Introducción a los virus informáticos
Definición legal
Esta entrada solo contiene vistas o materiales de algunas regiones y debe complementarse con contenido global.
Agradecemos las mejoras a este artículo o la discusión de cualquier problema en este artículo.
La definición de virus siempre ha sido controvertida [1]. Muchas personas, incluidos los fabricantes de antivirus de todo el mundo, también clasifican los troyanos basados en red, las puertas traseras y el malware como virus informáticos.
La siguiente es la definición legal de virus informático en China continental, según la cual el departamento judicial puede arrestar a los creadores y distribuidores de virus.
El artículo 28 del "Reglamento sobre la protección de la seguridad de los sistemas de información informática de la República Popular China" del 18 de febrero de 1994 [2]
Los virus informáticos se refieren a un grupo de virus compilados o insertados en programas de computadora Instrucciones de computadora o código de programa que destruyen funciones o datos de la computadora, afectan el uso de la computadora y pueden replicarse.
A partir del 5 de febrero de 2007, China todavía utiliza este reglamento sin nuevas modificaciones.
Definición de malware de la Sociedad de Internet de China [3]
Malware se refiere al malware que se instala en la computadora de un usuario u otro terminal sin avisar explícitamente al usuario o sin su permiso. Software instalado y ejecutado en la computadora que infrinja los derechos e intereses legítimos de los usuarios, excepto los virus informáticos que hayan sido estipulados en las leyes y regulaciones vigentes en mi país.
[Editar]Autor del virus
Ver: Lista de hackers arrestados.
Muchos creadores de virus y piratas informáticos han sido arrestados y procesados, y las sentencias varían de un país a otro. Por ejemplo, MSBlast. La variante f escrita por Banny de Rumania y Europa occidental tardó 15 minutos y solo infectó alrededor de 1.000 computadoras. Según las leyes de su país, podría ser condenado a hasta 15 años de prisión. En 1998, el virus CIH escrito por el autor taiwanés Chen Yinghao fue considerado por algunos como "el virus más dañino hasta la fecha" [4], paralizando 60 millones de computadoras en todo el mundo. Pero como nadie lo procesó después de su arresto, quedó inmune a acciones legales. En 2001, Chen Yinghao fue procesado como víctima de CIH, lo que provocó su arresto nuevamente. Según las leyes de la provincia de Taiwán en ese momento, sería sentenciado.
Zhang Yong, autor del programa troyano nacional "Securities Thief", utilizó su programa troyano para interceptar contraseñas de cuentas de accionistas y robar acciones por valor de 11.419.000 yuanes, obteniendo una ganancia ilegal de 386.000 yuanes. Tras su arresto, fue acusado de robo y delitos financieros, por lo que fue condenado a cadena perpetua.
Según un informe de análisis de una empresa, actualmente hay 2 millones de programadores en el mundo que tienen la capacidad de escribir virus informáticos maduros. [5]
[editar] Registros históricos
Proyecto principal: Cronología histórica de virus y gusanos famosos
La palabra "virus" fue utilizada por primera vez por Frei De Se utilizó el artículo de Cohen de 1984 "Computer Virus Experiments" para expresar este significado. La palabra virus es ampliamente conocida en la ciencia ficción. Uno es H.A.R.L.I.E. Escrito por David Gerrold a mediados de la década de 1970, describe un programa llamado "virus" y un programa llamado "anticuerpo". La otra es la novela de 1975 "Shakewave Rider", escrita por John Brewer, que describe un programa llamado "tenia" que elimina datos en Internet. [6]
65438+A principios de la década de 1960, algunos jóvenes investigadores del Instituto Tecnológico de Massachusetts, en Estados Unidos, utilizaban su tiempo de trabajo para jugar a un juego de ordenador que habían creado después de completar su trabajo. El método consiste en que alguien compile un pequeño programa y luego lo introduzca en la computadora para ejecutarlo, destruyendo el programa de juego de la otra parte. Y este también puede ser el prototipo de un virus informático.
