65438 A principios de la década de 1960, algunos jóvenes investigadores del Instituto Tecnológico de Massachusetts, en Estados Unidos, utilizaban su tiempo de trabajo para jugar a un juego de ordenador que habían creado después de completar su trabajo. El método consiste en que alguien compile un pequeño programa y luego lo introduzca en la computadora para ejecutarlo, destruyendo el programa de juego de la otra parte. Y este también puede ser el prototipo de un virus informático.
[editar] Entorno operativo y canales de comunicación
Dado que el 90% del mercado mundial de entornos de escritorio con sistemas operativos utiliza productos de la serie Microsoft Windows[4], los autores de virus han elegido Windows como objetivo de ataques de virus. El creador del virus primero debe determinar las vulnerabilidades de la versión del sistema operativo que quiere atacar. Ésta es la clave del exploit del virus que escribe. Windows no tiene funciones de seguridad integradas efectivas. Los usuarios a menudo ejecutan software no controlado y sin derechos de administrador, lo que también proporciona un caldo de cultivo para la propagación de virus en Windows. Para sistemas operativos como Linux y Mac OS, la cantidad de usuarios es relativamente pequeña y los virus generalmente no son fáciles de propagar. La mayoría de los editores de virus tienen una variedad de propósitos, que incluyen bromas, destrucción, venganza, fama y un interés especial en la investigación de virus.
Los virus se propagan rápidamente principalmente a través de la navegación y descargas de Internet, el correo electrónico y los discos extraíbles. [5]
[Editar] Nomenclatura
La siguiente tabla es una explicación de los prefijos de la convención internacional de nomenclatura de virus. Los virus en DOS generalmente no tienen prefijos:
Prefijo
p>Importancia
Sistema operativo de dispositivo móvil de Microsoft (Windows Mobile)
Word6.0, virus de macro Word95
WM97
Virus de macro Word97
Nodo de ejecución
Virus de macro Excel5.0 y Excel95
X97M
Ataque de las versiones Excel5.0 y Excel97.
Antigüedad de la bodega superior a 75 años)
Virus del programa Excel
Modulación de amplitud; modulación de amplitud
Virus de macro Access95
AM97M
Virus de macro Access97
W95
Virus Windows95, 98
Victoria
Windows3. x virus
W32
Virus de 32 bits, que infecta todos los sistemas Windows de 32 bits.
Winter
El virus de Windows de 32 bits sólo infecta a Windows NT.
Troj
Caballo de Troya
VBS
Virus escrito en lenguaje de programación VBScript
VSM
Virus de macros o scripts infectados con macros o scripts de Visio VBA (Visual Basic para Aplicaciones).
Jet Fluid Research…
Virus escrito en lenguaje de programación JScript
Educación Física
Virus de Windows con dirección de 32 bits
OSX
Virus MacOSX
La parte central se refiere al nombre en inglés del virus y el sufijo suele ser el código de variante.
[editar] Funciones
En informática, un virus informático es un programa similar a un virus biológico que se replica y se propaga a otros hosts, causando daños al host. Un host también es un programa, generalmente un sistema operativo, que infecta además otros programas y otras computadoras. Los virus informáticos a menudo se esconden a medida que se propagan, son desencadenados por condiciones específicas y comienzan a causar daños.
Las características indeseables de los virus informáticos incluyen transmisibilidad, ocultamiento, contagio, naturaleza latente, excitabilidad [6], expresividad o destructividad. Normalmente, un programa puede identificarse como virus siempre que presente más de dos de las características anteriores.
El ciclo de vida de un virus informático es período de desarrollo→período de infección→período de latencia→período de ataque→período de descubrimiento→período de digestión→período de muerte. [5][7]
[editar]Descripción detallada de las funciones principales
[editar]Comunicación
Los virus suelen propagarse automáticamente mediante el uso de 25 puertos de correo electrónico , explotando una vulnerabilidad en Outlook, que viene incluido con el sistema operativo de Microsoft. Copie automáticamente el virus y envíelo a los miembros de su lista de direcciones almacenada. Los titulares de los correos electrónicos incitan a las personas a hacer clic, principalmente utilizando ingeniería social como "Te amo" como palabras íntimas entre familiares y amigos para bajar la guardia. Si el autor del virus vuelve a aplicar la vulnerabilidad del script e incrusta el virus directamente en el correo electrónico, el usuario quedará infectado con sólo abrir el correo electrónico con un pequeño encabezado.
