Virus informàtic
Aquest article o secció no cita les fonts o necessita més referències per a la seva verificabilitat. |
Virus informàtic | |
---|---|
Característiques de Connectors | |
Representació esquemàtica |
Un virus informàtic és un segment de línia de codi que altera el funcionament normal de l'ordinador, sense el permís o el coneixement de l'usuari. Encara que popularment s'inclou el programari maliciós dins dels virus, en el sentit estricte d'aquesta ciència els virus són programes que es repliquen i s'executen per si mateixos. Els virus, habitualment, reemplacen arxius executables (.exe) per uns altres, infectats amb el codi del virus. Els virus poden destruir, de manera intencionada, les dades emmagatzemades en un ordinador, encara que també n'existeixen altres més benignes, que només es caracteritzen pel fet de ser molestos.
Els virus informàtics tenen, bàsicament, la funció de propagar-se, replicant-se, però alguns contenen a més una càrrega maligna (payload) amb diferents objectius, des d'una simple broma fins a realitzar danys importants en els sistemes, o blocar les xarxes informàtiques generant trànsit inútil.
El funcionament d'un virus informàtic és conceptualment simple. S'executa un programa que està infectat, en la majoria de les ocasions, per desconeixement de l'usuari. El codi del virus queda resident (allotjat) a la memòria RAM de la computadora, encara que el programa que el contenia hagi acabat d'executar-se. El virus pren llavors el control dels serveis bàsics del sistema operatiu i infectant posteriorment arxius executables que siguin cridats per a la seva execució. Finalment s'afegeix el codi del virus al del programa infectat i es grava al disc, amb la qual cosa es completa el procés de replicació.
Classificació
[modifica]Segons l'infectat
[modifica]Segons alguns autors existeixen, fonamentalment dos tipus de virus:
- Aquells que infecten arxius. A la vegada, aquests es classifiquen en:
- Virus d'acció directa. En el moment en què s'executen, infecten altres programes.
- Virus residents. En executar-se, s'instal·len a la memòria de la computadora. Infecten els altres programes a mesura que s'hi accedeix. Per exemple, en ser executats.
- Els que infecten el sector d'arrencada, (virus de boot). Recordem que el sector d'arrencada és el primer que llegeix l'ordinador quan s'encén. Aquests virus resideixen en la memòria.
Existeix una tercera categoria anomenada multipartite, però correspon als virus que infecten arxius i al sector d'arrencada. Per tant, es pot dir que és la suma de les dues categories anteriors.
Per altres autors, la classificació dels virus també es divideix en dues categories, però el criteri de classificació utilitzat és diferent:
- Virus d'arxius, que modifiquen arxius o entrades de les taules que indiquen el lloc on es guarden els directoris o els arxius.
- Virus de sistema operatiu, el seu objectiu consisteix a infectar aquells arxius que governin la computadora.
Existeix una tercera classificació, promoguda per CARO, per unificar la forma d'anomenar als virus. En aquesta classificació es té en compte la plataforma en què actua el virus i algunes de les seves característiques més importants.
Per exemple, el W32/Hybris.A-mm és un virus que funciona a la plataforma win32 en la seva variant A (primera) que té capacitat mass mailing o d'enviament massiu de correu electrònic infectat.
Tipus de virus
[modifica]La classificació original que es va fer dels virus es va fer l'any 1984, i diferenciava entre caballs de Troia, cucs i bombes de rellotgeria.
- Cucs: Es registren per córrer quan s'inicia el sistema operatiu ocupant la memòria i fent tornar lent l'ordinador, però no s'adhereixen a altres arxius executables. Es replica sense l'acció de l'usuari i distribueix còpies completes, possiblement modificades, de si mateix a través de la xarxa.
- Troians: Solen ser els més perillosos, ja que no hi ha moltes maneres d'eliminar-los. Són capaços de mostrar pantalles amb paraules. Funcionen igual que el Cavall de Troia, ajuden l'atacant a entrar al sistema infectat, fent-se passar com contingut genuí (salvapantalles, jocs, música). A vegades descarreguen altres virus per a agreujar la condició de l'equip.
- Jokes o virus broma: Són virus que creen missatges de broma a la pantalla. També poden executar el lector de CD/DVD obrint-lo i tancant-lo, o controlar el mateix ratolí i fins i tot el teclat, sempre amb un fi de diversió i mai de destrucció o dany per al contingut de l'ordinador, encara que a vegades poden arribar a ser molestos.