[Editar] Entorno operativo y canales de comunicación
Dado que el 90% del mercado mundial de entornos de escritorio con sistemas operativos utiliza productos de la serie Microsoft Windows[7], los autores de virus han elegido Windows como objetivo de ataques de virus. El creador del virus primero debe determinar las vulnerabilidades de la versión del sistema operativo que quiere atacar. Ésta es la clave del exploit del virus que escribe. Windows no tiene funciones de seguridad integradas efectivas. Los usuarios a menudo ejecutan software no controlado y sin derechos de administrador, lo que también proporciona un caldo de cultivo para la propagación de virus en Windows.
Para sistemas operativos como Linux y Mac OS, la cantidad de usuarios es relativamente pequeña y los virus generalmente no son fáciles de propagar. La mayoría de los editores de virus tienen una variedad de propósitos, que incluyen hacer daño, destrucción, venganza, fama y un interés especial en la investigación de virus.
Los virus se propagan rápidamente principalmente a través de la navegación y descarga de Internet, CD o DVD pirateados y discos extraíbles. [8]
[Editar] Nomenclatura
La siguiente tabla es una explicación de los prefijos de la convención internacional de nomenclatura de virus. Los virus en DOS generalmente no tienen prefijos:
Significado del prefijo
Virus de macro WM Word6.0 y Word95
Virus de macro WM97 Word97
Virus de macro XM Excel5.0, Excel95
X97M Excel5.0 y Excel97.
Virus del programa XF Excel
Virus de macro AM Access95
Virus de macro AM97M Access97
Virus W95 Windows95, 98
Virus Win Windows3.x
El virus W32 de 32 bits infecta todos los sistemas Windows de 32 bits.
El virus WINT de Windows de 32 bits sólo infecta a Windows NT.
Troyano/Caballo de Troya
Virus escrito en lenguaje de programación VBS VBScript
VSM infectado con macros o scripts de Visio VBA (Visual Basic para Aplicaciones) o macros Script virus .
Un virus escrito en el lenguaje de programación JS JScript.
Virus de Windows con direccionamiento PE de 32 bits
Virus OSX·Mike·OSX
La parte central hace referencia al nombre en inglés del virus y el sufijo suele ser un código variante.
[editar] Funciones
En informática, un virus informático es un programa similar a un virus biológico que se replica y se propaga a otros hosts, causando daños al host. Un host también es un programa, generalmente un sistema operativo, que infecta además otros programas y otras computadoras. Los virus informáticos a menudo se esconden a medida que se propagan, son desencadenados por condiciones específicas y comienzan a causar daños.
Las características indeseables de los virus informáticos incluyen transmisibilidad, ocultamiento, contagio, naturaleza latente, excitabilidad [9], expresividad o destructividad. Normalmente, un programa puede identificarse como virus siempre que presente más de dos de las características anteriores.
El ciclo de vida de un virus informático es el período de desarrollo, el período de infección, el período de incubación, el período de ataque, el período de descubrimiento, el período de digestión y el período de extinción. [8][10]
[editar]Descripción detallada de las funciones principales
[editar]Comunicación
Los virus suelen propagarse automáticamente mediante el uso de 25 puertos de correo electrónico , explotando una vulnerabilidad en Outlook, que viene incluido con el sistema operativo de Microsoft. Copie automáticamente el virus y envíelo a los miembros de su lista de direcciones almacenada. Los titulares de los correos electrónicos incitan a las personas a hacer clic, principalmente utilizando ingeniería social como "Te amo" como palabras íntimas entre familiares y amigos para bajar la guardia. Si el autor del virus vuelve a aplicar la vulnerabilidad del script e incrusta el virus directamente en el correo electrónico, el usuario quedará infectado con sólo abrir el correo electrónico con un pequeño encabezado.
