Yo virus
1 Definición: ¿Qué es el código malicioso?
El código malicioso se refiere a cualquier instrucción o conjunto de instrucciones que realizan una función sospechosa sin el consentimiento del usuario.
2 Definición: ¿Qué es un virus informático?
Un virus informático es una forma de código malicioso. Es un conjunto de instrucciones (es decir, un programa) que es tanto autorreplicante como infeccioso, imitando así un virus biológico.
3 Programas de virus e infecciones del sector de arranque
Los virus se pueden clasificar primero en términos de lo que infectan. Los virus que infectan los programas del usuario, como juegos, procesadores de texto (Word), hojas de cálculo (Excel) y DBMS (Access), se conocen como virus de programa. Los virus que infectan los sectores de arranque (explicados más adelante) y / o los registros de arranque maestros (explicados más adelante) se conocen como infectores del sector de arranque. Algunos virus pertenecen a ambos grupos. Todos los virus tienen tres funciones: reproducir, infectar y entregar carga útil. Primero veamos los virus del programa.
3.1 ¿Cómo funciona un virus de programa?
Un virus de programa debe adjuntarse a otros programas para existir. Ésta es la característica principal que distingue a un virus de otras formas de código malicioso: no puede existir por sí solo; es parásito en otro programa. El programa que invade un virus se conoce como programa anfitrión. Cuando se ejecuta un programa infectado con virus, el virus también se ejecuta. El virus ahora realiza sus dos primeras funciones simultáneamente: reproducir e infectar.
Después de que se ejecuta un programa infectado, el virus toma el control del host y comienza a buscar otros programas en el mismo u otros discos que actualmente no estén infectados. Cuando encuentra uno, se copia a sí mismo en el programa no infectado. Posteriormente, podría comenzar a buscar más programas para infectar. Una vez finalizada la infección, el control se devuelve al programa anfitrión. Cuando se termina el programa anfitrión, éste y posiblemente el virus también se eliminan de la memoria. Es probable que el usuario no se dé cuenta por completo de lo que acaba de suceder.
Una variación de este método de infección implica dejar el virus en la memoria incluso después de que el anfitrión haya terminado. El virus ahora permanecerá en la memoria hasta que se apague la computadora. Desde esta posición, el virus puede infectar programas al máximo. La próxima vez que el usuario inicie su computadora, sin saberlo, podría ejecutar una de sus aplicaciones infectadas.
Tan pronto como el virus esté en la memoria, existe el riesgo de que se invoque la tercera función del virus: entregar carga útil. Esta actividad puede ser cualquier cosa que desee el creador del virus, como eliminar archivos o ralentizar la computadora. El virus podría permanecer en la memoria, entregando su carga útil, hasta que se apague la computadora. Podría modificar archivos de datos, dañar o eliminar archivos de datos y programas, etc. Podría esperar pacientemente a que cree archivos de datos con un procesador de texto, hoja de cálculo, base de datos, etc. Luego, cuando salga del programa, el virus podría modificar o eliminar los nuevos archivos de datos.
3.1.1 Proceso de infección
Un virus de programa suele infectar a otros programas colocando una copia de sí mismo al final del objetivo previsto (el programa anfitrión). Luego modifica las primeras instrucciones del programa anfitrión para que cuando se ejecute el anfitrión, el control pase al virus. Posteriormente, el control vuelve al programa anfitrión. Hacer que un programa sea de solo lectura es una protección ineficaz contra un virus. Los virus pueden obtener acceso a archivos de solo lectura simplemente deshabilitando el atributo de solo lectura. Después de la infección, se restauraría el atributo de solo lectura. A continuación, puede ver el funcionamiento de un programa antes y después de que se haya infectado.
Antes de la infección
1. Instrucción 1
2. Instrucción 2
3. Instrucción 3
4. Instrucción n
Fin del programa
Después de la infección
1. Vaya a la instrucción sobre virus 1
2. Programa anfitrión
3. Instrucción de anfitrión 1
4. Instrucción para anfitriones 2
5. Instrucción para anfitriones 3
6. Instrucción del anfitrión n
7. Fin del programa anfitrión
8. Programa de virus
9. Instrucción sobre virus 1
10. Instrucción sobre virus 2
11. Instrucción de virus 3
12. Instrucción sobre virus n
13. Salte a la instrucción de host 1
14. Fin del programa de virus
3.2 ¿Cómo funciona un infectador del sector de arranque?
