Por: Teologo Informático: Editor: Roberto Romero
¿Qué es un virus informático?
Un virus informático es un pequeño programa cuyo objetivo es provocar daños o alteraciones en los archivos o en áreas fundamentales de un sistema. Al igual que sus parientes biológicos, se autoreproducen e infectan a un receptor desde un transmisor. Este contagio puede ser provocado intencionalmente o sin el consentimiento del transmisor.
Un virus es un archivo ejecutable capaz de realizar acciones, normalmente dañinas, sin el consentimiento del usuario.
Podemos encontrar varios tipos de virus:
Programas: archivos ejecutables con extensiones .com, .exe, .drv, .ovl, .sys, .bin, .bat, etc; también archivos con la posibilidad de ejecutar macros, como los .doc, .xls, .ppt, etc.
Boot: rutinas que se ejecutan durante el booteo, en el sector de booteo, la tabla de partición, y la FAT.
Multipartite: capaces de hacer ambas cosas.
Un virus puede reproducirse, autoejecutarse, ocultarse, infectar otros tipos de archivos, encriptarse, cambiar de forma (polimórficos), residir en memoria, etc.
Los archivos que sólo contienen datos, no pueden ser infectados, dado que no pueden ejecutar ninguna rutina, pero sí pueden ser dañados.
Virus Stealth
Un virus Stealth es el que oculta las modificaciones que ha efectuado en el archivo o registro de inicio, generalmente controlando las funciones del sistema que utilizan los programas para leer archivos o bloques físicos desde soportes de almacenamiento, y prescindiendo de los resultados de las funciones de estos sistemas, de modo que los programas que intentan leer estas áreas ven la forma desinfectada original del archivo en lugar de la forma infectada real.Por consiguiente, los programas antivirus no detectan las modificaciones que realiza el virus. Sin embargo, para que esto se produzca, el virus debe encontrarse en la memoria cuando se ejecuta el programa antivirus.
Virus polimorfo
Un virus polimorfo es aquel que crea distintas copias (completamente operacionales) de sí mismo para que los programas antivirus no puedan detectar todas sus réplicas.
Virus acorazado
Un virus acorazado es el que utiliza trucos especiales para dificultar el seguimiento, la separación y el descifrado de su código.
Macrovirus o Virus de macros
Muchas aplicaciones permiten crear macros. Una macro es una serie de comandos que realizan una tarea específica de la aplicación. Estos comandos pueden almacenarse como una serie de pulsaciones de tecla o en un lenguaje especial de macro.
Estos programas tienen macros de apertura automática que se ejecutan al abrir un documento. El virus puede infectar esta macro y propagarse hacia la plantilla global del documento que ira propagando el virus cada vez que abramos un archivo nuevo.
Troyanos
Un troyano no es directamente un virus, dado que no se reproduce.
Son programas ejecutables que son ingresados a un sistema por un usuario malicioso de una forma encubierta, como un programa amistoso, gráficos, juegos, etc. De esta manera, al ser ejecutados, realizan acciones que el usuario no desea y que fueron desarrolladas por el escritor del troyano.
Aunque los troyanos pueden esconder en su interior toda clase de virus, el término troyano se ha generalizado para un tipo determinado de ellos, los llamados troyanos backdoor.
Este tipo de códigos maliciosos están ideados para abrir una puerta trasera, por la que un usuario malicioso puede entrar en el ordenador víctima y tomar control del mismo.
Tras instalarse en el ordenador atacado -y sin que el usuario se dé cuenta de ello-, el troyano abre un puerto de comunicaciones. De esta manera, a través de la Red, y con un programa cliente, un usuario atacante puede realizar todo tipo de acciones en el ordenador infectado, como conseguir información confidencial, abrir o cerrar la bandeja del CD, reiniciar el equipo remoto...
Cómo mecanismo de seguridad muchos laboratorios de computación, se han visto privado del servicio de red.