[Editar]Ocultar
El virus más grande pesa solo 1 MB y el virus promedio pesa solo 1 KB. No solo se propaga rápidamente, sino que también se oculta extremadamente. Algunos virus utilizan tecnología "sin proceso" o se insertan en un proceso crítico necesario para el sistema (en el controlador del administrador de trabajo, que no se puede cerrar), por lo que no se pueden encontrar en el administrador de tareas. Una vez que se ejecuta el virus, modificará el nombre del archivo y lo ocultará en una carpeta del sistema que el usuario no visita con frecuencia. Estas carpetas suelen contener miles de archivos del sistema y es difícil encontrar virus mediante la búsqueda manual. La tecnología de disfraz que utilizan los virus antes de ejecutarse también merece nuestra atención. El virus está vinculado y fusionado en un archivo que lo atrae, por lo que cuando el archivo que lo atrae se ejecuta normalmente, el virus también se ejecuta silenciosamente en nuestro sistema operativo.
[Editar] Contagioso
Algunos virus son contagiosos, como envenenar archivos ejecutables en la computadora del usuario, como los formatos exe, bat, scr y com. De esta manera, se puede lograr el propósito de autorreplicación y autoprotección. Por lo general, también podemos utilizar vulnerabilidades de uso compartido de red para copiarlas y propagarlas a los usuarios de computadoras vecinas, de modo que todos los programas que acceden a Internet a través de enrutadores o computadoras en cibercafés queden infectados.
[Editar] Retraso
Algunos virus tienen un cierto "período de incubación" y aparecerán a tiempo en días específicos, como un feriado determinado o un día determinado de la semana. Por ejemplo, el virus CIH que destruyó el BIOS en 1999 estalló el 26 de abril de cada año. Esto es como un virus biológico, que permite que los virus informáticos se propaguen tanto como sea posible antes de que estallen.
[editar]Emoción
Según las "necesidades" del autor del virus, establezca el "misterio" que desencadena el ataque del virus. Por ejemplo, el virus que el creador del virus CIH, Chen Yinghao, planea diseñar está "cuidadosamente" diseñado para sistemas Windows en chino simplificado. Una vez ejecutado el virus, detectará activamente el idioma del sistema operativo envenenado. Si se descubre que el idioma del sistema operativo es chino simplificado, el virus atacará automáticamente la computadora y el idioma no es la versión china simplificada de Windows, por lo que incluso si ejecuta el virus, el virus no atacará ni dañará. tu computadora. [11]
[Editar] Expresividad
Después de ejecutar el virus, si está diseñado por el autor, tendrá ciertas características de rendimiento, como un uso del 100% de la CPU, sin cualquier operación del usuario, es decir, puede leer y escribir datos del disco duro u otros datos del disco, tener una pantalla azul de muerte y no se puede usar el botón derecho del mouse, etc. Sin embargo, características de rendimiento tan obvias ayudarán a la persona infectada a descubrir que ha sido infectada con el virus, lo cual es muy útil para eliminar el virus, por lo que no existe el ocultamiento.
[Editar] Destructividad
Algunos virus potentes formatean directamente los datos del disco duro del usuario después de ejecutarse y, lo que es peor, pueden destruir el sector de arranque y la BIOS, causando graves daños al hardware. Daños considerables.
[editar] Categoría
Según las estadísticas publicadas por el Centro Nacional de Respuesta a Emergencias contra Virus Informáticos de China, casi el 45% de los virus son caballos de Troya y los gusanos representan más del 25% de los virus. el total de virus. Los virus de script representan más del 15%. Los tipos de virus restantes son virus de archivos, programas destructivos y virus de macro.
[Editar] Caballo de Troya/botnet
Entrada principal: Caballo de Troya
También llamado software de monitoreo remoto. Si el troyano puede conectarse, se puede decir que ha obtenido todos los derechos operativos de la computadora remota. Operar una computadora remota no es muy diferente de operar su propia computadora. Este tipo de programa puede monitorear la cámara del usuario controlado e interceptar contraseñas. La "Conexión a Escritorio remoto" que viene con las versiones más recientes de Windows NT no es más que un caballo de Troya si la utiliza un mal usuario.