- Hoaxs o falsos virus: Són missatges amb una informació falsa, normalment difosos mitjançant el correu electrònic, a vegades amb el fi de crear confusió entre la gent que rep aquest tipus de missatges, o amb una finalitat pitjor: perjudicar algú o atacar l'ordinador per mitjà de l'enginyeria social, amb missatges com ara esborri aquest arxiu de l'equip. Són virus molt potents; de vegades afecten arxius del sistema necessaris per a l'arrencada o altres funcions importants.
- Programari espia: Són programes que recol·lecten i transmet informació sobre una persona o organització sense el seu consentiment. També coneguts com a programes de rastreig o spybot.
Segons el seu comportament
[modifica]Els grups principals (i més simples) de virus informàtics són:
- Kluggers: Aquells virus que en entrar als sistemes d'un altre ordinador es reprodueixen o bé es xifren de manera que tan sols se'ls pot detectar amb algun tipus de patrons.
- Viddbers: Aquells virus que modifiquen els programes del sistema de l'ordinador en el qual entren.
A més a més hi ha altres subgrups dels anteriors grups:
- Virus uniformes, que produeixen una replicació idèntica a si mateixos.
- Virus xifrats, que xifren part del seu codi perquè sigui més complicat la seva anàlisis. A la vegada poden utilitzar:
- Xifratge fix, utilitzant la mateixa clau.
- Xifrat variable, fent que cada còpia de si mateix estigui xifrada amb una clau diferent. D'aquesta forma redueixen la mida del codi fix utilitzable per a la seva detecció.
- Virus oligomòrfics, que posseeixen un conjunt reduït de funcions de xifrat i n'elegeixen una aleatòriament. Calen diferents patrons per a la seva detecció.
- Virus polimòrfics, que en la seva replicació produeixen una rutina de xifratge completament variable, tant en la fórmula com en la forma de l'algorisme. Amb polimorfismes forts cal fer servir l'emulació, patrons múltiples i altres tècniques antivíriques avançades.
- Virus metamòrfics, que reconstrueixen tot el cos en cada generació, fent que variï per complet. D'aquesta forma es porten les tècniques avançades de detecció al límit. Per fortuna, aquesta categoria és molt rara i només es troba en el laboratori.
- Sobrescriptura, quan el virus sobreescriu els programes infectats amb el seu propi cos.
- Stealth o silenciós, quan el virus oculta símptomes de la infecció.
Hi ha més classificacions segons el seu comportament, seguint les citades, part de les més significatives i reconegudes per la majoria dels fabricants d'antivírics.
Els virus més enviats segons l'ICVS (Informàtic control virus scanner) són:
Tipus | 1998 | 2000 | 2003 | 2005 |
---|---|---|---|---|
Troians | 20% | 15% | 22% | 25% |
Cucs | 22% | 20% | 25% | 27% |
Boot | 6% | 1% | 4% | 2% |
Altres | 52% | 64% | 49% | 46% |
Història
[modifica]El primer virus que va atacar una màquina IBM Serie 360 (i reconegut com a tal), va ser l'anomenat Creeper, creat el 1972 per Robert Thomas Morris. Aquest programa emetia periòdicament en la pantalla el missatge: "I'm a creeper... catch me if you can!" (sóc una enfiladissa, agafeu-me si podeu). Per eliminar aquest problema es va crear el primer programa antivirus denominat Reaper (segadora).
Encara que el terme virus no s'adoptà fins al 1984, aquests ja existien des d'abans. Els seus inicis van ser en els laboratoris de Bell Computers. Tres programadors van desenvolupar un joc anomenat Core Wars, que consistia a ocupar tota la memòria RAM de l'equip contrari en el menor temps possible.
Després del 1984, els virus han tingut una gran expansió, des dels que ataquen els sectors d'arrencada de disquets fins als que s'adjunten en un correu electrònic i s'oculten en un format d'imatge comprimida amb l'extensió JPEG.
Virus informàtics i Sistemes Operatius
[modifica]Els virus informàtics afecten, poc o molt, quasi tots els sistemes més coneguts i utilitzats en l'actualitat.
Les majors incidències es donen en el sistema operatiu Windows, pels motius següents:
- La seva gran popularitat, com a sistema operatiu, entre els ordinadors personals, PCs. S'estima que, actualment (2007), un 90% utilitza Windows. Aquesta popularitat basada en la facilitat d'ús sense coneixement previ (ignorància del que passa) facilita la vulnerabilitat del sistema per al desenvolupament dels virus, que poden atacar els seus punts dèbils, que en general són abundants.
