martes, 23 de noviembre de 2010

virus informaticos


En informática, un virus de computadora es un programa malicioso desarrollado por programadores que infecta un sistema para realizar alguna acción determinada. Puede dañar el sistema de archivos, robar o secuestrar información o hacer copias de si mismo e intentar esparcirse a otras computadoras utilizando diversos medios.
A continuación se detallan los distintos tipos de virus de computadoras hasta ahora conocidos:

Virus de Boot
Uno de los primeros tipos de virus conocido, el virus de boot infecta la partición de inicialización del sistema operativo. El virus se activa cuando la computadora es encendida y el sistema operativo se carga.

Time Bomb
Los virus del tipo "bomba de tiempo" son programados para que se activen en determinados momentos, definido por su creador. Una vez infectado un determinado sistema, el virus solamente se activará y causará algún tipo de daño el día o el instante previamente definido. Algunos virus se hicieron famosos, como el "Viernes 13" y el "Michelangelo".

Lombrices, worm o gusanos
Con el interés de hacer un virus pueda esparcirse de la forma más amplia posible, sus creadores a veces, dejaron de lado el hecho de dañar el sistema de los usuarios infectados y pasaron a programar sus virus de forma que sólo se repliquen, sin el objetivo de causar graves daños al sistema. De esta forma, sus autores tratan de hacer sus creaciones más conocidas en internet. Este tipo de virus pasó a ser llamado gusano o worm. Son cada vez más perfectos, hay una versión que al atacar la computadora, no sólo se replica, sino que también se propaga por internet enviándose a los e-mail que están registrados en el cliente de e-mail, infectando las computadoras que abran aquel e-mail, reiniciando el ciclo.

Troyanos o caballos de Troya
Ciertos virus traen en su interior un código aparte, que le permite a una persona acceder a la computadora infectada o recolectar datos y enviarlos por Internet a un desconocido, sin que el usuario se de cuenta de esto. Estos códigos son denominados Troyanos o caballos de Troya.
Inicialmente, los caballos de Troya permitían que la computadora infectada pudiera recibir comandos externos, sin el conocimiento del usuario. De esta forma el invasor podría leer, copiar, borrar y alterar datos del sistema. Actualmente los caballos de Troya buscan robar datos confidenciales del usuario, como contraseñas bancarias.
Los virus eran en el pasado, los mayores responsables por la instalación de los caballos de Troya, como parte de su acción, pues ellos no tienen la capacidad de replicarse. Actualmente, los caballos de Troya ya no llegan exclusivamente transportados por virus, ahora son instalados cuando el usuario baja un archivo de Internet y lo ejecuta. Práctica eficaz debido a la enorme cantidad de e-mails fraudulentos que llegan a los buzones de los usuarios. Tales e-mails contienen una dirección en la web para que la víctima baje, sin saber, el caballo de Troya, en vez del archivo que el mensaje dice que es. Esta práctica se denomina phishing, expresión derivada del verbo to fish, "pescar" en inglés. Actualmente, la mayoría de los caballos de Troya simulan webs bancarias, "pescando" la contraseña tecleada por los usuarios de las computadoras infectadas.

Hijackers
Los hijackers son programas o scripts que "secuestran" navegadores de Internet, principalmente el Internet Explorer. Cuando eso pasa, el hijacker altera la página inicial del browser e impide al usuario cambiarla, muestra publicidad en pop-ups o ventanas nuevas, instala barras de herramientas en el navegador y pueden impedir el acceso a determinadas webs (como webs de software antivirus, por ejemplo).

Keylogger
El KeyLogger es una de las especies de virus existentes, el significado de los términos en inglés que más se adapta al contexto sería: Capturador de teclas. Luego que son ejecutados, normalmente los keyloggers quedan escondidos en el sistema operativo, de manera que la víctima no tiene como saber que está siendo monitorizada. Actualmente los keyloggers son desarrollados para medios ilícitos, como por ejemplo robo de contraseñas bancarias. Son utilizados también por usuarios con un poco más de conocimiento para poder obtener contraseñas personales, como de cuentas de email, MSN, entre otros. Existen tipos de keyloggers que capturan la pantalla de la víctima, de manera de saber, quien implantó el keylogger, lo que la persona está haciendo en la computadora.

Zombie
El estado zombie en una computadora ocurre cuando es infectada y está siendo controlada por terceros. Pueden usarlo para diseminar virus , keyloggers, y procedimientos invasivos en general. Usualmente esta situación ocurre porque la computadora tiene su Firewall y/o sistema operativo desatualizado. Según estudios, una computadora que está en internet en esas condiciones tiene casi un 50% de chances de convertirse en una máquina zombie, pasando a depender de quien la está controlando, casi siempre con fines criminales.

