Tema: Evolución de la forma de infectar de un vius

[Tiburciano polainas]

Lo cuelgo por que eres tú... que si no!!!!   :lol:  :lol:  :lol:

Correo recibido de Pandasoftware que por su interés (creo) copio y pego   :wink:

Técnicas de activación del malware -
    Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 13 de mayo de 2004 - Hoy, en Oxygen3 24h-365d vamos a referirnos a
las técnicas más empleadas por el malware(*) para activarse.
 
En una primera época, los códigos maliciosos se activaban en los sistemas
cuando un usuario ejecutaba un archivo infectado o, en el caso de los virus
del sector de arranque, cuando se leía un disco infectado.

En el caso de los archivos, el ejemplar vírico intentaba introducirse en
todos los ejecutables que encontraba en las unidades, incluidos los del
sistema operativo, de forma que al iniciarse el sistema, o al lanzar
cualquier aplicación, el virus podía activarse en memoria y seguir su
actividad. Un caso típico de virus clásico que se asegura su activación cada
vez que se inicia el sistema es "Lehigh", que únicamente infecta al
COMMAND.COM, el intérprete de comandos que inicia MS/DOS.
 
El caso de los virus de boot es similar al anteriormente explicado, ya que
al leerse un disquete infectado el virus se activa y procede a infectar el
sector de arranque del disco duro. Cada vez que, a posteriori, se inicia el
sistema operativo desde el disco duro, el virus se activa en memoria
dispuesto a infectar cualquier disquete que se introduzca.
 
Con la aparición de Windows descendió la aparición de virus que basaban su
propagación en las dos técnicas mencionadas. En la actualidad, los
ejemplares de malware que más proliferan son gusanos de Internet y troyanos
con capacidades de backdoor que aseguran su activación en cada inicio de
sistema, mediante la inserción -en la clave del registro de Windows que
aparece a continuación- de una referencia al ejecutable infectado:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
En la citada clave se encontrarán referencias a aplicaciones legítimas que
se ejecutan cada vez que iniciamos Windows, y también podría hallarse la
llamada a algún troyano o gusano. Un caso reciente lo encontramos en el
gusano "Sasser.B", que se activaba con la siguiente entrada:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  
avserve2.exe = %windir%\avserve2.exe
 
Para poder visualizar o eliminar entradas en esta clave podemos recurrir a
la aplicación REGEDIT.EXE, que permite recorrer todo el árbol de claves del
registro de Windows.

(*) Malware: cualquier programa, documento o mensaje susceptible de causar
perjuicios a los usuarios de sistemas informáticos

[Inscientia]

jejejeje ese Tiburrrrrrr  :D

Esto me parece muy interesante y mas teniendo en cuenta que está explicado de manera sencilla y que los novatos lo entenderemos bien.
Va a ser muy útil, porque así aprendemos todos a "investigar" un poquito cuando notemos cosas raras en el pc... y ya sabemos un sitio más donde podemos buscar.

Muchas gracias Tibur, un besote amigo... siempre al pie del cañón!!
 :wink:

[Miyu]

Totalmente de acuerdo con Insci, muy interesante la info Tibur, gracias

[Dabo]

interesante amigo  8)

[Tiburciano polainas]

Continuamos  :wink:

Evolución de los virus informáticos -
     Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 2 de junio de 2004 - Hoy, en Oxygen3 24h-365d vamos a referirnos a
cómo la evolución de Internet puso, en el punto de mira de los autores de
virus, la información confidencial que los usuarios guardaban en sus
equipos.

En los primeros tiempos de la informática personal, los ordenadores
susceptibles de contener información de "riesgo" -como, por ejemplo, un
número de tarjeta de crédito o cualquier otro dato de esta índole- eran muy
pocos. De hecho, pertenecían, en su gran mayoría, a empresas importantes que
ya habían dado el paso de incorporar la informática a sus rutinas de
trabajo.