- La tradicional poca seguretat d'aquesta plataforma (situació a la qual, segons Microsoft, està donant en els últims anys major prioritat i importància que en el passat). Pel fet de ser un sistema molt permissiu amb la instal·lació de programes aliens, sense requerir cap autentificació per part de l'usuari o demanar-li algun permís especial per a ell (en els Windows basats en NT s'ha millorat, en part, aquest problema).
- Programes com Internet Explorer i Outlook Express, desenvolupats per Microsoft i inclosos de forma predeterminada en les últimes versions de Windows, són coneguts per ser vulnerables als virus, ja que aquests aprofiten l'avantatge que aquests programes estan fortament integrats en el sistema operatiu donant accés complet i, pràcticament sense restriccions, als arxius del sistema.
- L'escassa formació d'un nombre important d'usuaris d'aquest sistema provoca que no prenguin mesures preventives, ja que aquest sistema està dirigit de manera majoritària als usuaris no experts en Informàtica. Aquesta situació és aprofitada, constantment, pels programadors de virus.
En altres sistemes operatius com Mac OS X, GNU/Linux i altres basats en Unix les incidències i atacs són pràcticament inexistents. Això es deu principalment a:
- No existeixen virus letals per a aquests sistemes, degut a la seva poderosa jerarquia de treball.
- Tradicionalment els programadors i usuaris de sistemes basats en Unix/BSD han considerat la seguretat com una prioritat per la qual cosa hi ha majors mesures davant a virus tals com la necessitat d'autentificació per part de l'usuari com a administrador o root per poder instal·lar qualsevol programa addicional al sistema.
- Als directoris o carpetes que contenen els arxius vitals del sistema operatiu compten amb permisos especials d'accés pel qual qualsevol usuari o programa pot accedir fàcilment a ells per a modificar-los o esborrar-los. Existeix una jerarquia de permisos i accessos per als usuaris.
- Relacionat al punt anterior, a diferència dels usuaris de Windows, la majoria dels usuaris de sistemes basats en Unix no poden normalment iniciar sessions com usuaris Administradors o root excepte per a instal·lar o configurar software, donant com a resultat que si inclús un usuari no administrador executa un virus o algun programa maliciós aquest no danyaria completament el sistema operatiu, ja que Unix limita l'entorn d'execució a un espai o directori reservat anomenat comunament home.
- Aquests sistemes a diferència del Windows, són utilitzats per a tasques més complexes com servidors que en general estan fortament protegits, raó que els fa menys atractius pel desenvolupament de virus o programari maliciós.
Danys
[modifica]Donat que una característica dels virus és el consum de recursos, els virus ocasionen problemes tals com: pèrdua de productivitat, talls en els sistemes d'informació o danys a nivell de dades.
Una altra de les característiques és la possibilitat que tenen d'anar replicant-se. Les xarxes en l'actualitat ajuden a dita propagació quan aquestes no tenen la seguretat adequada.
Altres danys que els virus produeixen als sistemes informàtics són la pèrdua d'informació, hores de parada productiva, temps de reinstal·lació, etc.
S'ha de tenir en compte que cada virus planteja una situació diferent.
Mètodes de contagi
[modifica]Existeixen dos grans classes de contagi. A la primera, l'usuari, en un moment donat, executa o accepta de forma inadvertida la instal·lació del virus. A la segona, el programa maliciós actua replicant-se a través de les xarxes. En aquest cas es parla de cucs.
En qualsevol dels dos casos, el sistema operatiu infectat comença a sofrir una sèrie de comportaments anòmals o imprevistos. Dits comportaments poden donar una pista del problema i permetre la recuperació d'aquest.
Dins de les contaminacions més freqüents per interacció de l'usuari estan les següents:
- Missatges que executen automàticament programes (com el programa de correu que obre directament un arxiu adjunt).
- Enginyeria social, missatges com executi aquest programa i guanyi un premi.
- Entrada d'informació a discos d'altres usuaris infectats.
- Instal·lació de software pirata o de baixa qualitat.