Virus de Macro
Los virus de macro (o macro virus) vinculan sus acciones a modelos de documentos y a otros archivos de modo que, cuando una aplicación carga el archivo y ejecuta las instrucciones contenidas en el archivo, las primeras instrucciones ejecutadas serán las del virus.
Los virus de macro son parecidos a otros virus en varios aspectos: son códigos escritos para que, bajo ciertas condiciones, este código se "reproduzca", haciendo una copia de él mismo. Como otros virus, pueden ser desarrollados para causar daños, presentar un mensaje o hacer cualquier cosa que un programa pueda hacer.

Nuevos medios
Mucho se habla de prevención contra virus informáticos en computadoras personales, la famosa PC, pero poca gente sabe que con la evolución hoy existen muchos dispositivos que tienen acceso a internet, como teléfonos celulares, handhelds, telefonos VOIP, etc. Hay virus que pueden estar atacando y perjudicando la performance de estos dispositivos en cuestión. Por el momento son casos aislados, pero el temor entre los especialistas en seguridad digital es que con la propagación de una inmensa cantidad de dispositivos con acceso a internet, los hackers se van a empezar a interesar cada vez más por atacar a estos nuevos medios de acceso a internet. También se vio recientemente que los virus pueden llegar a productos electrónicos defectuosos, como pasó recientemente con iPODS de Apple, que traían un "inofensivo" virus (cualquier antivirus lo elimina, antes de que él elimine algunos archivos contenidos en el iPOD).





· Conficker se ha hecho con el 7,30% de las infecciones.



· Trojan.AutorunINF.Gen es el segundo infectando el 6,58% de los ordenadores.



· Exploit.PDF-JS.Gen logro infectar el 4,58% de los ordenadores.



· Trojan.Wimad.Gen.1 daño el 4,44% de los ordenadores.



· Worm.Autorun.VHG fue el último que infecto el 4,06% de los pc españoles.





Antivirus (activo)


Estos programas, como se ha mencionado, tratan de encontrar la traza de los programas maliciosos mientras el sistema esté funcionando.


Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad.


Como programa que esté continuamente funcionando, el antivirus tiene un efecto adverso sobre el sistema en funcionamiento. Una parte importante de los recursos se destinan al funcionamiento del mismo. Además, dado que están continuamente comprobando la memoria de la máquina, dar más memoria al sistema no mejora las prestaciones del mismo.


Otro efecto adverso son los falsos positivos; es decir, notificar al usuario de posibles incidencias en la seguridad. De esta manera, el antivirus funcionando da una sensación de falsa seguridad.


Tipos de vacunas



  • CA: Sólo detección: Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.


  • CA: Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos.


  • CA: Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus


  • CB: Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados.


  • CB: Comparación de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo.


  • CB: Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar archivos.


  • CC: Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario.


  • CC: Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por la actividad del sistema windows xp/vista

Filtros de ficheros (activo)


Otra aproximación es la de generar filtros dentro de la red que proporcionen un filtrado más selectivo. Desde el sistema de correos, hasta el empleo de técnicas de firewall, proporcionan un método activo y eficaz de eliminar estos contenidos.


En general este sistema proporciona una seguridad donde el usuario no requiere de intervención, puede ser más tajante, y permitir emplear únicamente recursos de forma más selectiva.


Copias de seguridad (pasivo)


Mantener una política de copias de seguridad garantiza la recuperación de los datos y la respuesta cuando nada de lo anterior ha funcionado.


Así mismo las empresas deberían disponer de un plan y detalle de todo el software instalado para tener un plan de contingencia en caso de problemas.



Antivirus


Aplicación o aplicaciones que previenen, detectan, buscan, y eliminan virus, utilizando bases de datos de nombres, y diversas técnicas heurísticas de detección.


La base fundamental de un programa antivirus es su capacidad de actualización de la base de datos. A mayor frecuencia de actualización, mejor protección contra nuevas amenazas.


Dentro de los antivirus encontramos diversas subcategorías: antivirus activo, antivirus pasivo, antivirus online, antivirus offline y antivirus gratuito.


Antivirus populares



  • Kaspersky Anti-virus.

  • Panda Security.

  • Norton antivirus.

  • McAfee.

  • avast! y avast! Home

  • AVG Anti-Virus y AVG Anti-Virus Free.

  • BitDefender.

  • F-Prot.

  • F-Secure.

  • NOD32.

  • PC-cillin.

  • ZoneAlarm AntiVirus.

Cortafuegos (Firewall)


Programa que funciona como muro de defensa, bloqueando el acceso a un sistema en particular.


Se utilizan principalmente en computadoras con conexión a una red, fundamentalmente Internet. El programa controla todo el tráfico de entrada y salida, bloqueando cualquier actividad sospechosa e informando adecuadamente de cada suceso.


