de sector y de cluster, cantidad total de

clusters, cantidad total de sectores, cantidad máxima de archivos

en directorio raíz, tamaño de Área de Directorio, etiquet a de volumen,

número de serie, etc ). Además, el DBR orienta la búsqeda de los archivos

de sistema.

Los virus que atacan éste sector lo alteran de manera que se cargue el

código del virus antes que los Archivos de Sistema, modificando también

la FAT.

3.- Los Archivos de Sistema: Los archivos de sistema conforman el SHELL

o interfase con el usuario ( Command.com ) y el KERNELL ( IO.SYS y

MSDOS.SYS, que son ocultos) y son los reponsables de la administración

de todas las actividades del sistema. Los virus que atacan éstos archivos,

copian su código en ellos, de forma que pasan a ser parte del SO para

actuar sin restricciones y en forma totalmente desapercibida.

* CONTAMINADORES DE ARCHIVOS EJECUTABLES: Este tipo de virus atacan a los

archivos ejecutables cuyas extensiones suelen ser : .COM, .EXE, .OVL, .DRV, y

.SYS . Como ya sabemos, este tipo de virus copia su código dentro el ejecutable de

manera que al cargar el programa en la memoria, también se cargue su propio

código. Algunos virus SOBREESCRIBEN el programa, dañándolo irreparablemente,

otros , en cambio, se suman al archivo , cambiando su tamaño oculta o visiblemente.

Módulo Nº 7

pág.2/12

Cybercursos.net

Según la forma de actuar en la memoria RAM, se pueden clasificar en:

* RESIDENTES o TSR: Se instalan residentes en la memoria RAM ppal

cuando es ejecutado el programa "anfitrión" ( es el caso de la mayoría ).

* DE ATAQUE ÚNICO: También se instalan en memoria al ser ejecutado el

programa "anfitrión", pero no quedan residentes , sino que actúan para

realizar su acción destructiva, abandonando luego la memoria del sistema.

Según su Peligrosidad se pueden clasificar en:

* Virus de Primera generación: Responden a las tres fases de vida, antes

descriptas, desatando rápidamente su acción destructora. Al activarse

destruyen sistemáticamente toda la información existente.

* Virus de Segunda Generación: La aparición de programas Anti-Virus hace

que los virus intenten ser menos notorios, con el objeto de permanecer activos

más tiempo antes de ser detectados y provocar el mayor daño posible. Asi,

atacan ahora a los archivos de Datos, nó destruyéndolos, sino alterando

sutilmente su información constantemente y de forma acumulativa.

• Virus de Tercera Generación: Son los más peligrosos. Cumplen con las sig.

principales características:

+ Superponen la fase de reproducción y ataque.

+ Utilizan mecanismos de Engaño para no ser detectados por los programas de

Escaneo Antivirus como son : las técnicas STEALTH y el POLIMORFISMO y

TUNNELING.

Virus Stealth ( Cautelosos ):

Si un virus Stealth está en memoria, cualquiera programa que intente

leer el archivo ( o sector de un archivo ) que contiene el virus, es

engañado por él, no advirtiendo su presencia en los datos leídos,

y determinando por lo tanto que el virus "no está allí" .

Esto es posible ya que el virus activo en memoria filtra sus propios

bytes, y solamente muestra los bytes originales del programa.

Virus Polimórficos:

Son virus capaces de auto-encriptarse gracias a un parte de sí mismo

( o módulo ) llamada módulo de defensa que se encarga de encriptar

y desencriptar al virus, la cual es muy variable. El Encriptado es un

medio muy eficaz para evitar la detección por parte de los programas

antivrus que consiste básicamente en un desorden del código original

del virus, merced a un patrón o algorítmo de encriptación.

Gracias a sofisticadas técnicas de encriptado, dos copias de un virus

polimórfico no tienen ninguna secuencia de bytes en común,

( debido a que el algoritmo de encriptación varia con cada copia ) de

manera que se dificulta su detección por parte de los programas de

Escaneo Antivirus.