Aunque la citada información se encontraba almacenada en una máquina, no
corría demasiado peligro, a no ser que estuviese conectada a una red a
través de la cual podía transmitirse. Por supuesto, hubo excepciones y se
dieron casos de hackers que llegaron a realizar estafas a partir de datos
almacenados en sistemas informáticos. Sin embargo, lo consiguieron mediante
técnicas típicas de ataques hacker, sin emplear ningún tipo de virus.

La aparición de los servicios asociados a Internet -como la banca
electrónica, o las compras online- conllevó un importante cambio en la
mentalidad de los creadores de virus. En concreto, algunos autores empezaron
a desarrollarlos no con el ánimo de infectar muchos equipos, sino para robar
los datos confidenciales asociados a dichos servicios y obtener un beneficio
económico personal. Para alcanzar dicho objetivo necesitaban poder generar
virus que infectasen muchos equipos de forma silenciosa. La respuesta a cómo
podían conseguir alcanzar su meta la obtuvieron en 1986, de la mano del que
se denominó genéricamente "caballo de troya", o más comúnmente "troyano".
Concretamente, llevaba por nombre PC-Write y se presentaba como una supuesta
versión shareware de un procesador de textos. Si era ejecutado, un
procesador de textos funcional se presentaba en pantalla. El problema era
que, al tiempo que el usuario escribía, el troyano se encargaba de borrar y
corromper archivos del disco duro.

A partir de PC-Write, este tipo de código malicioso evolucionó rápidamente
convirtiéndose en los troyanos que hoy conocemos. Por eso, en la actualidad,
muchos de los creadores de troyanos diseñados para robar datos no son
autores de virus propiamente dichos, sino simples ladrones que en lugar de
utilizar sopletes o dinamita utilizan virus para cometer sus robos. Ejemplos
de ello pueden ser Ldpinch.W, o las familias de troyanos Bancos o Tofger.  

Más información sobre las amenazas informáticas mencionadas u otras en la
Enciclopedia de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

[Miyu]

Perfect Tibur... te seguimos

[destroyer]

Sigo leyendo Tibur....  :lol:

[Tiburciano polainas]

Según lleguen... iré subiendo más  :wink:

En el presente Oxygen3 24h-365d, y en
posteriores entregas, nos referiremos a los diferentes lenguajes de
programación que los autores de virus han ido empleando a lo largo de la
historia de la informática.

- Los precursores de los virus: Core Wars.

Unos programas denominados Core Wars -y desarrollados por ingenieros de una
importante empresa de telecomunicaciones- son considerados los precursores
de los virus modernos. La informática estaba en sus inicios y los lenguajes
de programación apenas se habían desarrollado. Por esa razón, sus autores
emplearon un lenguaje prácticamente igual al código máquina para
programarlo.

Uno de los programadores de Core Wars fue Robert Thomas Morris, cuyo hijo
creó -años después- el "gusano de Morris". Este código malicioso se hizo
extraordinariamente famoso debido a que fue capaz de infectar 6.000
ordenadores, cifra nada desdeñable para el año 1988.

- Los nuevos gurús de los 8 bits y el lenguaje ensamblador.

Los nombres Altair, IMSAI y Apple en USA, así como Sinclair, Atari y
Commodore en Europa hacen recordar tiempos pasados en los que una incipiente
generación de apasionados por la informática "peleaban" por hacerse un hueco
en el mundo de la programación. Ser el mejor requería un profundo
conocimiento de código máquina y ensamblador, ya que los intérpretes de
lenguajes de alto nivel(*) consumían demasiado tiempo de ejecución. Por
ejemplo, BASIC era un lenguaje relativamente fácil de aprender. Es más,
desarrollar un programa con este lenguaje resultaba cómodo y rápido.

