Clase 2 Antivirus

Antivirus_wmarin_2010

www.ie.itcr.ac.cr/marin

2

Qu es un antivirus?

Son programas cuya funcin es detectar y eliminar Virus informticos y otros programas maliciosos (a veces denominados

malware).



3

Funcionamiento Bsico

Compara el cdigo de cada archivo con una base de datos de los cdigos (tambin conocidos como firmas) de los virus conocidos.

Es importante actualizarla peridicamente a fin de evitar que un virus nuevo no sea detectado.

4

Funcionamiento Avanzado

Tambin se les ha agregado funciones avanzadas, como la bsqueda de comportamientos tpicos de virus (tcnica conocida como Heurstica)



5

Mtodo Heurstico

El trmino general implica funcionalidades como deteccin a travs de firmas genricas, reconocimiento del cdigo compilado, desensamblado, desempaquetamiento, entre otros. Su importancia radica en el hecho de ser la nica defensa posible frente a la aparicin de nuevos cdigos maliciosos de los cuales no se posean firmas.

6

Tcnicas heursticas

Firmas GenricasMuchos cdigos maliciosos son modificados en forma constante por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, lo cual se denomina como una familia de virus. Gracias a las similitudes dentro del cdigo del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a travs de una nica firma o vacuna genrica. Esto permite que al momento de aparecer una nueva versin de un virus ya conocido, aquellos antivirus que implementan esta tcnica puedan detectarlo sin la necesidad de una actualizacin.



7

Tcnicas heursticas (cont.)

Reconocimiento de cdigo compiladoCuando un programa es compilado para poder convertirlo en un archivo ejecutable, la codificacin resultante representa instrucciones que se le darn al sistema para realizar ciertas acciones (payload). Las implementaciones de heurstica de algunos antivirus utilizan tcnicas para reconocer instrucciones comnmente aplicadas por los cdigos maliciosos, y as poder identificar si un archivo ejecutable puede llegar a ser un cdigo malicioso..

8


Desensamblado Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el cdigo fuente del programa en lenguaje ensamblador. La heurstica de algunos productos antivirus es capaz de analizar el cdigo fuente de los programas sospechosos con el fin de reconocer en l tcnicas de desarrollo que normalmente sean usadas por los programadores de virus y as reconocer un cdigo malicioso nuevo sin la necesidad de una actualizacin.



9


Desempaquetamiento Los programadores de cdigos

maliciosos suelen usar empaquetadores o encubridores de archivos con el fin de modificar la "apariencia" del virus a los ojos del anlisis antivirus. Empaquetadores como UPX, o Themida son ampliamente utilizados para esto. Para evitar ser engaado, el antivirus analiza el cdigo real del programa, y no el empaquetado.

10

Otros componentes

Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Es muy comn que tengan componentes que revisen los adjuntos de los correos electrnicos salientes y entrantes, as como los scripts y programas que pueden ejecutarse en un navegador web (ActiveX, Java, JavaScript).



11

Vacunas

Programa especialmente encargado de encontrar la presencia de un virus especfico o de un tipo es particular de virus.

12

Tipos de vacunas

SOLO DETECCION: son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.

DETECCIN Y DESINFECCIN: son vacunas que detectan archivos infectados y que pueden desinfectarlos.

DETECCIN Y ABORTO DE LA ACCIN: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus.

DETECCIN Y ELIMINACION DE ARCHIVO/OBJETO: son vacunas que detectan archivos infectados y eliminan el archivo u objeto que tenga infeccin.



13

Funcionamiento de vacunas

COMPARCIN DIRECTA: son vacunas que comparan directamente los archivos para revisar si alguno esta infectado

COMPARACION POR FIRMA: son vacunas comparan las firma de archivos sospechosos para saber si estn infectados.

POR MTODOS HEURSTICOS: son vacunas que usan mtodos heursticos para comparar el comportamiento tpico del malware especfico.

14

Taxonoma de Malware?

Al contrario de los virus biolgicos, no existe una forma estndar para nombrar el malware.

Algunos Sitios de colaboracin de desarrolladores de antivirus:

http://www.wildlist.org http://www.virusbtn.com

Computer AntiVirus Research Organization (Caro)

European Institute for Computer Anti-Virus Research (EICAR-WG2)



15

Taxonoma del Malware (cont)

Muchos desarrolladores utilizan su propia convencin de nombres la mayora variantes de CARO: [://][/][.]

[.].[][!]

W32/Agobot!4A55..

VBS/LoveLetter TR/Zlob.36864

16

Buenas Prcticas.

Utilizar un Firewall para detener por defecto todas las conexiones entrantes.

