Virus informáticos simplificados - inteligenciaes

Virus informáticos simplificados

yo virus

1 Definición: ¿Qué es un código malicioso?

El código malicioso se refiere a cualquier instrucción o conjunto de instrucciones que realizan una función sospechosa sin el consentimiento del usuario.

2 Definición — ¿Qué es un virus informático?

Un virus informático es una forma de código malicioso. Es un conjunto de instrucciones (es decir, un programa) que es a la vez autorreplicante e infeccioso, imitando así a un virus biológico.

3 Programas de virus e infectados del sector de arranque

Los virus se pueden clasificar primero en términos de lo que infectan. Los virus que infectan los programas del usuario, como juegos, procesadores de texto (Word), hojas de cálculo (Excel) y DBMS (Access), se conocen como virus de programa. Los virus que infectan sectores de arranque (explicados más adelante) y/o Master Boot Records (explicados más adelante) se conocen como infectadores de sectores de arranque. Algunos virus pertenecen a ambos grupos. Todos los virus tienen tres funciones: reproducir, infectar y entregar la carga útil. Veamos primero los virus de programas.

3.1 ¿Cómo funciona un virus de programa?

Un virus de programa debe adjuntarse a otros programas para existir. Esta es la característica principal que distingue a un virus de otras formas de código malicioso: no puede existir por sí solo; es parásito en otro programa. El programa que invade un virus se conoce como programa huésped. Cuando se ejecuta un programa infectado por virus, también se ejecuta el virus. El virus ahora realiza sus dos primeras funciones simultáneamente: Reproducir e Infectar.

Después de que se ejecuta un programa infectado, el virus toma el control del host y comienza a buscar otros programas en el mismo u otros discos que actualmente no están infectados. Cuando encuentra uno, se copia a sí mismo en el programa no infectado. Posteriormente, podría comenzar a buscar más programas para infectar. Una vez completada la infección, el control se devuelve al programa anfitrión. Cuando se termina el programa anfitrión, este y posiblemente también el virus, se eliminan de la memoria. El usuario probablemente no se dará cuenta de lo que acaba de suceder.

Una variación de este método de infección consiste en dejar el virus en la memoria incluso después de que el host haya terminado. El virus ahora permanecerá en la memoria hasta que se apague la computadora. Desde esta posición, el virus puede infectar los programas al contenido de su corazón. La próxima vez que el usuario inicie su computadora, sin saberlo, podría ejecutar una de sus aplicaciones infectadas.

Tan pronto como el virus está en la memoria, existe el riesgo de que se invoque la tercera función del virus: Entregar carga útil. Esta actividad puede ser cualquier cosa que desee el creador del virus, como eliminar archivos o ralentizar la computadora. El virus podría permanecer en la memoria, entregando su carga útil, hasta que se apague la computadora. Podría modificar archivos de datos, dañar o eliminar archivos y programas de datos, etc. Podría esperar pacientemente a que usted cree archivos de datos con un procesador de textos, hoja de cálculo, base de datos, etc. Luego, cuando salga del programa, el virus podría modificar o elimine los nuevos archivos de datos.

3.1.1 Proceso de infección

Un virus de programa suele infectar otros programas colocando una copia de sí mismo al final del objetivo previsto (el programa host). Luego modifica las primeras instrucciones del programa host para que cuando se ejecute el host, el control pase al virus. Posteriormente, el control vuelve al programa host. Hacer que un programa sea de solo lectura es una protección ineficaz contra un virus. Los virus pueden obtener acceso a archivos de solo lectura simplemente deshabilitando el atributo de solo lectura. Después de la infección, se restauraría el atributo de solo lectura. A continuación, puedes ver el funcionamiento de un programa antes y después de haber sido infectado.

Lee mas  ¿Quieres ganar dinero operando en Forex? Mire la acción del precio

Antes de la infección

1. Instrucción 1

2. Instrucción 2

3. Instrucción 3

4. Instrucción n

fin de programa

Después de la infección

1. Saltar a la instrucción de virus 1

2. Programa anfitrión

3. Instrucción de anfitrión 1

4. Instrucción de anfitrión 2

5. Instrucción de anfitrión 3

6. Instrucción de anfitrión n

7. Fin del programa anfitrión

8. Programa antivirus

9. Instrucción de virus 1

10. Instrucción de virus 2

11. Instrucción de Virus 3

12. Instrucción de virus n

13. Saltar a la instrucción del host 1

14. Fin del programa antivirus

3.2 ¿Cómo funciona un Infectador de Sector de Arranque?

