virus

Estrategias de infección usadas por los virus

Añadidura o empalme:

El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección.

Inserción:

El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método.

Reorientación:

Es una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con rescribir los sectores marcados como defectuosos.

Polimorfismo:

Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus.

Sustitución:

Es el método mas tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo.

Ejemplos de virus y sus acciones

• Happy99: Programa enviado por mail, abre una ventana con fuegos artificiales. Manipula la conectividad con Internet.
• Melissa: Macrovirus de Word. Se envía a sí mismo por mail. Daña todos los archivos .doc
• Chernobyl (W95.CIH): Borra el primer Mb del HD, donde se encuentra la FAT. Obliga a formatear el HD. Además intenta rescribir el BIOS de la PC lo que obliga a cambiar el mother. Se activa el 26 de abril.
• Michelangelo: Virus de boot sector. Se activa el 6 de marzo. Sobre escribe la FAT, dejando el disco inutilizable.
• WinWord.Concept: Macrovirus que infecta la plantilla Normal.dot. Hace aparecer mensajes en la pantalla y mal funcionamiento del Word.
• FormatC: Troyano que infecta el Word, al abrir un archivo infectado formatea el disco rígido.
• Back Orifice2000 (BO2K): Funcionalmente es un virus y sirve para el robo de información. Permite tomar control remoto de la PC o del servidor infectados, con la posibilidad de robar información y alterar datos.
• VBS/Bubbleboy: Troyano que se ejecuta sin necesidad de abrir un attachment, y se activa inmediatamente después de que el usuario abra el mail. No genera problemas serios.

 Virus falsos: HOAX

¿Qué son?

Falsas alarmas de virus

Ejemplos: Join The Crew, Win a Holiday, Solidaridad con Brian

¿Qué no hay que hacer?

Responder esas cadenas, ya que crea saturación de los servidores de mail y, además son usadas para levantar direcciones de e-mails para luego enviar publicidades.

Email Bombing and Spamming

Descripción

E-mail bombing es el envío reiterado de un mismo mail a una cuenta en particular.

E-mail spamming es una variante del bombing, es el envío de e-mail a cientos o miles de usuarios. El problema se acrecienta si alguien responde el mensaje a todos.

Spamming y bombing pueden ser combinados con e-mail spoofing, que consiste en alterar la dirección del emisor del destinatario, haciendo imposible conocer quien originó la cadena.

Cuando una gran cantidad de mensajes son dirigidos a un mismo servidor, este puede sufrir un DoS (Denial of Service), o que el sistema se caiga como consecuencia de utilizar todos los recursos del servidor, o completar el espacio en los discos.

¿Qué puede hacer usted?

En principio es imposible de prevenir ya que cualquier usuario de e-mail puede spam cualquier otra cuenta de e-mail, o lista de usuarios.

Se deben activar las opciones de filtrado de mensajes

Práctica de seteo de opciones de filtrado de mensajes

¿Qué no debe hacer?

Responder esas cadenas, ya que crea saturación de los servidores de mail y además son usadas para levantar direcciones de e-mails para luego enviar publicidades.

¿Qué hacer cuando se reciben?

No lo abra a menos que necesite su contenido

En este caso, primero grábelo en el HD y luego pásele un antivirus.

¿Qué hacer si debe enviarlos?

Si es un documento de texto grábelo con formato RTF

De lo contrario ejecute su antivirus antes de adosar el archivo

¿Qué es?

Páginas con XML, java, Actives objects, etc.

¿Cuándo se ejecuta?

Al visualizar la página

¿Cómo me protejo?

Solo se puede limitar el riesgo con las opciones de la Zona de Seguridad empleada.

Practica de cambiar opciones de seguridad.....

Web scripts malignos

¿Qué son?

Un "script" es un tipo de programa de computación usado en la programación de sitios web. (Ej.: Javascript, Perl, Tcl, VBScript, etc). Un script consiste en comandos de texto. Cada vez que el browser recibe estos comandos, los interpreta y los ejecuta. Esto significa que un script puede ser incluido en cualquier página web como si fuese texto. En principio un script no es necesariamente un programa maligno, sino que se utiliza su funcionalidad con fines malignos.

¿Cómo me llegan?

Al visitar una página web que contenga en su código algún script.

¿Qué pueden hacer?

Monitorear la sesión del usuario, copiar datos personales a un tercer sitio, ejecutar programas de forma local, leer las cookies del usuario y reenviarlas a un tercero, etc. y todo esto sin que el usuario se entere en absoluto.

¿Cómo se soluciona este problema?

Deshabilitando todos los lenguajes de script en las opciones de seguridad del explorador.

¿Cómo afecta mi navegación esta solución?

Indudablemente va a limitar su interacción con algunos web sites. Cada día se utilizan más los scripts para dotar a las páginas de un site de un comportamiento personalizado y más dinámico. Tal vez lo recomendable es deshabilitar estas opciones al visitar páginas de sitios no confiables.