Antiespías (Antispyware)


Aplicación que busca, detecta y elimina programas espías (spyware) que se instalan ocultamente en el ordenador.


Los antiespías pueden instalarse de manera separada o integrado con paquete de seguridad (que incluye antivirus, cortafuegos, etc).


Antipop-ups


Utilidad que se encarga de detectar y evitar que se ejecuten las ventanas pop-ups cuando navegas por la web. Muchas veces los pop-ups apuntan a contenidos pornográficos o páginas infectadas.


Algunos navegadores web como Mozilla Firefox o Internet Explorer 7 cuentan con un sistema antipop-up integrado.


Antispam


Aplicación o herramienta que detecta y elimina el spam y los correos no deseados que circulan vía email.


Funcionan mediante filtros de correo que permiten detectar los emails no deseados. Estos filtros son totalmente personalizables.


Además utilizan listas de correos amigos y enemigos, para bloquear de forma definitiva alguna casilla en particular.


Algunos sistemas de correo electrónico como Gmail, Hotmail y Yahoo implementan sistemas antispam en sus versiones web, brindando una gran herramienta en la lucha contra el correo basura.





Los PC de lugares públicos para acceder a Internet (cyber cafés, escuelas, bibliotecas...) son verdaderos nidos de virus, y los dispositivos extraibles que son conectados a estos PC son infectados automáticamente. Este es un tipo de infección que se propaga a través de dispositivos extraibles: memoria USB (el caso más frecuente), disco duro externo, tarjeta flash, Ipod, reproductor MP3, cámara fotográfica, etc...

Un dispositivo que se conecta a un PC infectado, a su vez será infectado si la infección está activa. Es decir, el dispositivo quedará infectado automáticamente simplemente conectandolo al PC si la ejecución automática está activa en el dispositivo extraible.

Una vez infectado el dispositivo extraible, el simple hecho de abrir Mi PC y hacer doble clic en la memoria usb o disco duro externo infectará el sistema operativo y así sucesivamente...


Cuáles son los síntomas



  • El doble clic para abrir los dispositivos móviles infectados no funciona

  • Si haces visible los archivos y carpetas ocultos, notarás que la memoria usb contiene varios archivos y procesos desconocidos y por lo tanto infectados. Por ningún motivo les des doble clic para abrirlos ya que activarán la infección, si es que ya no ha sido hecho!

  • El elemento clave para que la infección se propague automáticamente de la memoria USB al PC y del PC a una memoria USB es la activación del archivo autorun.inf, al hacer doble clic para acceder a los archivos de la memoria USB


Métodos de desinfección



Antes de pasar alguna de estas herramientas, cierra todos los programas que se estén ejecutando y conecta al PC todos los dispositivos externos que puedan estar infectados (discos duro, memoria USB, Ipod...), repite la operación si tienes varios dispositivos extraibles que pueden estar infectados.



  • Descarga Flash_Disinfector (para XP) de sUBs en el Escritorio:


    • http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

    • Nota: Este programa puede activar la alerta del antivirus: si es así desactivalo momentaneamente ya que es una falsa alerta.

    • Haz doble clic en Flash_Disinfector.exe para ejecutarlo.

    • Si no has conectado la memoria USB, se te pedirá conectarla.

    • Cuando aparezca el mensaje: If you have a flash drive, please plug it in the machine conecta la memoria USB o dispositivos USB externos que puedan estar infectados. Luego haz clic en OK


    • Los iconos del escritorio desaparecerán hasta que aparezca el mensaje: Done!

  • Descarga RavAntivirus de Evosla (para XP y Vista):


    • http://www.evosla.com/compteur.php?soft=rav_antivirus

    • Conecta los dispositivos móviles sin abrirlos antes de ejecutar el programa

    • Descomprime el archivo en el escritorio

    • Haz doble clic en RAV.exe para ejecutar la herramienta

    • Una vez ejecutado RAV ANTIVIRUS escaneará automáticamente todas las unidades que puedan estar infectadas

    • El programa generará un informe en caso que detecte una infección, si no mostrará el mensaje: "Your computer is clean"


    • Retira los dispositivos extraibles y reinicia el PC.



Ahora veremos otras dos herramientas que puedes utilizar para completar la desinfección:



  • Symantec: http://securityresponse.symantec.com/avcenter/FxRajump.exe


    • En el escritorio, haz doble clic en el archivo FxRajump.exe

    • Luego haz clic en Start para iniciar la limpieza.

    • Al final, se abrirá una ventana que indicará el fin de la búsqueda.

    • El archivo FxRajump.log será creado en el escritorio, con el listado de archivos y claves de registro que han sido eliminados.

  • Mcafee: http://vil.nai.com/VIL/stinger/

  • Haz clic en Download v3.x.x para descargar el archivo, luego ejecútalo.