En los discos duros, la pista 0, el sector 1 se conoce como Master Boot Record. El MBR contiene un programa, así como datos que describen el disco duro que se está utilizando. Un disco duro se puede dividir en una o más particiones. El primer sector de la partición que contiene el sistema operativo es el sector de arranque.

Un infector de sector de arranque es un poco más avanzado que un virus de programa, ya que invade un área del disco que normalmente está fuera del alcance del usuario. Para entender cómo funciona un infector de sector de arranque (BSI), primero se debe entender algo llamado procedimiento de arranque. Esta secuencia de pasos comienza cuando se presiona el interruptor de encendido, activando así la fuente de alimentación. La fuente de alimentación inicia la CPU, que a su vez ejecuta un programa ROM conocido como BIOS. El BIOS prueba los componentes del sistema y luego ejecuta el MBR. El MBR luego ubica y ejecuta el sector de arranque que carga el sistema operativo. El BIOS no verifica para ver cuál es el programa en la pista 0, sector 1; simplemente va allí y lo ejecuta.

Para evitar que el siguiente diagrama se vuelva demasiado grande, el sector de arranque se referirá tanto al sector de arranque como al MBR. Un infectador del sector de arranque mueve el contenido del sector de arranque a una nueva ubicación en el disco. Luego se coloca en la ubicación del disco original. La próxima vez que se inicie la computadora, el BIOS irá al sector de inicio y ejecutará el virus. El virus ahora está en la memoria y podría permanecer allí hasta que se apague la computadora. Lo primero que hará el virus es ejecutar, en su nueva ubicación, el programa que solía estar en el sector de arranque. Este programa luego cargará el sistema operativo y todo continuará normalmente excepto que ahora hay un virus en la memoria. El procedimiento de arranque, antes y después de la infección viral, se puede ver a continuación.

Antes de la infección

1. Presione el interruptor de encendido

2. La fuente de alimentación inicia la CPU

3. La CPU ejecuta BIOS

4. BIOS prueba los componentes

5. BIOS ejecuta el sector de arranque

6. El sector de arranque carga el sistema operativo

Después de la infección

1. Presione el interruptor de encendido

2. La fuente de alimentación inicia la CPU

3. La CPU ejecuta BIOS

4. BIOS prueba los componentes

5. BIOS ejecuta el sector de arranque

6. BSI ejecuta el programa de sector de arranque original en una nueva ubicación

7. El programa del sector de arranque original carga el sistema operativo (BSI permanece en la memoria cuando se completa el proceso de arranque)

Lee mas  Iconización, borrado y recursividad fractal

BSI = Infectador del sector de arranque

4 virus sigiloso

Otra forma de clasificar los virus tiene que ver con la forma en que se esconden dentro de su host y se aplica tanto a los virus del programa como al sector de arranque. Un virus normal infecta un programa o un sector de arranque y luego simplemente se queda allí. Un tipo especial de virus conocido como virus sigiloso, se encripta a sí mismo cuando se esconde dentro de otro programa o sector de arranque. Sin embargo, un virus cifrado no es ejecutable. Por lo tanto, el virus deja una pequeña etiqueta colgando que nunca se cifra. Cuando se ejecuta el programa anfitrión o el sector de arranque, la etiqueta toma el control y decodifica el resto del virus. El virus completamente descodificado puede entonces realizar sus funciones de Infección y Reproducción o su función de Entrega de carga dependiendo de la forma en que se escribió el virus.

Una forma avanzada de virus sigiloso es un virus sigiloso polimórfico, que emplea un algoritmo de cifrado diferente cada vez. La etiqueta, sin embargo, nunca debe cifrarse de ninguna manera. De lo contrario, no será ejecutable y no podrá decodificar el resto del virus.

5 bomba lógica

Los virus a menudo están programados para esperar hasta que se cumpla una determinada condición antes de entregar su carga útil. Tales condiciones incluyen: después de que se ha reproducido un cierto número de veces, cuando el disco duro está lleno en un 75%, etc. Estos virus se conocen como bombas lógicas porque esperan hasta que una condición lógica sea verdadera antes de entregar la carga útil.

5.1 bomba de relojería

El término bomba de tiempo se utiliza para referirse a un virus que espera hasta una determinada fecha y/o hora antes de entregar su carga útil. Por ejemplo, algunos virus se activan el viernes 13, el 1 de abril o el 31 de octubre. El virus Michelangelo tenía como fecha de activación el 6 de marzo. Esperar hasta una fecha u hora específica antes de entregar la carga útil significa que una bomba de tiempo es un tipo específico de bomba lógica (discutido anteriormente) porque esperar una fecha/hora significa que el virus está esperando que se cumpla una condición lógica. Existe una superposición considerable en estas áreas de descripción de virus. Por ejemplo, un virus en particular podría ser un virus de programa y un virus sigiloso polimórfico. Otro virus podría ser un infectador del sector de arranque, un virus sigiloso y una bomba de tiempo. Cada término se refiere a un aspecto diferente del virus.