Utilizar contraseas seguras Que el usuario regular del equipo

tenga el nivel ms bajo de privilegios. Deshabilitar la autoejecucin

automtica de medios extrables (Autorun-Autoplay)



17

Buenas Prcticas (cont)

Deshabilitar la comparticin de archivos. De requerirse, no utilizar contraseas dbiles en recursos compartidos ni permitir el acceso annimo. Complementar con Listas de Control de Acceso.

Deshabilitar servicios no necesarios del sistema operativo, sto minimiza la cantidad de posibles ataques o exploits.

18

Buenas Prcticas (cont).

Mantener parches de seguridad (Patch tuesday) al da y las bases de firmas de antivirus actualizados, especialmente en equipos que publiquen servicios (Servidores HTTP, FTP, DNS, etc)

Bloquear en el servidor de correos los adjuntos ejecutables; de no ser posible instruir al usuario para que no los ejecute (exe, bat, vbs, scr, pif, com, reg, msi)



19

Buenas prcticas (cont)

Aislar computadores infectados de la red, y de ser necesario, restaurar el sistema solo de medios de almacenamiento confiables.

Profilaxis.

20

Firewalls Un cortafuegos (o firewall) es un

elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya definido la organizacin responsable de la red.



21

Proteccin del usuario

Desde el punto de vista del usuario, es recomendable contar con un Firewall por software. Windows Firewall Zone Alarm. Lavasoft adaware

22

Otros tipos de anti-malware

Otros programas, se encargan de buscar y remover otros tipos de malware que no son virus puros (modelo D.A.S).

Ejemplos: Windows defender (Microsoft) Spybot Search and destroy (spybsd)



24

Smitfraud

Smitfraud es un programa spyware que infecta el archivo de Windows WININET.DLL con el virus detectado como W32/Smitfraud.A.

Es capaz de registrar las pginas web visitadas por el usuario y enviar la informacin a un servidor, as como descargar y ejecutar un archivo que instala un supuesto programa antispyware, de forma oculta y sin consentimiento del usuario.



25

Smitfraud (cont.)

cambia el Escritorio de Windows por una imagen que simula un error fatal de Windows, advirtiendo a los usuarios que han sido afectados por un spyware, engaando a los usuarios para que compren la versin completa del falso programa antispyware.



28

Falso Positivo

Un falso positivo es un error por el cual un software antivirus reporta que un archivo o rea de sistema est infectada, cuando en realidad el objeto est limpio de virus.



29

Falso negativo

Un falso negativo es un error mediante el cual el software falla en detectar un archivo o rea del sistema que est realmente infectada.

30

Click to add title

Tanto los falsos positivos como los falsos negativos se pueden producir debido a que el antivirus empleado no contiene los micro cdigos o firma exacta del virus, que no necesariamente se encuentran en una misma y nica "cadena" o se trata de una nueva variante de la especie viral. Los mtodos heursticos que no tengan una buena tcnica de programacin o al ser compilados no hayan sido probados a fondo son susceptibles de reportar falsos positivos o falsos negativos.



31

Payload

En trminos de virus informticos, payload es el o los efectos nocivos que ocasiona cualquier malware a los sistemas de los equipos que infectan.

El objetivo de un desarrollador de malware, es generar un payload, no solamente daino, sino que adems genere efectos secundarios nocivos (dao de archivos, borrado formateo de discos, propagacin a travs de otros servicios de Internet, deshabilitar antivirus, firewalls, y hasta herramientas de sistema, mensajes o cajas de dilogo en pantalla)

Toda expresin y/o dao que la mente de los creadores de virus puedan crear y desarrollar.

32

Malware para memorias flash usb



33

autorun.inf

Mostrar archivos ocultos. Mostrar archivos de sistema. Mostrar extensiones para tipos de

archivo conocidos

34

La instruccin open= y command=

;l2J3k12nL7Sjkd0ofjjwdAas22wLA4kr4wiw3Lr1d

[AutoRun]

;Dc

open=oufddh.exe

;4kLKDlJ

shell\open\Command=oufddh.exe

;ksroaqp5ioALqL49idDKjAdK3w25s81LeA2L0747qoifs44kDk3swosqJipDDwwpsiak0CKw3aaaF28rimkorkDwaUa462wkk

shell\open\Default=1

;CSkkdsl2Z42j3KjL2lJkLf00d17Ss9UoaAs0irXi14kJ32so4KLidwD93KJjlDe7ae3jodo9KOipnaadwK4Zq6HiqfkswK1qwwwDj3oA0ia531i

shell\explore\Command=oufddh.exe

;3aDd52iK2sod8fA34rsr3HrDp2KJlde3sl3KkSkskiw9K4dk40eLi5Laf4La5i0Ls30kwU2k5oiqrqqkdawLjkrkDaJK4ZwjDd2jjsc50kLaws

Documents

Clase 2 Antivirus