[Editar]Ocultar
Los virus generalmente solo tienen unos pocos kilobytes, por lo que no solo se propagan rápidamente sino que también son extremadamente ocultables. Algunos virus utilizan tecnología "sin proceso" o se insertan en un proceso crítico necesario para el sistema, por lo que sus procesos en ejecución separados no se pueden encontrar en el administrador de tareas. Una vez que se ejecuta el virus, modificará el nombre del archivo y lo ocultará en una carpeta del sistema que el usuario no visita con frecuencia. Estas carpetas suelen contener miles de archivos del sistema y es difícil encontrar virus mediante la búsqueda manual. La tecnología de disfraz que utilizan los virus antes de ejecutarse también merece nuestra atención. El virus está vinculado y fusionado en un documento que lo atrae, por lo que cuando el documento que lo atrae se ejecuta con normalidad, el virus también se ejecuta silenciosamente en nuestro sistema operativo.
[Editar] Infecciosidad
Algunos virus son contagiosos, como envenenar archivos ejecutables en la computadora del usuario, como los formatos exe, bat, scr y com. A través de este método se puede lograr la autorreplicación y la autoprotección. Por lo general, las vulnerabilidades compartidas por la red también se pueden utilizar para copiar y propagar a los usuarios de computadoras vecinas, de modo que todos los programas que accedan a la computadora del vecino a través del enrutador o la computadora del cibercafé quedarán infectados.
[Editar] Retraso
Algunos virus tienen un cierto "período de incubación" y aparecerán a tiempo en días específicos, como un feriado determinado o un día determinado de la semana. Por ejemplo, el virus CIH que destruyó el BIOS en 1999 estalló el 26 de abril de cada año. Esto es como un virus biológico, que permite que los virus informáticos se propaguen tanto como sea posible antes de que estallen.
[editar]Emoción
Según las "necesidades" del autor del virus, establezca el "misterio" que desencadena el ataque del virus. Por ejemplo, el virus que el creador del virus CIH, Chen Yinghao, planea diseñar está "cuidadosamente" diseñado para sistemas Windows en chino simplificado. Una vez que el virus se ejecuta, detectará activamente el idioma del sistema operativo envenenado. Si se descubre que el idioma del sistema operativo es chino simplificado, el virus atacará automáticamente la computadora y el idioma no es la versión china simplificada de Windows, por lo que incluso si ejecuta el virus, el virus no atacará ni dañará su computadora. . [8]
[Editar] Expresión
Después de ejecutar el virus, según el diseño del autor, tendrá ciertas características de rendimiento, como un uso de CPU de 100, lectura y escritura. discos duros u otros discos Los datos no requieren ninguna operación del usuario, hay una pantalla azul de muerte y no se puede usar el botón derecho del mouse. Sin embargo, características de rendimiento tan obvias ayudan a las personas infectadas a descubrir que han sido infectadas con el virus y son muy útiles para eliminar el virus, por lo que no existe el ocultamiento.
[Editar] Destructividad
Algunos virus potentes formatean directamente los datos del disco duro del usuario después de ejecutarse y, lo que es peor, pueden destruir el sector de arranque y la BIOS, causando graves daños al hardware. Daños considerables.
[editar] Clasificación
Según el informe estadístico publicado por el Centro Nacional de Respuesta a Emergencias contra Virus Informáticos de China, casi el 45% de los virus son caballos de Troya, los gusanos representan más del 25% de los virus. el total de virus y virus de script representan más de 15. Los tipos de virus restantes son virus de documentos, programas destructivos y virus de macro.
