Que es un virus troyano
Resuelto/Cerrado
luga
-
12 oct 2009 a las 21:51
juan_dj Mensajes enviados 2764 Fecha de inscripción martes, 15 de septiembre de 2009 Estatus Miembro Última intervención domingo, 24 de agosto de 2014 - 12 oct 2009 a las 22:00
juan_dj Mensajes enviados 2764 Fecha de inscripción martes, 15 de septiembre de 2009 Estatus Miembro Última intervención domingo, 24 de agosto de 2014 - 12 oct 2009 a las 22:00
Consulta también:
- Que es un virus troyano
- Virus que oculta archivos - Guide
- Dwm.exe virus - Guide
- System volume information virus - Guide
- Descargar virus - Foro de Virus / Seguridad
1 respuesta
juan_dj
Mensajes enviados
2764
Fecha de inscripción
martes, 15 de septiembre de 2009
Estatus
Miembro
Última intervención
domingo, 24 de agosto de 2014
1.898
12 oct 2009 a las 22:00
12 oct 2009 a las 22:00
hola espero que te sirva esta informacion
Según algunos autores, fundamentalmente existen dos tipos de virus:
Aquellos que infectan archivos. A su vez, estos se clasifican en:
Virus de acción directa. En el momento en el que se ejecutan, infectan a otros programas.
Virus residentes. Al ser ejecutados, se instalan en la memoria del ordenador. Infectan a los demás programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados.
Los que infectan el sector de arranque. Recordemos que el sector de arranque es el primero leído por el ordenador cuando es encendido. Estos virus son residentes en memoria.
Existe una tercera categoría llamada multipartite, pero corresponde a los virus que infectan archivos y al sector de arranque, por lo que podemos decir que es la suma de las dos categorías anteriores.
Para otros autores, la clasificación de los virus también se divide en dos categorías, pero el método de clasificación utilizado es diferente:
Virus de archivos, que modifican archivos y/o entradas de las tablas que indican el lugar donde se guardan los directorios o los archivos, y
Virus de sistema operativo, cuyo objetivo consiste en infectar aquellos archivos que gobiernan el ordenador.
Existe una tercera clasificación, promovida por CARO, para unificar la forma de nombrar a los virus. En está clasificación se atiende a la plataforma en la que actua el virus y a algunas de sus características más importantes. Veámos por ejemplo: W32/Hybris.A-mm. Se trata de un virus que funciona en la plataforma win32 en su variante A (primera) que tiene capacidad mass mailing o de envío masivo de correo electrónico infectado.
En función de su comportamiento, todos los virus anteriores pueden a su vez clasificarse en otros subgrupos:
Virus uniformes, que producen una replicación idéntica a sí mismos.
Virus encriptados, que cifran parte de su código para que sea más complicado su análisis. A su vez pueden emplear:
Encriptación fija, empleando la misma clave.
Encriptación variable, haciendo que cada copia de si mismo esté encriptada con una clave distinta. De ésta forma reducen el tamaño del código fijo empleable para su detección.
Virus oligomórficos, que poseen un conjunto reducido de funciones de encriptación y eligen una de ellas aleatoriamente. Requieren distintos patrones para su detección.
Sniffer
Un Sniffer más que una herramienta de ataque en manos de un administrador de red puede ser una valiosa arma para la auditoria de seguridad en la red. Puesto que el acceso a la red externa debe estar limitado a un único punto. Un Sniffer puede ser la herramienta ideal para verificar como se esta comportando la red.
La definición aunque simple le puede ayudar bastante a entender como es que este dispositivo trabaja, sin embargo en este artículo daremos una breve mirada al funcionamiento de un Sniffer y además una lista de las herramientas disponibles para realizar esta actividad. En la red.
Funcionamiento de un Sniffer
Un Sniffer funciona cambiando el estado natural de una tarjeta de red a un esta particular. Cuando se envía una información por la red las tarjetas dejan pasar todo el trafico de la red que no les pertenece es decir todo trafico que no tenga como destino el computador en el que esta instalada. Sin embargo el la tarjeta sabe que esta pasando trafico por el cable al que esta conectada, por lo tanto haciendo unos sutiles cambios en el modo de operación podría ver el trafico que pasa por el cable, a estos cambios se les conoce como modo promiscuo.