En los discos duros, la pista 0, sector 1 se conoce como Master Boot Record. El MBR contiene un programa y datos que describen el disco duro que se está utilizando. Un disco duro se puede dividir en una o más particiones. El primer sector de la partición que contiene el sistema operativo es el sector de arranque.
Un infector del sector de arranque es bastante más avanzado que un virus de programa, ya que invade un área del disco que normalmente está fuera del alcance del usuario. Para comprender cómo funciona un infector del sector de inicio (BSI), primero se debe comprender algo llamado procedimiento de inicio. Esta secuencia de pasos comienza cuando se presiona el interruptor de encendido, activando así la fuente de alimentación. La fuente de alimentación inicia la CPU, que a su vez ejecuta un programa ROM conocido como BIOS. El BIOS prueba los componentes del sistema y luego ejecuta el MBR. El MBR luego ubica y ejecuta el sector de arranque que carga el sistema operativo. El BIOS no comprueba cuál es el programa en la pista 0, sector 1; simplemente va allí y lo ejecuta.
Para evitar que el siguiente diagrama sea demasiado grande, el sector de arranque se referirá tanto al sector de arranque como al MBR. Un infector del sector de arranque mueve el contenido del sector de arranque a una nueva ubicación en el disco. Luego se coloca en la ubicación del disco original. La próxima vez que se inicie la computadora, el BIOS irá al sector de inicio y ejecutará el virus. El virus ahora está en la memoria y puede permanecer allí hasta que se apague la computadora. Lo primero que hará el virus es ejecutar, en su nueva ubicación, el programa que solía estar en el sector de arranque. Este programa cargará el sistema operativo y todo seguirá con normalidad, excepto que ahora hay un virus en la memoria. El procedimiento de inicio, antes y después de la infección viral, se puede ver a continuación.
Antes de la infección
1. Presione el interruptor de encendido
2. La fuente de alimentación inicia la CPU
3. CPU ejecuta BIOS
4. Componentes de prueba de BIOS
5. BIOS ejecuta el sector de arranque
6. El sector de arranque carga el sistema operativo
Después de la infección
1. Presione el interruptor de encendido
2. La fuente de alimentación inicia la CPU
3. CPU ejecuta BIOS
4. Componentes de prueba de BIOS
5. BIOS ejecuta el sector de arranque
6. BSI ejecuta el programa de sector de arranque original en una nueva ubicación
7. El programa del sector de arranque original carga el sistema operativo (BSI permanece en la memoria cuando se completa el proceso de arranque)
BSI = Infector del sector de arranque
4 Virus sigiloso
Otra forma de clasificar los virus tiene que ver con la forma en que se esconden dentro de su host y se aplica tanto a los virus de programa como a los del sector de arranque. Un virus normal infecta un programa o sector de arranque y luego simplemente se queda allí. Un tipo especial de virus conocido como virus furtivo, se encripta a sí mismo cuando se esconde dentro de otro programa o sector de arranque. Sin embargo, un virus cifrado no es ejecutable. Por lo tanto, el virus deja colgando una pequeña etiqueta que nunca se cifra. Cuando se ejecuta el programa host o el sector de arranque, la etiqueta toma el control y decodifica el resto del virus. El virus completamente decodificado puede entonces realizar sus funciones de Infección y Reproducir o su función de Entrega de Carga, dependiendo de la forma en que se escribió el virus.
Una forma avanzada de virus furtivo es un virus furtivo polimórfico, que emplea un algoritmo de cifrado diferente cada vez. Sin embargo, la etiqueta nunca debe cifrarse de ninguna manera. De lo contrario, no será ejecutable y no podrá decodificar el resto del virus.
5 bomba lógica
Los virus a menudo están programados para esperar hasta que se cumpla una determinada condición antes de entregar su carga útil. Tales condiciones incluyen: después de que se ha reproducido un cierto número de veces, cuando el disco duro está lleno al 75%, etc. Estos virus se conocen como bombas lógicas porque esperan hasta que una condición lógica sea verdadera antes de entregar la carga útil.
5.1 Bomba de tiempo
El término bomba de tiempo se utiliza para referirse a un virus que espera hasta una determinada fecha y / o hora antes de entregar su carga útil. Por ejemplo, algunos virus se activan el viernes 13, el 1 de abril o el 31 de octubre. El virus Michelangelo tuvo el 6 de marzo como fecha de activación. Esperar hasta una fecha y / o hora específicas antes de entregar la carga útil significa que una bomba de tiempo es un tipo específico de bomba lógica (discutido anteriormente) porque esperar una fecha / hora significa que el virus está esperando que una condición lógica sea verdadera. Existe una superposición considerable en estas áreas de descripción de virus. Por ejemplo, un virus en particular podría ser un virus de programa y un virus furtivo polimórfico. Otro virus podría ser un infectador del sector de arranque, un virus sigiloso y una bomba de tiempo. Cada término se refiere a un aspecto diferente del virus.