[Editar] Caballo de Troya/botnet
Entrada principal: Caballo de Troya
También llamado software de monitoreo remoto. Si el troyano puede conectarse, se puede decir que ha obtenido todos los derechos operativos de la computadora remota. Operar una computadora remota no es muy diferente de operar su propia computadora. Este tipo de programa puede monitorear la cámara del usuario controlado e interceptar contraseñas. La "Conexión a Escritorio remoto" que viene con las versiones más recientes de Windows NT no es más que un caballo de Troya si la utiliza un mal usuario.
Proyecto principal: Botnet
Una vez que un usuario es envenenado, se convertirá en un "zombi" o un "gallo" y un "robot" en manos de los piratas informáticos. Por lo general, los piratas informáticos o los script kiddies pueden utilizar miles de "zombis" para enviar una gran cantidad de paquetes falsos o paquetes de spam para atacar al objetivo previsto, provocando que el objetivo quede paralizado.
[Editar] Software dañino
Entrada principal: virus gusano
La clase de explotación de gusanos (clase de explotación de gusanos) también es el virus más común y generalmente se propaga por todo el mundo. mundo Se produjo un brote a gran escala. Como el virus Blaster y el virus Blaster contra versiones anteriores sin parches de Windows XP. A veces se utilizan botnets, principalmente utilizando técnicas de desbordamiento de búfer.
Proyectos principales: software gris
El software espía y el software fraudulento son software producidos por algunas empresas de Internet sin escrúpulos para recopilar los hábitos de navegación de los usuarios y formular sus propias estrategias publicitarias. Este tipo de software en sí no es muy dañino para la computadora, pero la privacidad de la persona envenenada se filtra y recopila, y una vez instalado, no se puede eliminar ni desinstalar normalmente. Por ejemplo, el adware de Internet Explorer modificará y bloqueará automáticamente la página de inicio predeterminada del usuario y cargará la barra de herramientas de la empresa de publicidad.
Proyecto principal: malware
El software de broma, como la destructiva "bomba de red", formatea automáticamente el disco duro después de ejecutar el programa. Originalmente era solo para "engañar" a los usuarios. pero esto después de ejecutar dichos programas maliciosos, causará enormes pérdidas en los datos importantes de los usuarios. Lo mismo ocurre con los virus de infección de archivos y los virus del sector raíz en DOS.
[Editar] Virus de script
Artículo principal: Virus de macro
Los virus de macro infectan la serie de software ofimático desarrollado por Microsoft. El software de Office, como Microsoft Word y Excel, admite la ejecución de comandos que pueden operar ciertos documentos, por lo que también son explotados por virus de macro maliciosos en documentos de Office. Openoffice.org solo admite la edición de macros de Microsoft VBS pero no las ejecuta, por lo que los documentos de MS Office que contienen virus de macro no se pueden ejecutar después de abrirlos en openoffice.org.
[editar]Virus de archivos
Los virus de archivos suelen existir en archivos ejecutables (archivos con extensión .). exe o. COM), cuando se ejecuta el archivo infectado, el virus comienza a dañar el ordenador.
[Editar] Tecnología antivirus y nuevas funciones
Proyecto principal: Tecnología antivirus
Artículo principal: Código de firma
Tecnología antivirus Se refiere a una tecnología que maneja virus para que puedan evitar ser detectados por el software antivirus. Normalmente, el virus en sí no muere antes de que su autor lo propague. Incluso se puede decir que "el virus es más nuevo que el software antivirus, por lo que el software antivirus no puede reconocerlo como virus en absoluto". Sin embargo, después de que el virus se propague, los usuarios informarán del envenenamiento a la compañía de software antivirus, la cual atraerá la atención de la compañía de seguridad e incluirá su código de firma en su base de datos de virus, para que el antivirus reconozca el virus. software antivirus.
Los autores de virus pueden volver a protegerlos, como mediante instrucciones de ensamblaje o agregando shells a los documentos, para evitar fácilmente la biblioteca de firmas de virus del software antivirus y evitar la detección y eliminación por parte del software antivirus.
El antivirus estadounidense Norton, McAfee, PC-cillin, el antivirus ruso Kaspersky, el eslovaco NOD32 y otros productos tienen una buena reputación a nivel internacional, pero sus capacidades antivirus y de verificación de shell son limitadas, y la base de datos de virus El número total es actualmente sólo unos pocos cientos de miles.