En el sistema Windows pot donar-se el cas que l'ordinador pugui infectar-se sense cap tipus d'intervenció de l'usuari (versions Windows 2000, XP y Server 2003) per virus com Blaster, Sasser i les seves variants, pel simple fet d'estar la màquina connectada a una xarxa o a Internet. Aquest tipus de virus aprofiten una vulnerabilitat del desbordament de búffer i ports de xarxa per a infiltrar-se i contagiar l'equip, causar inestabilitat en el sistema, mostrar missatges d'error i, fins i tot, reinicis involuntaris, reenviar-se a altres màquines per mitjà de la xarxa local o internet, entre altres danys. En les últimes versions de Windows 2000, XP i Server 2003 s'ha corregit aquest problema en la seva majoria. De manera freqüent, l'usuari haurà de descarregar-se actualitzacions i pegats de seguretat.
Mètodes de protecció
[modifica]Els mètodes per a contenir o reduir els riscos associats als virus poden ser els denominats actius o passius.
Actius
[modifica]- Antivirus: els anomenats programes antivirus intenten descobrir les traces que ha deixat un programa maliciós, per detectar-lo i eliminar-lo, i en alguns casos contenir o parar la contaminació. Intenten tenir controlat el sistema mentre funciona parant les vies conegudes d'infecció i notificant a l'usuari de possibles incidències de seguretat.
- Filtres de fitxers: consisteix a generar filtres de fitxers perjudicials si l'ordinador està connectat a una xarxa. Aquests filtres poden usar-se per exemple, en el sistema de correus o usant tècniques de firewall. En general, aquest sistema proporciona una seguretat on no es requereix la intervenció de l'usuari, pot ser molt eficaç, i permetre utilitzar únicament recursos de forma més selectiva.
Passius
[modifica]- Còpies de seguretat: Mantenir una política de còpies de seguretat garanteix la recuperació de les dades i una solució quan res de l'anterior ha funcionat.
- Estudiar: Aprendre com és el software de la nostra computadora, buscant i buscant informació, en llocs en els quals s'hi pugui confiar, sobre software maligne, per a així evitar-lo.
- Desconfiar: Si no coneixem alguna cosa o no sabem el que fa, serà millor tenir-li respecte i no tocar-lo fins a aclarir el nostre dubte, (en l'ús d'aquesta norma és recomanable no obrir arxius de correus dels quals es desconegui el remitent, o se sospiti que pugui contenir codi maliciós, o que no va demanar vostè. Així i tot, si és de plena confiança, analitzi sempre amb un antivirus l'arxiu abans d'obrir-lo. És aconsellable complementar aquesta manera de procedir aplicant una política de contrasenyes i de seguretat més segures a la seva xarxa local o als paràmetres d'accés a Internet. El que molts creadors de virus desitgen és la sensació de vulnerabilitat al provocar les condicions de contagi idònies que permetin una infecció del virus a nivell mundial i causar danys sense deixar rastre de la seva presència.
- Fer reenviaments segurs de email: Quan rebem un missatge de correu electrònic sospitós de contenir un virus o que parli d'alguna cosa que desconeixem convé consultar la seva possible infecció o veracitat (per exemple a partir de buscadors www). Un cop estiguem segurs de l'absència de virus del missatge o que el que diu el missatge és cert i important de ser conegut per als nostres contactes i el reenviem, hem de tenir en compte de posar les adreces de correu electrònic dels destinataris en la casella CCO. Així evitarem la propagació de missatges amb virus, així com la de l'spam i la d'aquells missatges amb phishing o hoax.
- Informar als nostres contactes: Convé que fem saber allò mencionat en el punt anterior als nostres contactes en quant ens reenvien missatges amb virus o contingut fals o sense utilitzar la casella CCO.
- Netejar i eliminar el virus: En el cas que la nostra màquina resulti infectada hem de desconnectar-la immediatament de la xarxa, ja sigui local o Internet (això es fa per evitar contagis a altres màquines) i, una vegada aïllada, aplicar un programa antivirus actualitzat per prendre l'acció que correspongui.
- Restauració completa: En cas que el virus sigui tan virulent que destrueixi la lògica d'una unitat d'emmagatzemament, s'haurà de recórrer a la restauració completa amb un formateig complet. S'ha de tenir en compte que aquesta opció deixarà la màquina tal com estava el dia que la va adquirir. Totes les seves configuracions i altres coses quedaran esborrades permanentment.
Referències
[modifica]Quasi tot el contingut de la redacció inicial d'aquest article va ser reproduït de www.derecho-internet.org Arxivat 2005-04-07 a Wayback Machine., d'acord amb la nota de compliment de la llicència de la pàgina web.
Vegeu també
[modifica]Enllaços externs
[modifica]- Comparatives Antivirus av-comparatives *virus.gr (en anglès)