ejercicio de virus

Regional Distrito CapitalCentro de Gestión de Mercados, Logística y

Tecnologías de la Información

MANTENIMIENTO DE HARDWARE

Centro Gestión Comercial y MercadeoPrograma de Teleinformática

2008

Diana Ovalle - 40056

Sistema de Gestión de la Calidad




11-Agosto-2008

Control del Documento

Nombre Cargo Dependencia Firma Fecha

Autores Diana Ovalle. Alumno

Centro de Gestión de Mercados, Logística y


11-Agosto-08

Revisión Ing. José Méndez Instructor

Centro de Gestión de Mercados, Logística y







11-Agosto-2008

Ejercicio.

Es necesario descargar de Internet 5 tipos diferentes de virus.

1. Deshabilitar o desinstalar todos los antivirus del sistema.

2. Contaminar el Windows Xp con el primer virus.

3. Apagar la maquina y reiniciar el sistema.

4. Aplicar su antivirus favorito e intentar remover el virus.

5. Arrancar el sistema con DOS y aplicar e para verificar que definiti-vamente se removió el virus.

6. Para contaminar el sistema con el segundo virus es necesario bajar todas las particiones y volver a instalar la imagen y seguir los puntos anteriormente mencionados.

Como evidencia:

Nombre de los 5 virus descargados y sus fichas técnicas correspon-dientes.

Procedimiento o forma de como contaminaron el sistema.

Anomalías y efectos que ha presentado el virus después de contami-nar el sistema, debidamente detallada.

Procedimiento utilizado para descontaminar el sistema y la conclusión correspondiente de los daños ocurridos o secuelas dejados por el vi-rus.

Correspondientes recomendaciones como técnicos para optimizar este sistema.






11-Agosto-2008

Algunos ejemplos de virus:

Virus

Un virus informático es un programa de computadora que tiene la capacidad de causar daño y su característica más relevante es que puede replicarse a sí mismo y propagarse a otras computadoras. Infecta "entidades ejecutables": cualquier archivo o sector de las unidades de almacenamiento que contenga códigos de instrucción que el procesador valla a ejecutar. Se programa en lenguaje ensamblador y por lo tanto, requiere algunos conocimientos del funcionamiento interno de la computadora.

Gusano o Worm.

Es un tipo de virus o programas que tratan de reproducirse a si mismo, no produciendo efectos destructivos sino el fin de dicho programa es el de colapsar el sistema o ancho de banda, replicándose a si mismo.

Caballo de Troya o Camaleones

Son programas que permanecen en el sistema, no ocasionando acciones destructivas sino todo lo contrario suele capturar datos generalmente password enviándolos a otro sitio, o dejar indefenso el ordenador donde se ejecuta, abriendo agujeros en la seguridad del sistema, con la siguiente profanación de nuestros datos.

El caballo de Troya incluye el código maligno en el programa benigno, mientras que los camaleones crean uno nuevo programa y se añade el código maligno.

Joke Program






11-Agosto-2008

Simplemente tienen un payload (imagen o sucesión de estas) y suelen destruir datos.

Bombas Lógicas o de Tiempo

Programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o un estilo técnico Bombas Lógicas), etc... Si no se produce la condición permanece oculto al usuario.

Retro Virus

Este programa busca cualquier antivirus, localiza un bug (fallo) dentro del antivirus y normalmente lo destruye.

Scob, Download.Ject, Toofer o Webber.P

Un misterioso virus informático infecta desde algunos populares sitios Web a los visitantes, que sin darse cuenta descargan programas que podrían permitir el robo de información por parte de hackers, informaron expertos este fin de semana.

Al contrario de los virus que se propagan a través de correos electrónicos, esta infección -llamada Scob, Download.Ject, Toofer o Webber.P.- se transmite simplemente al visitar un sitio afectado, que puede instalar un dispositivo llamado "troyano", que les permite a los piratas cibernéticos acceder a las computadoras.

Microsoft calificó el incidente de "crítico" y urgió a los usuarios a bajar filtros actualizados para proteger sus sistemas.

Scob (Peligrosidad: 1 - Mínima)

Troyano que tiene la particularidad de infectar dos plataformas distintas.

Infecta servidores Web basados en IIS/Windows 2000.

Modifica la configuración de estos servidores para que envíen a los clientes un pie de página con código JavaScript malicioso.






11-Agosto-2008

Este código JavaScritp aprovecha una vulnerabilidad de Internet Explorer que fuerza al navegador a descargar y ejecutar un fichero de un cierto sitio Web situado en Rusia. En el momento de escribir este análisis ese sitio Web parece haber sido cerrado y no está disponible.

Nombre completo: Trojan.W32/Scob Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.

Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003Internet Information Server (IIS)

Tamaño (bytes): 9760

Alias: Scob (McAfee), JS/Scob.A (VS Antivirus), JS.Scob.Trojan (Symantec), Win32/Scob.A (Enciclopedia Virus), JS.Toofer (Computer Associates), Download.Ject (Otros), Trj/Scob.A (Panda Software), JS/Scob-A (Sophos)

Infección en el cliente.

Cuando un usuario visualiza alguna de estas páginas con una versión vulnerable de Internet Explorer, el troyano intenta descargar de un sitio ruso ciertos archivos, aprovechando dos vulnerabilidades del Internet Explorer. Este sitio Web está actualmente cerrado.

En sistema crea una cookie cuyo nombre comienza por trk716, con fecha de expiración en una semana. Eso hace que el usuario no se conecte al sitio remoto hasta una semana después.

El HTML malicioso utiliza dos vulnerabilidades de Internet Explorer.

Cisum.A,Es un código malicioso que ejecuta un archivo de audio que repite machaconamente: "You are an idiot".