Proyecto principal: Botnet
Una vez que un usuario es envenenado, se convertirá en un "zombi" o un "gallo" y un "robot" en manos de los piratas informáticos. Por lo general, los piratas informáticos o los script kiddies pueden utilizar miles de "zombies" para enviar una gran cantidad de paquetes falsos o paquetes de spam para atacar al objetivo previsto, provocando que el objetivo quede paralizado.
[Editar] Software dañino
Entrada principal: virus gusano
La clase de explotación de gusanos (clase de explotación de gusanos) también es el virus más común y generalmente se propaga por todo el mundo. mundo Se produjo un brote a gran escala. Como el virus Blaster y el virus Blaster contra versiones anteriores sin parches de Windows XP. A veces se utilizan botnets, principalmente utilizando técnicas de desbordamiento de búfer.
Proyecto principal: software gris
El software espía y el software fraudulento son software producidos por algunas empresas de Internet sin escrúpulos para recopilar los hábitos de navegación de los usuarios y formular sus propias estrategias publicitarias. Este tipo de software en sí no es muy dañino para la computadora, pero la privacidad de la persona envenenada se filtra y recopila, y una vez instalado, no se puede eliminar ni desinstalar normalmente. Por ejemplo, el adware de Internet Explorer modificará y bloqueará automáticamente la página de inicio predeterminada del usuario y cargará la barra de herramientas de la empresa de publicidad.
Proyecto principal: malware
El software de broma, como la destructiva "bomba de red", formatea automáticamente el disco duro después de ejecutar el programa. Originalmente era solo para "engañar" a los usuarios. pero esto después de ejecutar dichos programas maliciosos, causará enormes pérdidas en los datos importantes de los usuarios. Lo mismo ocurre con los virus de infección de archivos y los virus del sector raíz en DOS.
[Editar]Virus de script
Artículo principal: Virus de macro
Los virus de macro infectan la serie de software Office desarrollado por Microsoft. El software de Office, como Microsoft Word y Excel, admite la ejecución de comandos y puede realizar determinadas operaciones con archivos, por lo que también son explotados por virus de macro maliciosos en los documentos de Office. Openoffice.org solo admite la edición de macros de Microsoft VBS pero no las ejecuta, por lo que los documentos de MS Office que contienen virus de macro no se pueden ejecutar después de abrirlos en openoffice.org.
[Editar] Tecnología antivirus y nuevas funciones
La tecnología antivirus se refiere a una tecnología de procesamiento de virus que le permite evitar ser detectado y eliminado por el software antivirus. Normalmente, el virus en sí no muere antes de que su autor lo propague. Incluso se puede decir que "el virus es más nuevo que el software antivirus, por lo que el software antivirus no puede reconocerlo como virus en absoluto". Sin embargo, después de que el virus se propague, los usuarios informarán del envenenamiento a la compañía de software antivirus, la cual atraerá la atención de la compañía de seguridad e incluirá su código de firma en su base de datos de virus, para que el antivirus reconozca el virus. software antivirus.
Los autores de virus pueden evitar fácilmente la biblioteca de firmas de virus del software antivirus volviendo a proteger el virus, como usando instrucciones de ensamblaje o agregando un shell al archivo, para evitar la detección por parte del software antivirus.
Productos como BitDefender de Rumania, Kaspersky Anti-Virus de Rusia, Dr.Web y NOD32 de Eslovaquia, Norton Antivirus y McAfee de Estados Unidos y Panda Antivirus de España tienen una buena reputación a nivel internacional [ 12], pero sus capacidades antivirus y de comprobación de shell son limitadas, y el número total de bases de datos de virus actualmente es sólo de unos pocos cientos de miles.
El autoparche es otra característica nueva de los virus en los últimos años. Los virus se pueden parchear en línea para obtener la última versión libre de virus y continuar ejecutándose en la computadora infectada del usuario. Por ejemplo, el autor del virus Panda Burning Incense estableció un "servidor de actualización de virus" para actualizar el virus 8 veces al día dentro de las horas más frecuentes, lo cual es más rápido que parchear la base de datos de virus de algún software antivirus, por lo que el antivirus -El software antivirus no puede identificar el virus.
