lunes, 22 de noviembre de 2010

Virus

VIRUS : muchas veces si no sabemos navegar nos pueden traer problemas.
virus del sector inicialización
virus infectante de archivos
caballo de trolla
bombas de tiempo
mutantes
Son programas diseñados para multiplicarse y pro pagarse sin dar indicios de su existencias los virus electrónicos pueden producir una variedad de sintomas en sus receptores. Algunos virus se multiplican sin causar cambios obios, los virus malintencionados pueden producior ruidos extraños o presentar mensajes de mal gusto en la pantalla. En los casos extremos pueden borrar archivos o discos duros.


Los virus se propagan de varias maneras, algunos se duplican cuando se habre un archivo infectado. Otros infectan la parte de un disco duro que contro la parte del equipo y luego infectan otros discos a los que se absede. Un virus que ha infectado un disco podrá propagarse en otros que contengan información como programas.
CLASIFICACIÓN DE LOS VIRUS :
•  1. Los virus del sector inicializacion  : El sector inicialización es la parte del disco duro que controla el inicio del sistema operativo cuando prendamos la cp.
•  2. virus infectados : Una vez que se activa este virus, se propagara a todos los archivos del programa.
•  3. caballos de trolla : Este virus se disfraza como un programa legal puede dañar el equipo, los archivos o el disco duro. Los caballos de trolla son los mas capacitados para destruir los archivos.
•  4. bombas de tiempo : Permanen ocultos hasta que la cp. Cumpla con ciertos requisitos como la hora y fecha determinada.
•  5. mutantes : Estos virus cambian de forma al pasar de un disco a otro o de un archivo a otro, es difícil detectarlos y erradicarlos.
Feebs.BK/JavaScript (ejemplos)
Feebs.BK es un destructivo JavaScript reportado el 30 de Mayo del 2006 , que se  propaga a través de diversos sitios web o vía mensajes de correo Multi SPAM .
Infecta Windows 95/98/Me/NT/2000/XP Server 2003 , es un JavaScript, con una extensión de apenas 3 KB .
A l activarse presenta aleatoriamente falsas pantallas de los sitios web de proveedores de correo gratuito, con un mensaje " no se puede mostrar la página o no existe una conexión disponible ":
Los servicios de correo basados en la web involucrados son los siguientes:
  • AOL.com
  • Gmail.com
  • Hotmail.com
  • MSN.com
  • Yahoo.com
Mientras esta rutina distrae al usuario, el JavaScript descarga el archivo userinit.exe y lo copia a la ruta C:\Recycled , lo decodifica y ejecuta en memoria. 
El gusano extrae los buzones de la carpeta temporal del Internet Explorer , la Libreta de Direcciones de Windows (WAB) y se envía además a todos los buzones contenidos en sistemas de correo basados en la web con asuntos, contenidos y archivos anexados de mensajes almacendados en los sistemas previamente infectados.
para activarse cada vez que se re-inicie le sistema crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer] 
"mal" = "[dominio_de_sistema_previo_infectado]"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\ 
Installed Components\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}] 
"Stubpath" = "C:\Recycled\userinit.exe"
en caso que no pueda crear las mencionadas llaves para su auto-activación, el JavaScript se almacena en la carpeta %Startup% .
%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.
al siguiente inicio del equipo activa su rutina de envío masivo de correo Multi SPAM .
luego borra los valores de la mayoría de antivirus y software de seguridad de las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
borra además los siguientes valores:
  • FirePM
  • KmxFile
  • pcipim
  • pcIPPsC
  • RapDrv
de la llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
con lo cual, además de vulnerar el sistema infectado hace que su proceso de detección y remoción sea más difícil. Finalmente intenta descargar archivos con extensión .TXT conteniendo códigos malignos de diversos sitios web.

No hay comentarios:

Publicar un comentario