II Más sobre código malicioso

1 caballos de Troya

Un caballo de Troya es un programa independiente y una forma de código malicioso. No es un virus sino un programa que uno piensa que haría una cosa pero en realidad hace otra. El usuario es engañado por el nombre del programa que atrae a los usuarios desprevenidos a ejecutarlo y, una vez ejecutado, se invoca un código malicioso. El código malicioso podría ser un virus, pero no tiene por qué serlo. Podrían ser simplemente algunas instrucciones que no son infecciosas ni autorreplicantes, pero que entregan algún tipo de carga útil. Un caballo de Troya de los días de DOS fue SEX.EXE, que se infectó intencionalmente con un virus. Si encontrara un programa con este nombre en su disco duro, ¿lo ejecutaría? Cuando se cargaba el programa, aparecían en la pantalla algunas imágenes interesantes para distraerte. Mientras tanto, el virus incluido estaba infectando su disco duro. Algún tiempo después, la tercera función del virus codificaba la FAT (Tabla de asignación de archivos) de su disco duro, lo que significaba que no podía acceder a ninguno de sus programas, archivos de datos, documentos, etc.

Lee mas  ¿Cuáles son los beneficios de los libros electrónicos en PDF y cómo crearlos?

Un caballo de Troya podría llegar a su disco duro de diferentes maneras. Los más comunes involucran Internet.

– Podría descargarse sin tu permiso mientras descargas otra cosa.

– Podría descargarse automáticamente cuando visite ciertos sitios web.

– Podría ser un archivo adjunto en un correo electrónico.

Como se dijo anteriormente, el nombre de archivo de un caballo de Troya atrae a los usuarios desprevenidos a ejecutarlo. Si un caballo de Troya es un archivo adjunto en un correo electrónico, la línea de asunto del correo electrónico también podría escribirse para atraer al usuario a ejecutarlo. Por ejemplo, la línea de asunto podría ser “¡Has ganado 5 millones de dólares!” y el nombre de archivo del archivo adjunto podría ser “million dollar winner.exe”.

2 gusanos

Un gusano no es un virus. Más bien, es una forma de código malicioso que reproduce y entrega una carga pero no es infecciosa. Es un programa independiente que existe por sí mismo como un caballo de Troya o cualquier programa normal. Los virus no pueden existir por sí solos. Los gusanos no infectan los programas, pero se reproducen y, por lo general, se transmiten mediante la técnica del caballo de Troya.

3 Entregar carga: ¿Qué puede hacer el código malicioso?

– Mostrar un mensaje o gráfico en la pantalla, como una serie de cangrejos que se arrastran lentamente devorando y destruyendo todo lo que encuentran. Este virus muy antiguo se llamaba Cangrejos.

– Solicitar al usuario que realice una determinada función, como presionar una determinada secuencia de teclas antes de permitir que se reanude el funcionamiento normal. Un ejemplo de esto es el virus Cookie Monster, en el que el Cookie Monster aparecería en su pantalla y exigiría una cookie antes de devolverle el control de su computadora. Tendrías que responder escribiendo cookie. Varios minutos después, reaparecía y pedía otra galleta.

– Hacer que la computadora y/o el mouse se bloqueen y dejen de funcionar hasta que se reinicie el sistema.

– Redefinición del teclado (pulsar r y aparece ak, etc.).

– Hacer que la computadora funcione a una fracción de su velocidad normal.

– Borrar uno o más de los archivos de la computadora.

– Cambiar o corromper el contenido de los archivos de datos (sutilmente o de otro modo), a menudo de una manera casi imperceptible para el usuario hasta una fecha muy posterior. Por ejemplo, un código malicioso podría mover un punto decimal en un archivo de presupuesto de una hoja de cálculo, o cambiar la primera palabra de cada párrafo en un archivo de procesador de texto a “¡Te tengo!”

III Mantenimiento Preventivo

La mejor manera de evitar ser víctima de un ataque de virus es evitar que su sistema contraiga un virus. Al tomar medidas de precaución simples, puede reducir las posibilidades de que su sistema se infecte alguna vez.

– Instalar software antivirus. Recomiendo Avast Free Antivirus. Es una protección completa y gratuita y funciona bien.

– Solo visite sitios web en los que confíe

– Hacer copias de seguridad de sus datos

Leave a Comment