martes, 19 de marzo de 2013

Si alguna vez has tenido problemas con algun tipo de virus, estas en el blog correcto.

Pues casi siempre es un fuerte dolor de cabeza toparte con un virus que no te deje realizar tus tareas cotidianas, o tu pc esta dando problemas con el rendimiento, pues mas adelante te dire cada uno de ellos, al menos los mas importante o con los que tu te haz topado mas de alguna vez.

PRIMERO
te dare los tipos de virus que te pueden afectar y después de esto te los mencionare por nombre y capacidad de daño que cada uno de estos puede tener 

Virus de Acompañante
Estos virus basan su principio en que MS-DOS, ejecuta el primer archivo COM y EXE del mismo directorio. El virus crea un archivo COM con el mismo nombre y en el mismo lugar que el EXE a infectar.

Después de ejecutar el nuevo archivo COM creado por el virus y cede el control al archivo EXE.


Virus de Archivo
Los virus que infectan archivos del tipo *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e incluso BAT. Este tipo de virus se añade al principio o al final del archivo. Estos se activan cada vez que el archivo infectado es ejecutado, ejecutando primero su código vírico y luego devuelve el control al programa infectado pudiendo permanecer residente en la memoria durante mucho tiempo después de que hayan sido activados.

Este tipo de virus de dividen el dos:

Virus de Acción Directa que son aquellos que no se quedan residentes en memoria y se replican en el momento de ejecutar el fichero infectado y los virus de Sobrescritura que corrompen el fichero donde se ubican al sobrescribirlo.

Virus de Bug-ware
Bug-ware es el termino dado a programas informáticos legales diseñados para realizar funciones concretas. Debido a una inadecuada comprobación de errores o a una programación confusa causan daños al hardware o al software del sistema.

Muchas veces los usuarios finales aducen esos daños a la actividad de virus informáticos. Los programas bug-ware no son en absoluto virus informáticos, simplemente son fragmentos de código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan los datos del computador. 


Virus de Macro
De acuerdo con la Internacional Security Association, los virus macro forman el 80% de todos los virus y son los que más rápidamente han crecido en toda la historia de los ordenadores en los últimos 5 años.

A diferencia de otros tipos de virus, los virus macro no son exclusivos de ningún sistema operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes, bajadas de Internet, transferencia de archivos y aplicaciones compartidas.

Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro que acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que un Word virus macro puede infectar un documento Excel y viceversa.
En cambio, los virus macro viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de archivos.

Los virus macro son escritos en Visual Basic y son muy fáciles de crear. Pueden infectar diferentes puntos de un archivo en uso, por ejemplo, cuando éste se abre, se graba, se cierra o se borra. Lo primero que hacen es modificar la plantilla maestra (normal.dot) para ejecutar varias macros insertadas por el virus, así cada documento que abramos o creemos, se incluirán las macros "víricas".

Con la posibilidad de contener un virus convencional, cambiar un ejecutable o DLL e insertarlo en el sistema.


Virus de MailBomb
Casi virus ¿o no?
Esta clase de virus todavía no esta catalogado como tal pero, os voy a poner un ejemplo de lo que hacen, y haber que opinarías del este tipo de programas si son o no.

Por lo general todos son iguales, escribes un texto que quieras una dirección de e-mail (victima) introduces el numero de copias y ya esta.

El programa crea tantos mensajes como el numero de copias indicado antes, seguidamente empezara a enviar mensajes hasta saturar el correo de la victima.

¿Que opinas sobre este tipo de programas son virus o no?
Se replican como los gusanos o worms, pero en lugar de colapsar nuestro equipo o nuestra red, colapsa nuestro correo no pudiendo recibir ni enviar ningún correo.

Virus de Mirc
No se considera virus tal cual, pero son idénticos y tienen muchas características comunes.