SPYWARE
Spyware: Hay numerosas definiciones en la red sobre este termino, pero quizás una que conjuga bien su significado es la que proporciona Whatis.com, donde se explica lo siguiente:
En general, spyware es cualquier tecnología que sirve para recolectar información sobre una persona u organización sin su conocimiento. En el Internet el spyware es aquel programa que se introduce secretamente en una computadora para recabar información sobre los hábitos de navegación; los anuncios publicitarios sobre los que pulsa y otros temas de interés para terceros.
El spyware puede instalarse en una computadora como de un virus de software o como resultado de instalar un programa nuevo. Los datos recolectados por programas que se instalan con el conocimiento del usuario no son, propiamente dicho, un spyware, siempre y cuando el usuario entienda y acepte totalmente los datos que de él se están monitorizando, quien los recaba y con quien se comparten.
La galleta (o cookie) es un mecanismo conocido para el almacenaje de información sobre un usuario de Internet desde su propia computadora. Sin embargo, la existencia de galletas y su empleo generalmente no se oculta a los usuarios, quienes también tienen generalmente la opción de rechazar el acceso a la información que proporciona la galleta. Sin embargo, el grado con que un sitio Web almacena información sobre usted en una galleta, de forma que usted no este al tanto de los detalles, podría ser considerado una forma de spyware.
Un troyano puede ser una de las siguientes cosas:
Instrucciones no autorizadas dentro de un programa legítimo. Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo.
Un programa legítimo que ha sido alterado por la colocación de instrucciones no autorizadas dentro del mismo, probablemente como consecuencia del ataque de un virus. Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo.
Cualquier programa que aparentemente haga una función deseable y necesaria pero que no la cumpla y/o contenga instrucciones no autorizadas en el mismo, las cuales ejecutan funciones desconocidas para el usuario.
Cualquier programa que contenga otro subprograma con instrucciones no deseadas o virus.
Cualquier programa que permita operaciones de monitoreo y/o control remoto del computador sin conocimiento del usuario. Este tipo de programas son llamados también "Backdoor" lo que se traduce a Puerta Trasera.
Los troyanos funcionan mejor en computadores sin muchas restricciones para los usuarios, ya que en ambientes restringidos no pueden hacer mucho daño; sin embargo, en los ambientes de servidor, que son muy restringidos per se, hay troyanos que han sido muy dañinos.
Troyanos de Administración Remota
Este tipo de troyanos ha sido el que tiene la mayor popularidad en la actualidad. Muchas personas con intenciones maliciosas quieren tener este tipo de programas para lanzar ataques a víctimas inocentes porque les permiten tener acceso al disco duro de las mismas, y además proporcionan acceso remoto a muchas de las funciones del computador, como por ejemplo abrir y cerrar la unidad de CD-ROM, colocar mensajes en el computador, ver en una ventana lo que escribe el usuario, incluyendo contraseñas y números de tarjetas de crédito, etc.
Los troyanos modernos de este tipo son muy fáciles de usar, hasta para una persona sin experiencia alguna. Generalmente vienen en dos archivos, un archivo cliente que es instalado en el computador del atacante y un archivo servidor que es instalado en el computador de la víctima. Algunos troyanos de este tipo están limitados en sus funciones, porque más funciones equivalen a archivos de servidor más grandes. Otros son usados por el atacante para copiar al computador de la víctima otro troyano más potente para acceder a todas las funciones posibles.
Las funciones principales de este tipo de troyanos son:
Monitoreo del teclado remoto, lo cual es conocido como keylogging. Esto permite que el atacante vea lo que escribe la víctima. Además el atacante puede escribir en el computador remoto interfiriendo con lo que escribe la víctima; inclusive puede hasta anular el teclado remoto impidiendo que la víctima pueda escribir algo en el computador controlado por el atacante.
Borrado y/o instalación de programas sin conocimiento de la víctima.
Copiar documentos privados o no, sin conocimiento de la víctima.
Cosas más triviales como controlar el mouse, desaparecerlo, anular secuencias de teclado como Ctrl+Alt+Del, apagar remotamente el computador, etc.
Los troyanos de administración remota (y casi todo tipo de troyano) inician automáticamente en el arranque del computador; muchos de los más sofisticados inician como servicio de sistema. La mayoría de los troyanos de administración remota se esconden de la lista de procesos de Windows, sobre todo cuando inician como servicios de sistema. Para complicar aún más las cosas, muchos de ellos usan nombres de programa válidos, lo cual dificulta su detección.