11-Agosto-2008

Cisum.A se propaga automáticamente en el caso de que un usuario ejecute el archivo adjunto que contiene Cisum.A, copiándose este con el nombre ProjectX.exe en el directorio raíz de las unidades compartidas del equipo.Cisum.A también finaliza procesos pertenecientes a aplicaciones antivirus y de seguridad informática, lo que deja a los equipos desprotegidos frente a otros posibles ataques por parte de virus o hackers.

Finalmente también crea varias entradas en el registro de Windows con el objetivo de asegurar su ejecución cada vez que se reinicie el ordenador.

Nombre: W32/Cisum.A

Nombre NOD32: Win32/Cisum.A

Tipo: GusanoAlias: Cisum, Virus.Win32.Cisum.a, Win32.HLLW.Projex, W32/Cisum-A, TROJ_SOUNDROP.A, I-Worm/VC.B, Trojan.Cisum.A, W32/Cisum.A.worm, WORM_SOUNDROP.A, Win32/Cisum.AFecha: 26/ene/05Plataforma: Windows 32-bitTamaño: 73,728 bytes

Recomendaciones:

Actualice sus antivirus con las últimas definiciones.

Borrar manualmente archivos agregados por el virus.

Haga clic en "Buscar ahora" y borre todos los archivos encontrados.

Mostrar las extensiones verdaderas de los archivos.

Instalar el primer virus Okiller:

1. Ejecutar el virus abriendo la carpeta de descargas.






11-Agosto-2008






11-Agosto-2008

2. Después de instalar y ejecutar el virus procedemos a reiniciar el equipo para notar los cambios.






11-Agosto-2008

3. Luego de instalar y ejecutar el virus debemos escanear el computador con el antivirus y observar las amenazas de virus existentes.


Virus encontrados en el escaneo del

Documentos contaminados por el virus, encontrados en el escaneo.





11-Agosto-2008

4. Después de encontrar las amenazas el antivirus ofrece una opción para eliminar los virus encontrados.

5. Luego de analizar el equipo podemos ver los cambios ocurridos en el equipo a razón del virus:

Bloqueos repentinos. Lentitud en cargar las paginas de Internet. No responden muchos programas. El trabajo en office se vuelve mas complicado porque el manejo

del Mouse se complica y el puntero se pierde dentro del texto.

6. Después de identificar los problemas ocasionados por el virus, procedemos a desinfectar el equipo bajo D.O.S con el F-Pront que previamente fue descargado y actualizado para usar bajo D.O.S:

Instalar el CD e iniciarlo bajo D.O.S.






11-Agosto-2008

Pasar a la carpeta indicada, en este caso a la D:

Abrir el directorio con el comando dir:

Escribir el nombre del programa para ingresar a el:


Archivos que contiene el CD incluyendo el F-Prot.





11-Agosto-2008

De inmediato el ingresa al programa:

Luego escogemos la opción “Start” y cambiamos por “Eliminar automáticamente” en la opción “Action”.


Interfaz de F-Prot.





11-Agosto-2008

Analiza y muestra los resultados.






11-Agosto-2008

Se reinicia el equipo y bajo Windows notamos que su velocidad es más avanzada, los bloqueos son menores.

Analizar el equipo nuevamente bajo Windows.

Conclusión:

En este trabajo con el primer virus hay que tener en cuenta que muchas veces el F-Prot no encuentra los virus bajo D.O.S debido a su falta de actualización, por esta razón muchos virus se ven bajo Windows.

Ficha Técnica del primer virus.

Nombre: Okiller

Tipo: Malware

Tipo Descripción: Malware (software malicioso ") consta de software malicioso con claridad, hostil, o perjudiciales o funcionalidad y comportamiento que se utiliza para comprometer y poner en peligro ordenadores individuales, así como redes enteras.

Categoría: Seguridad Disabler

Categoría Descripción: Una de Seguridad Disabler es un programa que comprometa la seguridad o termine aplicaciones que se ejecutan en la máquina, incluidos los programas informáticos firewalls, programas antivirus


Resultados arrojados.





11-Agosto-2008

y anti-spyware. Una de Seguridad Disabler puede también borrar anti-virus y anti-spyware definiciones. Algunas de Seguridad Disablers sofisticados son capaces de poner fin a software de seguridad al tiempo que se da la apariencia de que está funcionando.

Nivel: Alto

Nivel Descripción: Alto riesgo suelen ser instalado sin la interacción del usuario a través de exploits de seguridad, y puede comprometer gravemente la seguridad del sistema. Tales riesgos pueden abrir conexiones de red ilícitas, utiliza tácticas polimórficos a la libre mutar, desactivar software de seguridad, modificar archivos del sistema, e instalar más programas maliciosos. Estos riesgos pueden también recoger y transmitir información de identificación personal (PII) sin su consentimiento y graves problemas de funcionamiento y la estabilidad de su ordenador.

Asesoramiento Tipo: Eliminar

Descripción: Okiller hacker es un instrumento destinado a desactivar un usuario de cortafuegos personal y también residente desactivar el software anti-virus.

Agregar. Descripción: Se trata de una VB6 AV / FW asesino que está comprimido con UPX.

Autor: Caesar2k

Autor URL: nuclearwinter.mirrorz.com

Fecha de publicación Última actualización el Jun 12 2008 Junio 12 2008

Archivo Traces: %desktopdirectory%\ OKiller\ edit.exe %Windows%\ shell.exe

Conclusión:

Es conveniente saber que se requiere de un excelente antivirus que permita la eliminación total del virus o sus muestras.






11-Agosto-2008

La practica de la instalación del virus para mi fue de gran ayuda pues favorece al conocimiento y practica con algo que nos encontramos todos los dias.


Documents

ejercicio de virus