Virus del Mirc
Son la nueva generación de infección, aprovechan la ventajas proporcionadas por la Red y de los millones de usuarios conectados a cualquier IRC a través del Mirc. Consiste en un script para el cliente de IRC Mirc. Cuando se accede a un canal de IRC, recibe por DCC un archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobrescrito por el "script.ini" maligno.
Bueno después de lo dicho nos preguntaremos ¿y para en que nos afecta a nosotros? Pues muy fácil, los autores pueden desconectarte del IRC o acceder a información privada,(archivo de claves o el "etc/passwd" de Linux).

Virus de Multi-Partes

Los virus multi-parte pueden infectar tanto el sector de arranque como los archivos ejecutables, suelen ser una combinación de todos los tipos existentes de virus, su poder de destrucción es muy superior a los demás y de alto riesgo para nuestros datos, su tamaño es mas grande a cambio de tener muchas mas opciones de propagarse e infección de cualquier sistema.


Virus de Sector de Arranque
Este tipo de virus infecta el sector de arranque de un disquete y se esparce en el disco duro del usuario, el cual también puede infectar el sector de arranque del disco duro (MBR). Una vez que el MBR o sector de arranque esté infectado, el virus intenta infectar cada disquete que se inserte en el sistema ,ya sea una CD-R, una unidad ZIP o cualquier sistema de almacenamiento de datos.

Los virus de arranque trabajan de la siguiente manera: se ocultan en el primer sector de un disco y se cargan en la memoria antes de que los archivos del sistema se carguen. Esto les permite tomar total control de las interrupciones del DOS y así, pueden diseminarse y causar daño.

Estos virus, generalmente reemplazan los contenidos del MBR o sector de arranque con su propio contenido y mueven el sector a otra área en el disco. La erradicación de un virus de arranque puede hacerse inicializando la máquina desde un disquete sin infectar, o encontrando el sector de arranque original y reemplazándolo en el lugar correcto del disco.

Virus de VBS
Debido al auge de Internet los creadores de virus han encontrado una forma de propagación masiva y espectacular de sus creaciones a través mensajes de correo electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión .VBS
El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT/Me/2000/XP, este tipo de archivos dejó de ser empleado y fue reemplazado por los Visual Basic Scripts.

Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas secuencialmente para realizar una determinada acción al iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicación, almacenadas bajo un nombre de archivo y extensión adecuada.

Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows, Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.

Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como medios de propagación. Asimismo, un VBS puede contener instrucciones que afecten a los sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la extensión .VBS.

Actualmente existen 2 medios de mayor difusión de virus en VBS:

1. Infección de canales IRC
(el chat convoca a una enorme cantidad de "victimas")

El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación entre usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados "clientes IRC" (tales como el mIRC, pIRCh, Microsoft Chat).

Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC, pero es necesario que primero se conecte a un servidor chat, el cual a su vez, está conectado a otros servidores similares, los cuales conforman una red IRC. Los programas "clientes IRC" facilitan al usuario las operaciones de conexión, haciendo uso del comando /JOIN, para poder conectarse a uno o mas canales.

Las conversaciones pueden ser públicas (todo el canal visualiza lo que el usuario digita) o privadas (comunicación entre 2 personas).

Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado "bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico amigable.

¿Como atacan los gusanos (VBS/Worms)?
Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat, además de otras instrucciones dentro de un Visual Basic Script. Este script que contiene el código viral sobre-escribe al original, en el sistema remoto del usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez, en ese mismo canal.

Este tipo de propagación de archivos infectados, se debe a la vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de PIRCH98.

2. Re-envío de mensajes de la libreta de direcciones Microsoft Outlook.

Office 95/97/2000/XP, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que permiten invocar la ejecución de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque también pueden editar instrucciones y comandos con el NotePad y archivarlo con la extensión .VBS

Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for Aplications, tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe la orden de re-enviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones del sistema de usuario infectado.

Estas infecciones también se reproducen entre todos los usuarios de una red, una vez que uno de sus usuarios ha sido infectado.

Virus de Web (active x y java)
Los applets de JAVA y los controles Active X, son unos lenguajes nuevos orientados a Internet, pero las nuevas tecnologías abren un mundo nuevo a explotar por los creadores de virus.
De momento no son muy utilizados pero a partir del 2000, superaran en numero a los virus de macro.