Virus de efecto Tunneling:

Son capaces de eludir la protección ofrecida por los programas

antivirus TSR ( residentes ), sin que se detecte su presencia por esa

vía de escaneo.

Módulo Nº 7

pág.3/12

Cybercursos.net

VIRUS Vs BOMBAS LÓGICAS, GUSANOS Y TROYANOS ( o Programas de Daño Intencional

)

Recordemos que un programa para ser un virus debe cumplir con tres condiciones:

a) Ser DAÑINO.

b) AUTOREPRODUCIRSE.

c) Ser OCULTO.

Estas características nos permiten diferenciarlos de otros programas similares, los cuales son

sus ANTECESORES. Ellos son : las Bombas Lógicas, los Gusanos y los Troyanos.

Bombas Lógicas:

Es un programa que, bajo la forma de un archivo identificable y localizable a simple vista, que

con un nombre sugestivo ( ej: leame.com ) tiene por objeto destruir Datos ( utilizando diversos

medios), o bien paralizar alguna parte o todo el equipo, de manera que no se pueda controlarlo

( trabar el teclado o el video ) si tener que resetear.

Una bomba no cumple con las tres características de los virus , ya que:

a) Causa Daño.

pero.... b) No se Autoreproduce ( la copia y transporta intencionalmente un usuario ).

y........ c) No es oculta ( es visible ).

Gusanos:

Es un programa visible que cada vez que se ejecuta, genera múltiples copias de sí mismo y

en distintos lugares del disco. Su nombre se debe a su facilidad de reproducción indiscriminada.

Muchas veces sus copias van cambiando ligeramente su nombre. El daño que producen consiste

en el consumo inútil dealgunos recursos del sistema ( memoria y espacio en disco ).

Una Gusano no cumple con las tres características de los virus , ya que:

a) Causa Daño.

b) Se Autoreproduce ( lo copia y transporta intencionalmente un usuario ).

pero..... c) No es Oculto ( es visible ).

Troyanos:

Un Troyano es un pequeño programa que se instala dentro de otro, el cual deliberadamente

tiene efectos destructivos diversos. Son los antecesores directos de los virus.

No son capaces de reproducirse por sí mismos ( tampoco poseen un módulo de defensa ) y

realizan su proliferación a expensas de la copia realizada por los usuarios.

Una Troyano no cumple con las tres características de los virus , ya que:

a) Causa Daño ( generalmente SEVERO ).

pero...... b) No se Autoreproduce ( lo debe copiar intencionalmente un usuario ).

c) Es oculto.

Algunos antivirus son capaces de detectar la presencia de diversos Troyanos.

Módulo Nº 7

pág.4/12

Cybercursos.net

FUENTES TÍPICAS DE CONTAGIO:

Hay dos formas en que un virus puede llegar a alojarse en la memoria de un máquina:

1.- Por lectura de DISKETTE con Boot Sector infectado: Al poner

un diskete en una unidad y tipear A: , el virus pasa a estar activo

en la memoria RAM ( no es necesario pedir un DIR! ).

2.- Por ejecución de programa infectado: Como ya se aclaró más

arriba, lo peligroso no es tener un archivo infectado en el hdd, sino

EJECUTARLO!, ya que de ese modo estamos transportando el

virus a la memoria.

Las vías más comunes de contagios son:

* DISKETES ( archivos infectados y boot sector infectado )

* TRANSFERENCIAS DE ARCHIVOS INFECTADOS POR MODEM.

* TRANSFERENCIAS DE ARCHIVOS INFECTADOS POR LINKEO.

* TRANSFERENCIAS DE ARCHIVOS INFECTADOS EN RED.

Módulo Nº 7

pág.5/12

Manual Reparacion de PCs - modulo7.PDF

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: