TEMA 1: INTRODUCCION A LA COMPLEJIDAD DE LA SEGURIDAD INFORMATICA
TEMA 2: CRIPTOLOGIA
TEMA 3: SEGURIDAD EN REDES
TEMA 4: SEGURIDAD EN SISTEMAS OPERATIVOS: UNIX
TEMA 5: AMENAZAS PROGRAMADAS

TEMA 5: AMENAZAS PROGRAMADAS.

5.1. Introducción..
5.2. Virus: Acción y clasificación.
5.3. Contramedidas : Antivirus.
5.1. Introducción.

No existe un acuerdo general acerca de lo que es un virus. Se encuentra caracterizado dentro de los que se caracterizan como amenazas programadas,entendiendo como amenazas programadas como cualquier tipo de amenaza sobre la información de un determinado sistema, que tiene carácter automático. Así pues , el concepto de amenaza programada está altamente relacionado con el concepto de programa , a diferencia de que el objetivo de éste es difundirse y realizar tareas no-lícitas desde el punto de vista legal-moral. Para empezar a  caracterizar a los virus empecemos a hablar de algunas amenzas programadas que no son virus:

-Caballos de troya: Son "no-virus" , ya que no son capaces de duplicarse y hacer copias de sí mismos. Son programas que en apariencia son benignos pero esconden acciones de tipo malicioso.Tambien se consideran troyanos aquellos programas que están ocultos en el interior de otros aparentemente inofensivos.Cuando dichos programas son ejecutados, los troyanos se lanzan para realizar acciones que el usuario no desea. Algunos conocidos son por ejemplo, las versiones 78 y 79 del SCAN de McAfee o la versión 3.0 del pkzip.

-Gusanos: son programas autónomos que transmiten copias de sí mismos pero no infectan a otros.Uno de los más conocidos es el que invadió Internet en 1988.

-Droppers: son programas diseñados para evitar la detección por parte de los antivirus , contramedida que será estudiada con posterioridad.Sus funciones habituales van a ser la de transportar e instalar virus.Esperan en el sistema a que se produzca un determinado evento, en ese momento se activan e infectan con el virus que contienen.
 

5.2. Virus : Acción y clasificación.

Los virus suelen definirse como aquellos programas que disponen de unas características especiales que se engloban bajo los siguientes parámetros:

-Es capaz de crear copias de seguridad de sí mismo ( aunque pueden estar modificadas ). Esta copia es intencional, no es un efecto secundario.
-Al menos una de las copias que realiza es a su vez un virus.
-No existen por sí mismos deben ir asociados a un huésped (otro programa).
El nacimiento de los virus , como amenazas programadas , esta íntimamente ligado a la difusión de MS-DOS como sistema operativo estándar para realizar la administración de los ordenadores personales. El problema fundamental MS-DOS, es su propia filosofía de funcionamiento: un sistema monousuario y monotarea. Al ser monosuario, y monotarea , el propio sistema no protege lo que otros usuarios puedan hacer sobre la información que administra.Lo que es más grave, no puede controlar lo que los procesos de un determinado usuario pueden hacer con informaciones ligadas a otros usuarios. De ahí es donde va a nacer la motivación por parte de los programadores de computadores a realizar los  virus. Al contrario que en MS-DOS, los virus en UNIX, están restringidos al campo y a las restricciones de acceso de los usuarios, al estar claramente diferenciado lo que los procesos de un determinado usuario puede hacer con informaciones asociadas a otros usuarios. En MS-DOS, los virus se clasifican en :
-Virus en el sector de arranque: Comúnmente denominados virus de "boot".Su acción se fundamenta en que el sector de arranque de los disquetes y la tabla de particiones del disco duro, contienen un pequeño programa que se carga al encender el ordenador.Los virus de boot copian el sector de original en algún otro lado y después se copian ellos en su lugar.Dado que hay poco espacio suelen ocupar también algún que otro sector del disco. Para evitar que los sectores donde se copia el arranque original o alguna parte del virus sean sobreescritos, suelen marcarlos como defectuosos en la FAT. Una vez activos en memoria van infectando a todos los discos a los que accede , controlando la E/S sustituyendo en las zonas del sistema operativo reservadas al tratamiento de los perifericos, código que infecte el sector de arranque para cada uno de los discos a los que se acceden.En este tipo de virus,tiene como caracteristica su fácil infección ( unicamente utlizando por ejemplo "dir a:\") , sin embargo no tan fácil es su propagación, ya que tomando ciertas medidas se puede evitar.

-Virus de programa: estos virus se diferencian de los anteriores porque estos infectan los programas. Su modo de actuar es añadiendo código al programa que infectan modificando el contador de programa para que pase a ejecutar la primera instrucción del virus. Una vez esté ejecutado el virus devuelven el control al programa que el usuario quiere ejecutar, evitando así ser detectados en tiempo de ejecución. Una copia del programa infectado supone una forma de propagación para este tipo de virus. Se clasifican fundamentalmente en :

-Acción directa: actúan cuando se cargan en el programa. En ese momento seleccionan uno o más ficheros, los infectan y después devuelven el control al programa original.

-Residente: usan el procedimiento TSR:Terminate and Stay Resident permitido por MS-DOS: estos viurs se quedan en memoria y van infectando los ficheros en determinadas condiciones ( generalmente al ser abiertos o ejecutados ). ,Su detección es mucho más complicada que en el caso de los virus de acción directa.

Después de la aparición de Windows 95 como sistema operativo más difundido , los virus residentes en memoria desaparecen , debido a la gestión de memoria que hace el sistema operativo, pero no supone el final de los virus. Con la gran aceptación de las herramientas ofimáticas de microsoft aparece otra generación de virus informáticos: los virus de macro. Estos virus suelen ir adjuntos a documentos Word o bases de datos como Acces. Se basan en la posibilidad que ofrecen muchos programas de ejecutar otros programas ( denominados macros ) al cargar ficheros.Esto se debe a que existen programas que vienen con lenguajes de programación incluidos, los cuales están diseñados para "ayudar" a los usuarios a automatizar ciertas tareas relacionadas con el funcionamiento de la propia aplicación. Un ejemplo de este tipo de aplicaciones son las aplicaciones del Office de Microsoft. El concepto de virus de macro funciona poque estos lenguajes de programación proporcionan accesos a memoria y a los discos duros. De esa forma un virus de macro es simplemente una macro para uno de estos programas.La mayoría de estos virus son "Auto-Open" es decir, que se ejecutan causando el daño correspondiente cuando un documento o plantilla que contiene el virus se abre utilizando la aplicación correspondiente.
Como virus de macro más comunes nos encontramos al Melissa y el famoso I love you. Ambos se trasmiten por correo electrónico.Este último se hizo famoso por colapsar diversas redes informáticas de empresas.La macro que contenía el virus era un script en Visual Basic Script, que se ejecutaba al abrir el mensaje de correo electrónico que lo adjuntaba con Microsoft Outlook. El virus provocaba una sobrecarga de las redes informáticas al enviarse a todas aquellas direcciones que tuviese el usuario en la agenda de Outlook y borraba ficheros de ciertos tipos. Además creaba dos registros en el registro principal de Windows, provocando su ejecución automática al arrancar dicho sistema operativo.El Melissa era una macro de Word y tenía que ser abierto por esa aplicación.
5.3. Contramedidas : Antivirus

Hay que tener en cuenta que es imposible estar prevenido contra cualquier posibilidad de ser atacado por un virus. En cualquier caso una serie de medidas pueden ser tomadas:

- Elegir uno o varios "scanners" o antivirus.
- Acostumbrarse a pasar el antivirus a todo programa que recibamos.
- Crear un disco de emergencia.
- Utilizar un programa residente de protección.
- Utilizar comprobadores de integridad.
- Un virus es un programa que debe ejecutarse para estar activo.Por tanto un virus anexo a un mensaje de correo no hace nada hasta que se ejecuta. Conviene desactivar toda posibilidad de ejecución de programas via e-mail y usar herramientas seguras para gestión de correo.
Los antivirus son programas que buscan secuencias de bytes características de los virus. Algunos de los más conocido son Fprot, McAfee Viruscan, Panda Antivirus..., en el caso de que se utilicen varios es necesario rearrancar la máquina entre uno y otro para evitar falsos positivos.Suelen comprobar que no han sido modificados y que no hay virus en memoria antes de ejecutarse.Normalemente suelen dividirse en dos partes:
-El motor de búsqueda.Proporciona desde la interfaz con el usuario hasta el sistema interno de búsqueda.
-La base de datos que contiene las descripciones de los virus, nombres, caracteristicas, patrones o secuencias de bytes etc...
El funcionamiento se logra con la coordinación de las dos partes señaladas anteriormente. El motor de búsqueda es el encargado de buscar en los discos y memoria aquellos patrones o secuencias identificados en la base de datos.Es necesario tener en cuenta que por cada actualización del motor de búsqueda, aparecen numerosas versiones de la base de datos de virus. Diariamente aparecen nuevos virus por lo que las bases de datos deben ser actualizadas de la forma más rápida posible.Igual de importante es la fase de detección como la fase de eliminación , de tal forma que el antivirus eficiente es aquel que incorpora ambos factores en la mayor medida posible.
 
 
.
.