La autorrenovación es otra de las novedades de los virus en los últimos años. Los virus pueden mutar y actualizarse a través de Internet para obtener las últimas versiones libres de virus y continuar ejecutándose en las computadoras infectadas de los usuarios. Por ejemplo, el autor del virus Panda Burning Incense creó un "servidor de actualización de virus" que actualizaba el virus 8 veces al día en las horas más frecuentes, lo que era más rápido que la velocidad de actualización de la base de datos de virus de algunos programas antivirus, por lo que El software antivirus no pudo identificar el virus.
Además de la actualización automática, muchos virus tienen nuevas funciones de software antivirus y productos de firewall que los atacan. Mientras el virus se esté ejecutando, destruirá automáticamente el software antivirus y los productos de firewall instalados en la computadora infectada, como la protección Rootkit del controlador y la detección y salida forzada del proceso de software antivirus que viene con el virus. También puede "defender activamente" y penetrar a través del software antivirus convencional. El perro robot para la restauración de software y hardware [9] modifica automáticamente la hora del sistema y activa algún software antivirus.
Con la proliferación de tecnologías antivirus, el mismo prototipo de virus puede, en teoría, derivar en casi infinitas variantes, lo que genera grandes problemas al software antivirus que depende de la tecnología de firmas para su detección. En los últimos años, la comunidad antivirus internacional ha llevado a cabo en general una variedad de investigaciones técnicas con visión de futuro en un intento de revertir la situación adversa causada por la excesiva dependencia de las firmas. Los productos representativos actuales son el software de escaneo heurístico basado en tecnología de máquinas virtuales, representado por los fabricantes NOD32 y Dr.Web, el software de defensa activa basado en tecnología de análisis de comportamiento y el fabricante representativo China Micropoint Active Defense Software.
[editar]Prevención
Reparar vulnerabilidades en el sistema operativo y su software incluido.
Artículo principal: Microsoft Update
Instala parches de seguridad contra vulnerabilidades para el sistema y el software incluido (como Internet Explorer y Windows Media Player). Tomemos como ejemplo Windows. Windows NT y versiones inferiores pueden actualizar el sistema en Microsoft Update, Windows 2000SP2, Windows XP, Windows 2003 y versiones superiores pueden utilizar el programa de "actualización automática" del sistema para descargar e instalar parches. Establezca una contraseña segura para el sistema y desactive el acceso a la red predeterminado del sistema para evitar la intrusión en la LAN o la propagación de gusanos de contraseñas débiles. Verifique periódicamente la pestaña Inicio de la Utilidad de configuración del sistema y detenga los servicios desconocidos de Windows. Instale y actualice software antivirus y productos de firewall de manera oportuna, y mantenga las bases de datos de virus más recientes para detectar los virus más recientes de manera oportuna. Por ejemplo, algunos servidores de actualización de software antivirus tienen nuevos paquetes de bases de datos de virus que los usuarios pueden actualizar cada hora. Cuando utilice un firewall, tenga cuidado de no permitir que software desconocido acceda a la red. Por motivos como la protección antivirus y la inyección de procesos, algunos virus pueden atravesar fácilmente las defensas duales del antivirus y el firewall. En este caso, debe utilizar un firewall dedicado para evitar la inyección de procesos y verificar los elementos y servicios de inicio con frecuencia. Algunos firewalls especializados pueden "defender activamente" y monitorear el registro en tiempo real. Pueden interceptar cada operación maliciosa de un programa incorrecto en la computadora. No haga clic en conexiones desconocidas o conexiones que ejecutan programas desconocidos [10]. Es probable que el gusano se envíe automáticamente por correo electrónico o por software de mensajería instantánea, como QQ tail, uno de los virus QQ. La mayoría de los enlaces de esta información apuntan a sitios web que explotan las vulnerabilidades del navegador IE. Al visitar estos sitios web, los usuarios pueden obtener más virus directamente sin descargarlos. Además, no ejecute programas de origen desconocido, como algunos nombres de archivos de "tentación sexual" que engañan a las personas para que hagan clic. Después de hacer clic, el virus se ejecutará en el sistema.