Además, hay troyanos que simplemente abren un servidor FTP en el computador de la víctima (usualmente no en el puerto 21, para ser menos detectables). Este servidor FTP es por supuesto, para sesiones anónimas o tienen un usuario predefinido cuya contraseña conoce el atacante. Esto permite hacer cualquier operación de transferencia de archivos de manera fácil y rápida; además, permite la ejecución remota de programas por parte del atacante.
Según algunos autores, fundamentalmente existen dos tipos de virus:
Aquellos que infectan archivos. A su vez, estos se clasifican en:
Virus de acción directa. En el momento en el que se ejecutan, infectan a otros programas.
Virus residentes. Al ser ejecutados, se instalan en la memoria del ordenador. Infectan a los demás programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados.
Los que infectan el sector de arranque. Recordemos que el sector de arranque es el primero leído por el ordenador cuando es encendido. Estos virus son residentes en memoria.
Existe una tercera categoría llamada multipartite, pero corresponde a los virus que infectan archivos y al sector de arranque, por lo que podemos decir que es la suma de las dos categorías anteriores.
Para otros autores, la clasificación de los virus también se divide en dos categorías, pero el método de clasificación utilizado es diferente:
Virus de archivos, que modifican archivos y/o entradas de las tablas que indican el lugar donde se guardan los directorios o los archivos, y
Virus de sistema operativo, cuyo objetivo consiste en infectar aquellos archivos que gobiernan el ordenador.
Existe una tercera clasificación, promovida por CARO, para unificar la forma de nombrar a los virus. En está clasificación se atiende a la plataforma en la que actua el virus y a algunas de sus características más importantes. Veámos por ejemplo: W32/Hybris.A-mm. Se trata de un virus que funciona en la plataforma win32 en su variante A (primera) que tiene capacidad mass mailing o de envío masivo de correo electrónico infectado.
En función de su comportamiento, todos los virus anteriores pueden a su vez clasificarse en otros subgrupos:
Virus uniformes, que producen una replicación idéntica a sí mismos.
Virus encriptados, que cifran parte de su código para que sea más complicado su análisis. A su vez pueden emplear:
Encriptación fija, empleando la misma clave.
Encriptación variable, haciendo que cada copia de si mismo esté encriptada con una clave distinta. De ésta forma reducen el tamaño del código fijo empleable para su detección.
Virus oligomórficos, que poseen un conjunto reducido de funciones de encriptación y eligen una de ellas aleatoriamente. Requieren distintos patrones para su detección.
Sniffer
Un Sniffer más que una herramienta de ataque en manos de un administrador de red puede ser una valiosa arma para la auditoria de seguridad en la red. Puesto que el acceso a la red externa debe estar limitado a un único punto. Un Sniffer puede ser la herramienta ideal para verificar como se esta comportando la red.
La definición aunque simple le puede ayudar bastante a entender como es que este dispositivo trabaja, sin embargo en este artículo daremos una breve mirada al funcionamiento de un Sniffer y además una lista de las herramientas disponibles para realizar esta actividad. En la red.
Funcionamiento de un Sniffer
Un Sniffer funciona cambiando el estado natural de una tarjeta de red a un esta particular. Cuando se envía una información por la red las tarjetas dejan pasar todo el trafico de la red que no les pertenece es decir todo trafico que no tenga como destino el computador en el que esta instalada. Sin embargo el la tarjeta sabe que esta pasando trafico por el cable al que esta conectada, por lo tanto haciendo unos sutiles cambios en el modo de operación podría ver el trafico que pasa por el cable, a estos cambios se les conoce como modo promiscuo.
SPYWARE
Spyware: Hay numerosas definiciones en la red sobre este termino, pero quizás una que conjuga bien su significado es la que proporciona Whatis.com, donde se explica lo siguiente:
En general, spyware es cualquier tecnología que sirve para recolectar información sobre una persona u organización sin su conocimiento. En el Internet el spyware es aquel programa que se introduce secretamente en una computadora para recabar información sobre los hábitos de navegación; los anuncios publicitarios sobre los que pulsa y otros temas de interés para terceros.