Además de suicidarse y autoparchearse, muchos virus también tienen nuevas funciones para el software antivirus y los productos de firewall. Mientras el virus se esté ejecutando, destruirá automáticamente el software antivirus y los productos de firewall instalados en la computadora infectada. Por ejemplo, el controlador de protección Rootkit que viene con el virus forzará la detección y finalizará el proceso del software antivirus. El software antivirus convencional puede utilizar una "defensa activa" para penetrar los perros robot de recuperación de software y hardware [13] y modificar automáticamente la hora del sistema, lo que hace que la certificación genuina de algunos fabricantes de software antivirus deje de ser válida y el software antivirus deje de ser válido. se vuelven ineficaces, haciendo así que el virus sea más poderoso.
Con la proliferación de tecnologías antivirus, el mismo prototipo de virus puede, en teoría, derivar en casi infinitas variantes, lo que genera grandes problemas al software antivirus que depende de la tecnología de firmas para su detección. En los últimos años, la comunidad antivirus internacional ha llevado a cabo en general una variedad de investigaciones técnicas con visión de futuro en un intento de revertir la situación adversa causada por la excesiva dependencia de las firmas. Los productos representativos actuales son el software de escaneo heurístico basado en tecnología de máquinas virtuales, representado por los fabricantes NOD32 y Dr.Web, el software de defensa activa basado en tecnología de análisis de comportamiento y el fabricante representativo China Micropoint Active Defense Software.
[editar]Prevención
Reparar vulnerabilidades en el sistema operativo y su software incluido.
Artículo principal: Microsoft Update
Instala parches de seguridad contra vulnerabilidades para el sistema y el software incluido (como Internet Explorer y Windows Media Player). Tomemos como ejemplo Windows. Windows NT y versiones inferiores se pueden instalar en el sistema de parches de actualización de Microsoft, Windows 2000SP2 o superior, Windows XP y Windows 2003, etc. Puede descargar parches utilizando el programa "Autopatch" de su sistema. Establezca una contraseña segura para el sistema y desactive el uso compartido de red predeterminado del sistema para evitar la intrusión en la LAN o la propagación de gusanos de contraseñas débiles. Verifique periódicamente la pestaña Inicio de la Utilidad de configuración del sistema y detenga los servicios desconocidos de Windows.
Instalar y parchear software antivirus y productos de firewall de manera oportuna.
Mantenga la base de datos de virus más reciente para que pueda encontrar los virus más recientes. Por ejemplo, algunos servidores de actualización de software antivirus tienen nuevos paquetes de bases de datos de virus que los usuarios pueden parchear cada hora. Cuando utilice un firewall, tenga cuidado de no permitir que software desconocido acceda a la red.
Por motivos como la protección antivirus y la inyección de procesos, algunos virus pueden atravesar fácilmente las defensas duales del antivirus y el firewall. En este caso, debe utilizar un firewall dedicado para evitar la inyección de procesos y verificar los elementos y servicios de inicio con frecuencia. Algunos firewalls especializados pueden "defender activamente" y monitorear el registro en tiempo real. Pueden bloquear cada operación maliciosa de un programa incorrecto en la computadora.
No haga clic en conexiones desconocidas ni ejecute programas desconocidos [14]
Es probable que gusanos envíen automáticamente conexiones desconocidas a través del correo electrónico o software de mensajería instantánea, como QQ tail, uno de los virus QQ. La mayoría de los enlaces de esta información apuntan a sitios web que aprovechan las vulnerabilidades de Internet Explorer. Al visitar estos sitios web, los usuarios pueden obtener más virus directamente sin descargarlos. Además, no ejecute programas de origen desconocido, como algunos nombres de archivos de "tentación sexual" que engañan a las personas para que hagan clic. Después de hacer clic, el virus se ejecutará en el sistema.