El mismo es un troyano.
El "troyano" lo que hace es ejecutar comandos de ping de esta forma:
ping -t -n 100000 -l 65500 -w 1 192.168.200.1
Lo que quiere significa que por cada t lo repetirá 10000 veces con un búfer de datos de 65500 cada 1 milisegundo por lo cual se congestionaría la red con una sola vez que se ejecute este comando, ahora bien este malware utiliza el servicio programador de tareas para poder ejecutar este comando muchas veces, por lo que si llegara a infectar una pc que tenga el servicio deshabilitado o detenido, no puede hacer nada ni siquiera propagarse, por lo que mi principal consejo es que se deshabilite este servicio que al final pocos lo usamos lo usamos y windows lo trae habilitado por defecto.
Para deshabilitarlo podemos ejecutar el siguiente comando en el cmd.
sc config schedule start=disabled
Hecho esto podremos estar seguros de que el malware no podra infectarnos ni se nos va a congestionar la red.
Muchas personas quizás desconozcan como descontaminar este malware aquí les dejo una serie de pasos que espero les sean ultil.
Cómo desinfectar su máquina
1- Cómo medida adicional desconecte su PC de la red. Luego proceda a reiniciarla y acceder a la misma en Modo a Prueba de Fallos (Modo seguro).
2- Diríjase a la carpeta Documents and Settings en C: y luego en All Users en la carpeta de Favoritos.
3- Para visualizar el archivo ejecutable services.exe si el mismo no es visible haga lo siguiente. En opciones de carpeta en la barra de menú en Herramientas, acceda a Opciones de carpeta. Luego active en la pestaña Ver, Mostrar archivos ocultos. Por último desactivar la protección, Ocultar archivos protegidos del sistema operativo (recomendado).
4- Si el archivo services.exe no aparece como un clásico archivo ejecutable de MS-DOS, o sea, un cuadrado blanco o negro en forma rectangular su PC está infectada. El troyano aparece en la forma de un casco al estilo de las guerras troyanas con un texto que indica C++.
5- Luego proceder a escanear la PC con cleanvilsel.exe. Este procedimiento no parece ser muy efectivo sobre este tipo de troyano ya que no lo he visto eliminarlo, pero cómo protección adicional y para revisar el resto de los archivos de su máquina es aconsejable.
6- Paso fundamental ejecute al terminar de escanear los script para desinfectar: Favorites_EN.exe ó Favorites_ES.exe en dependencia de si su Sistema Operativo está en inglés o en español. Este procedimiento eliminará el services.exe contaminado y lo sustituirá por uno nuevo.
7- Para garantizar que la infección no se vuelva a producir. De clic derecho sobre services.exe y vaya a sus propiedades a la pestaña Seguridad. Luego clic sobre “Opciones avanzadas”. Desmarque el cuadro: “Heredar del objeto principal las entradas de permisos relativos…”. Clic en “Quitar”.
8- Al aplicar el proceso anterior y volver a la pestaña de seguridad observará que en el listado de los usuarios que aparece en la parte superior no aparece ninguno con permisos sobre este ejecutable. Proceda con el botón “Agregar” a adicionar el usuario “System”, al hacerlo y volver a la ventana de Seguridad nuevamente deniegue todos los permisos de este usuario sobre el ejecutable y aplique los cambios. Esto garantizará que no sea nuevamente modificado el mismo.
Ahora bien después de hacer los pasos de arriba podemos ir al registro y restaurar la siguiente clave que el virus modifica para ejecutarse una vez que se inicia el sistema, la clave es la siguiente:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
buscamos ahora el valor "Shell" y modificamos su contenido restableciéndolo a "Explorer.exe"
o podemos poner el siguiente comando en el cmd.
reg ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "Explorer.exe" /f
Espero que les sirva.
S@ludos.
0 comentarios :
Publicar un comentario
PUEDES DEJARNOS SUS COMENTARIOS, GRACIAS.