Sin embargo, BASIC tenía muchas limitaciones, lo que originó que surgieran
dos ramas de programadores. Una de ellas estaba conformada por aquellos que
utilizaban ensamblador, y la otra por quienes se decantaron por lenguajes de
alto nivel. Ciertamente, los aficionados a la informática de esa época
disfrutaban más haciendo software útil que malware. Sin embargo, en 1981
aparece el que puede considerarse el primer virus de 8 bits. Su nombre era
"Elk Cloner", y estaba programado en código máquina. Era capaz de infectar
sistemas Apple II y, además, mostraba un mensaje en el momento en que
infectaba un equipo.

(*)Los lenguajes de programación pueden dividirse en "alto nivel" y bajo
nivel", en función de que su sintaxis sea más comprensible para el
programador o para la máquina. Las expresiones que usan los lenguajes de
"bajo nivel" están más cercanas al código máquina, pero resultan muy
difíciles de entender para cualquier persona que no haya participado en el
proceso de programación. Uno de los lenguajes de este tipo más conocidos -y
más potentes que existen- es el ensamblador.

[Dabo]

que tiempos  :lol:

[Tiburciano polainas]

En la presente entrega de Oxygen3 24h-365d,
relativa a la historia de los virus, vamos a continuar refiriéndonos a cómo
incidió en ellos el desarrollo de los lenguajes de programación y la
aparición de elementos de hardware cada vez más potentes.

En 1981, casi al mismo tiempo que Elk Kloner -el primer virus para
procesadores de 8 bits- entra en escena un nuevo sistema operativo que
comienza a hacerse muy popular. Su nombre completo era Microsoft Disk
Operating System, aunque pronto los aficionados a la informática de todo el
mundo lo conocerían por sus siglas: DOS.

El desarrollo de DOS se produce paralelamente al de nuevos y potentes
elementos hardware. Poco a poco, los ordenadores personales van ganando
espacio entre las herramientas de uso cotidiano, permitiendo que muchas más
personas tengan acceso a ellos, y que más usuarios se planteen la
posibilidad de crear un virus.

En este periodo comienzan a aparecer los primeros virus y troyanos para DOS
escritos en lenguaje ensamblador, lo que demuestra cierta pericia por parte
de sus autores. Pocos programadores conocen el lenguaje ensamblador en
comparación con aquellos que dominan los lenguajes de alto nivel, mucho más
fáciles de aprender. De esa manera, comienzan a aparecer códigos maliciosos
escritos en Fortran, Basic, Cobol, C o Pascal. Los dos últimos, por su
amplia difusión y potencia, son los más utilizados, sobre todo en sus
versiones TurboC y Turbo Pascal. Esto, finalmente, tiene como consecuencia
la aparición de "familias de virus", es decir, de virus a los que siguen
infinidad de ejemplares con leves modificaciones respecto al original.
 
Por su parte, también hay otros usuarios maliciosos que se decantan por
crear virus destructivos que no exigen grandes conocimientos de
programación, por lo que empiezan a aparecer los virus en ficheros de
procesos por lotes, más conocidos como virus de BAT.

Virus para Win16

El desarrollo de los procesadores de 16 bits da paso a una nueva era para la
informática. La primera consecuencia es el nacimiento de Windows que, por
aquella época, es sólo una aplicación para hacer más sencillo el manejo de
DOS a través de una interfaz gráfica.

La estructura de los archivos de Windows 3.xx es difícil de entender y la
codificación en ensamblador complicada, por lo que son pocos los
programadores que se atreven a desarrollar virus para esta plataforma. Pero
este problema queda resuelto en un breve espacio de tiempo gracias al
desarrollo de herramientas de programación para lenguajes de alto nivel,
sobre todo Visual Basic. Tal es la efectividad de esta aplicación que muchos
creadores de virus la adoptan como "herramienta de trabajo habitual". Hacer
un virus ya es una tarea muy sencilla, y comienzan a crearse por cientos. A
esto se une la aparición de los primeros troyanos capaces de robar
passwords. El resultado es que, por ejemplo, se contabilizan más de 500
variantes de la familia de troyanos AOL, diseñados para robar información
personal de los ordenadores afectados.