AHORA LOS VIRUS QUE TE PUEDEN AFECTAR COMUNMENTE

Virus:  FormatC
Troyano que infecta el Word, al abrir un archivo infectado formatea el disco rígido.
Removedor:
Sigue estos para remover FormatC Worm de tu computadora.  Empezando con hacer un back up (copia de seguridad) de tu registro y tu sistema, y/o seleccionado una parte del sistema ya guardada, para prevenir problemas si se comete algún error remueva estos files (si están presentes) en el Windows Explorer:
088836.vom     
088835.vat
08869e.vom
08869d.vom


Virus: VBS/Bubbleboy
Troyano que se ejecuta sin necesidad de abrir un documento adjunto (attachment), y se activa inmediatamente después de que el usuario abra el mail. No genera problemas serios.


Virus: I-Worm.Nimda
Este virus llega mediante e-mail a través del fichero adjunto "README.EXE" en un fichero adjunto, con el mensaje aparentemente vacío pero contiene un código maligno que se aprovecha de un exploit de Outlook y Outlook Express sin actualizar (rutina que utiliza la debilidad del sistema) para ejecutar el virus solamente con la visualización del mensaje. Cuando se ejecuta se copia a sí mismo en el directorio del sistema bajo el nombre load.exe. También reemplaza la librería riched20.dll modificándose a sí mismo para poderse cargarse como una librería DLL. Esta DLL se utiliza por otras aplicaciones que trabaja con Richedit Text Format como es por ejemplo el Wordpad. Para introducirse en el ordenador el virus utiliza una vulnerabilidad de Windows muy conocida (desde el 29/03/2001) que permite que el fichero adjunto de un determinado mensaje se ejecute automáticamente al leer el mensaje.


Virus: W32/Frethem.J
Gusano que se propaga rápidamente por correo electrónico mediante un mensaje fácil de reconocer, pues su asunto es: Re: Your password!. Además, en el mensaje se incluye el fichero decrypt-password.exe. De este modo, el autor del gusano intenta engañar al receptor del mismo para que ejecute el fichero adjunto, pensando que contiene una contraseña con la que supuestamente podrá acceder a información de interés.

Virus: W32/Dadinu
Gusano que se propaga a través del correo electrónico enviándose a los contactos almacenados en la Libreta de direcciones de Microsoft Messenger con extensiones cpl. Se caracteriza por crear un gran número de ficheros en los ordenadores que infecta.

Virus: W32/SirCam
Gusano que se propaga a través del correo electrónico enviándose a los contactos de la libreta de direcciones de Outlook. El gusano escoge un fichero del equipo afectado para enviarse a sí mismo y le añade otra extensión. De este modo, el  fichero adjunto aparecerá con doble extensión. Una vez que el gusano se ha instalado en el sistema, modifica el registro de Windows para asegurar su presencia cada vez que se ejecute un archivo con extensión exe. En ciertas ocasiones el gusano crea un fichero y comienza a escribir texto en él hasta ocupar todo el espacio disponible en el disco duro. Adicionalmente, otra de las acciones que puede llevar a cabo este virus es la eliminación de información del disco duro. El gusano llega en un mensaje de correo electrónico, incluido en un archivo adjunto.




Virus: Datom (Win32.Worm. Datom.A)
Es un gusano con un nuevo código malévolo para ordenadores que funcionan bajo el sistema operativo Microsoft ® Windows y se propaga a través de las carpetas compartidas identificándose como código de "Copyright Microsoft Corp". El virus intenta conectarse a la página web de Microsoft (http://www.microsoft.com ) y se propaga en todas las carpetas y las subcarpetas compartidas de la red local.


NOTA.....
Siempre que utilizes un ordenador para realizar tus tareas toma en cuenta que no todo lo que tu antivirus te diga que es virus, no siempre es virus, sino que solamente se tratan de archivos que probablemente podrian afectar a tu pc. 


No hay comentarios:

Publicar un comentario en la entrada