II Más sobre código malicioso
1 caballos de Troya
Un caballo de Troya es un programa independiente y una forma de código malicioso. No es un virus, sino un programa que uno piensa que haría una cosa pero en realidad hace otra. El nombre del programa engaña al usuario, lo que atrae a los usuarios desprevenidos a ejecutarlo y, una vez ejecutado, se invoca un código malicioso. El código malicioso puede ser un virus, pero no tiene por qué serlo. Pueden ser simplemente algunas instrucciones que no son infecciosas ni autorreplicantes, pero que entregan algún tipo de carga útil. Un caballo de Troya de los días de DOS fue SEX.EXE, que fue infectado intencionalmente con un virus. Si encontrara un programa con este nombre en su disco duro, ¿lo ejecutaría? Cuando se cargó el programa, aparecieron en pantalla algunas imágenes interesantes para distraerte. Mientras tanto, el virus incluido estaba infectando su disco duro. Algún tiempo después, la tercera función del virus codificó la FAT (Tabla de asignación de archivos) de su disco duro, lo que significaba que no podía acceder a ninguno de sus programas, archivos de datos, documentos, etc.
Un caballo de Troya puede llegar a su disco duro de diferentes formas. Los más comunes involucran Internet.
– Podría descargarse sin su permiso mientras está descargando otra cosa.
– Podría descargarse automáticamente cuando visita ciertos sitios web.
– Podría ser un archivo adjunto en un correo electrónico.
Como se dijo anteriormente, el nombre de archivo de un caballo de Troya atrae a los usuarios desprevenidos a ejecutarlo. Si un caballo de Troya es un archivo adjunto en un correo electrónico, la línea de asunto del correo electrónico también podría escribirse para atraer al usuario a ejecutarlo. Por ejemplo, la línea de asunto podría ser «¡Ha ganado 5 millones de dólares!» y el nombre del archivo adjunto podría ser «ganador de un millón de dólares.exe».
2 gusanos
Un gusano no es un virus. Más bien, es una forma de código malicioso que reproduce y entrega una carga útil, pero no es infeccioso. Es un programa independiente que existe por sí solo como un caballo de Troya o cualquier programa regular. Los virus no pueden existir por sí solos. Los gusanos no infectan programas, pero se reproducen y, por lo general, se transmiten mediante la técnica del caballo de Troya.
3 Entrega de carga útil: ¿qué puede hacer el código malicioso?
– Mostrar un mensaje o gráfico en la pantalla, como una serie de cangrejos que se arrastran lentamente devorando y destruyendo todo lo que encuentran. Este virus muy antiguo se llamaba Cangrejos.
– Solicitar al usuario que realice una determinada función, como pulsar una determinada secuencia de teclas antes de permitir que se reanude el funcionamiento normal. Un ejemplo de esto es el virus Cookie Monster, en el que el Cookie Monster aparecería en su pantalla y exigiría una cookie antes de devolverle el control de su computadora. Tendría que responder escribiendo cookie. Varios minutos después, reaparecía y exigía otra galleta.
– Hacer que la computadora y / o el mouse se bloqueen y se vuelvan inoperables hasta que se reinicie el sistema.
– Redefiniendo el teclado (presione r y aparece ak, etc.).
– Hacer que la computadora funcione a una fracción de su velocidad normal.
– Borrado de uno o más archivos de la computadora.
– Cambiar o corromper el contenido de los archivos de datos (sutilmente o de otro modo), a menudo de una manera casi indetectable para el usuario hasta una fecha muy posterior. Por ejemplo, un código malintencionado podría mover un punto decimal en un archivo de presupuesto de hoja de cálculo o cambiar la primera palabra de cada párrafo en un archivo de procesador de texto a «¡te pillé!»
III Mantenimiento preventivo
La mejor manera de evitar ser víctima de un ataque de virus es evitar que su sistema contraiga un virus. Al tomar medidas de precaución simples, puede reducir las posibilidades de que su sistema se infecte alguna vez.
– Instale software antivirus. Recomiendo Avast Free Antivirus. Es una protección completa y gratuita y funciona bien.
– Visite solo sitios web en los que confíe
– Hacer copias de seguridad de sus datos