1. Universidad Nacional Experimental Francisco de Miranda Área Ciencias de la Educación Dpto. Informática y T. E. U. C. Tópicos Especiales del Computador VIRUS INFORMATICOS
2. Objetivo: Identificar el funcionamiento de los virus informáticos mediante los métodos de detección. VIRUS INFORMATICOS ¿QUÉ ES UN VIRUS? Enfermedad Epidémica Programa Malicioso Bicho Infección
3. ¿QUÉ ES UN VIRUS? DEFINICION: Un virus es código informático que se adjunta a sí mismo a un programa o archivo para propagarse de un equipo a otro. Infecta a medida que se transmite . Los virus pueden dañar el software, el hardware y los archivos. Alterar Datos y Archivos Infectar Archivos Infectar Archivos Eliminar Datos Daños Hardware Mostrar Mensajes El potencial de daño de un virus no depende de su complejidad sino del entorno donde actúa (Software, Hardware o Archivos) Finalidades
4.
5. ¿cómo funciona un virus? Generalmente el usuario por desconocimiento ejecuta un programa que está infectado, donde el código del virus queda alojado en la RAM del computador, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del SO, infectando a los archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al del programa infectado y se graba en disco, con lo cual el proceso de replicado se completa.
6. ¿cómo se pueden clasificar? Clasificación Básica Acción Directa Los que infectan a Archivos Sector de Arranque (Boot) Se clasifican en: Residentes Son activados al momento de ejecutar un fichero infectado y no permanecen residente en memoria Infectan a los demás programas a medida que se van ejecutando ya que se instalan en la memoria Infectan a los demás programas a medida que se van ejecutando ya que se instalan en la memoria. Infectan sectores Boot Record, Master Boot, FAT y la Tabla de Partición
7. ¿qué es un gusano? Para reproducirse hacen uso de algún medio de comunicación, como bien puede ser Internet (Correo Electrónico) o una red informática (Protocolos de Red). Ejemplo: Sasser y Blaster Se reproducen automáticamente y toman el control del equipo para transferir archivos haciendo copias completas de sí mismo para propagarse sin la intervención del usuario. Suelen ocupar la memoria y poner lento el ordenador pero no se adhieren a otros archivos ejecutables. Gusanos JS/Qspace.A Perl/Santy.A Win32/Hobot.C Win32/Nanspy Win32/Protoride.V Entre otros.... Gusanos de Internet Win32/Sndog.A Bagle.gen.zip BAT/Hobat.A BAT/KillAV.N Java/inqtana.B JS/TrojanDownloader.Tivso.C VBS/LoveLetter VBS/Freelink VBS/Junkmail.A Win2K/CodeRed Entre otros....
8. ¿cómo se pueden clasificar? Según la forma de actuar al momento de infectar pueden clasificarse en: Gusanos Troyanos Macro Archivos Ejecutables Polimórfico Residente Jokes Hoaxes Cifrados Mixtos
9. ¿qué es un TROYANO? Programa informático que parece ser útil pero que realmente provoca daños haciendo creer al usuario que el contenido al que accede es genuino (salvapantallas, juegos, música, programas). Es decir, se activa a través de la apertura de un programa asociado al virus. Troyanos Back Orifice BAT/Firewall.A Del System.E Exploit/CodeBaseExeo HTML/Bankfraud.gen JS/ToyanClicker.Agent.I JS/Seeker Entre Otros... Puede existir combinaciones entre un Gusano y Troyano los cuales amenazan desarrollando capacidades de los gusanos con otras de los troyanos. Ejemplo: Gusanos y Troyanos Win32/Sohanad.NBO Win32/Virut.O
10.
11. los hoaxes y jokes jokes No son realmente virus , sino programas con distintas funciones, pero todas con un fin de diversión, nunca de destrucción, aunque pueden llegar a ser muy molestos. HOAXES Son llamados los virus falsos , Estos no son virus como tal sino mensajes con información falsa, normalmente son difundidos mediante el correo electrónico, a veces con fin de crear confusión entre la gente que recibe este tipo de mensajes o con un fin aún peor en el que quieren perjudicar a alguien o atacar al ordenador mediante ingeniería social. Ejemplo de ellos son el mensaje de Carcinoma Cerebral de Jessica, Anabelle, entre otros, creados para producir congestionamiento en la web.
12. VIRUS DE ARCHIVOS Y EJECUTABLES Se activan cada vez que el archivo infectado es ejecutado, ejecutando primero su código malicioso y luego devuelve el control al programa infectado pudiendo permanecer residente en la memoria durante mucho tiempo después de ser activados. Un ejemplo de esto son los virus capaces de reproducirse en algunas versiones de Adobe Acrobat a través de archivos PDF. VIRUS DE ARCHIVOS Es el virus por excelencia; suelen infectar otros archivos ejecutables, como los .EXE, .COM y .SCR bajo Windows, incluyendo dentro del código original, las funcionalidades propias del virus. Entre ellos se pueden mencionar: Linux/Bi.A, Win32/Agent.ABS VIRUS DE PROGRAMAS EJECUTABLES A estos también se les conoce como Virus de Programas
13. Virus mixtos y residentes Por lo general son aquellos que infectan archivos con capacidades de gusanos y troyanos en mismo programa y son difundidos a través de la web. Se mantiene en memoria cargándose desde el sector de arranque o como un servicio del sistema operativo. E n muchos casos requieren que se reinicie el equipo con un disco de emergencia para evitar que se carguen en memoria. mixtos residentes Win32/Autorun.AB Win32/Mumawow.C Win32/SpyWebmoner.NAM Jerusalem Diablo Boot Ripper Stone, entre otros
14. Virus cifrados y polimórficos Sea más complicado su análisis y detección. CIFRADOS CIFRADO VARIABLE CIFRADO FIJO pueden hacer uso de Misma Clave Clave Distinta Cada copia cifrada se activa Para que Donde Con una polimórficos Estos virus en su replicación producen una rutina de cifrado totalmente variable. Lo que realmente hace el virus es copiarse en memoria, se compila cambiando su estructura interna (nombres de variables, funciones, etc), y vuelve a compilarse, de manera que una vez creado nuevamente un espécimen del virus, es distinto del original. Los virus con polimorfismo avanzado son llamados metamórficos. Ejemplo: Win32/Bacalid Win32/Evol.A.Gener1 Win32/Polip, entre otros...
15. ¿cómo pueden ser detectados? Actualmente la mejor forma de clasificar a todos los códigos malignos es con el nombre de malware o programas malignos , término que incluye virus, espías, troyanos, gusanos, spam, spyware, etc. Por ello es necesario hacer uso de los antivirus para detectarlos Un antivirus es una aplicación o grupo de aplicaciones dedicadas a la prevención, búsqueda, detección y eliminación de programas malignos en los sistemas informáticos, notificando al usuario de posibles incidencias de seguridad.
16.
17. ACTIVIDAD DIDÁCTICA 1 2 3 4 ¿Un Virus puede ser catalogado como un...? Coloca tu Respuesta Aquí Suelen infectar archivos de tipo *.COM o *.EXE Coloca tu Respuesta Aquí La herramienta más utilizada para la detección de virus es: Coloca tu Respuesta Aquí Son aquellos que hacen uso del correo web y protocolos de red para propagarse Coloca tu Respuesta Aquí