El spyware puede instalarse en una computadora como de un virus de software o como resultado de instalar un programa nuevo. Los datos recolectados por programas que se instalan con el conocimiento del usuario no son, propiamente dicho, un spyware, siempre y cuando el usuario entienda y acepte totalmente los datos que de él se están monitorizando, quien los recaba y con quien se comparten.
La galleta (o cookie) es un mecanismo conocido para el almacenaje de información sobre un usuario de Internet desde su propia computadora. Sin embargo, la existencia de galletas y su empleo generalmente no se oculta a los usuarios, quienes también tienen generalmente la opción de rechazar el acceso a la información que proporciona la galleta. Sin embargo, el grado con que un sitio Web almacena información sobre usted en una galleta, de forma que usted no este al tanto de los detalles, podría ser considerado una forma de spyware.
Un troyano puede ser una de las siguientes cosas:
Instrucciones no autorizadas dentro de un programa legítimo. Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo.
Un programa legítimo que ha sido alterado por la colocación de instrucciones no autorizadas dentro del mismo, probablemente como consecuencia del ataque de un virus. Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo.
Cualquier programa que aparentemente haga una función deseable y necesaria pero que no la cumpla y/o contenga instrucciones no autorizadas en el mismo, las cuales ejecutan funciones desconocidas para el usuario.
Cualquier programa que contenga otro subprograma con instrucciones no deseadas o virus.
Cualquier programa que permita operaciones de monitoreo y/o control remoto del computador sin conocimiento del usuario. Este tipo de programas son llamados también "Backdoor" lo que se traduce a Puerta Trasera.
Los troyanos funcionan mejor en computadores sin muchas restricciones para los usuarios, ya que en ambientes restringidos no pueden hacer mucho daño; sin embargo, en los ambientes de servidor, que son muy restringidos per se, hay troyanos que han sido muy dañinos.
Troyanos de Administración Remota
Este tipo de troyanos ha sido el que tiene la mayor popularidad en la actualidad. Muchas personas con intenciones maliciosas quieren tener este tipo de programas para lanzar ataques a víctimas inocentes porque les permiten tener acceso al disco duro de las mismas, y además proporcionan acceso remoto a muchas de las funciones del computador, como por ejemplo abrir y cerrar la unidad de CD-ROM, colocar mensajes en el computador, ver en una ventana lo que escribe el usuario, incluyendo contraseñas y números de tarjetas de crédito, etc.
Los troyanos modernos de este tipo son muy fáciles de usar, hasta para una persona sin experiencia alguna. Generalmente vienen en dos archivos, un archivo cliente que es instalado en el computador del atacante y un archivo servidor que es instalado en el computador de la víctima. Algunos troyanos de este tipo están limitados en sus funciones, porque más funciones equivalen a archivos de servidor más grandes. Otros son usados por el atacante para copiar al computador de la víctima otro troyano más potente para acceder a todas las funciones posibles.
Las funciones principales de este tipo de troyanos son:
Monitoreo del teclado remoto, lo cual es conocido como keylogging. Esto permite que el atacante vea lo que escribe la víctima. Además el atacante puede escribir en el computador remoto interfiriendo con lo que escribe la víctima; inclusive puede hasta anular el teclado remoto impidiendo que la víctima pueda escribir algo en el computador controlado por el atacante.
Borrado y/o instalación de programas sin conocimiento de la víctima.
Copiar documentos privados o no, sin conocimiento de la víctima.
Cosas más triviales como controlar el mouse, desaparecerlo, anular secuencias de teclado como Ctrl+Alt+Del, apagar remotamente el computador, etc.
Los troyanos de administración remota (y casi todo tipo de troyano) inician automáticamente en el arranque del computador; muchos de los más sofisticados inician como servicio de sistema. La mayoría de los troyanos de administración remota se esconden de la lista de procesos de Windows, sobre todo cuando inician como servicios de sistema. Para complicar aún más las cosas, muchos de ellos usan nombres de programa válidos, lo cual dificulta su detección.
Además, hay troyanos que simplemente abren un servidor FTP en el computador de la víctima (usualmente no en el puerto 21, para ser menos detectables). Este servidor FTP es por supuesto, para sesiones anónimas o tienen un usuario predefinido cuya contraseña conoce el atacante. Esto permite hacer cualquier operación de transferencia de archivos de manera fácil y rápida; además, permite la ejecución remota de programas por parte del atacante.