  • Si las letras correspondientes a los dispositivos externos no aparecen automáticamente en la lista de unidades que serán escaneadas, agrégalas manualmente con el botón "Browse" para seleccionarlas.

  • Luego pulsa el botón "Scan Now" para iniciar la limpieza.

  • Autorun Plasma: Descargar Autorun Plasma


    • Guarda el archivo zip en una carpeta

    • Colocalo en la raiz de tu memoria USB.



Importante: Mientras no estés seguro de haber eliminado la infección, no abras ninguno de los discos o dispositivos externos dandoles doble clic, si no puedes vover a ejecutar la infección!


Caso de PC en red



  • Por ejemplo, el gusano Rjump (AdobeR.exe, Ravmonlog...) además de copiarse en los dispositivos externos, se propaga también utilizando las carpetas compartidas en los PC en red y abre un backdoor (puerta trasera) configurando a espaldas del usuario una excepción en el firewall de Windows. Por lo tanto es muy probable que esté gusano se propague en los archivos compartidos en la red.

  • Si un PC está en red, debe ser aislado de la red y verificar que las carpetas/discos compartidos estén limpios, no lo vuelvas a conectar mientras no estés seguro que también los otros equipos estén limpios o desinfectados, si no la infección se puede propagar de nuevo.


¿Cómo protegerse a diario en PC públicas?



  • Una precaución muy simple a tener en cuenta con las memorias USB en el caso de que tengamos que conectarlas a un PC público (incluso si está infectado): tan solo tener la memoria USB bloqueada contra escritura conteniendo una carpeta autorun.inf.

  • También tenemos la posibilidad de vacunar nuestra memoria USB, creando carpetas con los nombres de archivos infectados que se copian y pegan en los dispositivos que conectamos en un PC infectado, y darles el permiso de sólo lectura. Así, la infección no podrá "aplastar" un archivo o carpeta existente y por lo tanto no podrá propagarse. Descarga el ejecutable siguiente: VaccinUSB.exe


    • Sólo tienes que copiar el archivo en la raíz del dispositivo que quieres "vacunar", luego hacer doble clic en el archivo. De este modo se crearán carpetas con los nombres de los archivos infectados más comunes, luego podrás eliminar el archivo VaccinUSB.exe

    • Este práctico truco, te permitirá conservar tu memoria USB limpia aun si lla conectas a un PC infectado!


PASOS PREVIOS PARA UNA LIMPIEZA CORRECTA DE LA COMPUTADORA (PC) (ORDENADOR)

1) Desactivar restaurar sistema en todas las unidades (según el Sistema Operativo)
2) Iniciar el Sistema en A MODO DE PRUEBA DE FALLOS.
3) Eliminar archivos temporales.
4) Pasar antivirus instalado en el equipo.
5) Pasar los programas antispyware recomendados normalmente:
6) Spybot Search 1.6.2.46
7) Spyware Blaster 4.2
8) SuperAntiSpyware 4.26
9) Malwarebytes’ Anti- Malware 1.41
10) Ccleaner 2.24
11) Disk Cleaner 1.5.7
12) (MANTENERLOS DEBIDAMENTE ACTUALIZADOS)
13) Pasar antivirus en línea, se recomienda mas de tres antivirus en línea, (nunca quedarse solo con el informe de un solo antivirus) ESTO YA SE DEBE HACER CON EL SISTEMA DE MODO NORMAL “NO A PRUEBA DE FALLOS”

¿Cómo puedo vacunar mi memoria USB?

Es muy importante que antes que hagas cualquier cosa con tu memoria primero la vacunes, esto hará que mantengas en buen estado la maquina con la que trabajas y tu memorias estará libre de virus.

1. Inserta tu memoria USB, espera que aparezca la pantalla de reproducción automática, importante no abras tu memoria aun, cancela o cierra la pantalla de reproducción.

2. Ve al menú de inicio, y busca MI EQUIPO, una vez dentro del equipo busca tu memoria USB.

3. Posiciona el cursor del mouse de forma que tu USB esta resaltada, aun no la abras.

4. Presiona el botón derecho del mouse una vez, aparecerá un menú emergente, dentro de este menú busca la opción de tu antivirus.

5. Presiona tu antivirus y analiza tu memoria si encuentra virus elimínalos.

6. Una vez que termine de escanearse y limpiarse tu memoria esta lista para usarse.

Recuerda presionar la opción de tu antivirus donde diga analizar y desinfectar o analizar y limpiar de lo contrario solo se escaneara tu memoria más el virus permanecerá en tu USB.

El tiempo de escaneo varía de acuerdo al número de archivos que tengas en tu memoria, aunque puede ser un proceso largo realízalo cada que insertes tu memoria en una máquina, esta es la única manera de mantener tu USB libre de virus.


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)