clase 2 antivirus
TRANSCRIPT
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
2
Qu es un antivirus?
Son programas cuya funcin es detectar y eliminar Virus informticos y otros programas maliciosos (a veces denominados
malware).
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
3
Funcionamiento Bsico
Compara el cdigo de cada archivo con una base de datos de los cdigos (tambin conocidos como firmas) de los virus conocidos.
Es importante actualizarla peridicamente a fin de evitar que un virus nuevo no sea detectado.
4
Funcionamiento Avanzado
Tambin se les ha agregado funciones avanzadas, como la bsqueda de comportamientos tpicos de virus (tcnica conocida como Heurstica)
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
5
Mtodo Heurstico
El trmino general implica funcionalidades como deteccin a travs de firmas genricas, reconocimiento del cdigo compilado, desensamblado, desempaquetamiento, entre otros. Su importancia radica en el hecho de ser la nica defensa posible frente a la aparicin de nuevos cdigos maliciosos de los cuales no se posean firmas.
6
Tcnicas heursticas
Firmas GenricasMuchos cdigos maliciosos son modificados en forma constante por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, lo cual se denomina como una familia de virus. Gracias a las similitudes dentro del cdigo del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a travs de una nica firma o vacuna genrica. Esto permite que al momento de aparecer una nueva versin de un virus ya conocido, aquellos antivirus que implementan esta tcnica puedan detectarlo sin la necesidad de una actualizacin.
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
7
Tcnicas heursticas (cont.)
Reconocimiento de cdigo compiladoCuando un programa es compilado para poder convertirlo en un archivo ejecutable, la codificacin resultante representa instrucciones que se le darn al sistema para realizar ciertas acciones (payload). Las implementaciones de heurstica de algunos antivirus utilizan tcnicas para reconocer instrucciones comnmente aplicadas por los cdigos maliciosos, y as poder identificar si un archivo ejecutable puede llegar a ser un cdigo malicioso..
8
Tcnicas heursticas (cont.)
Desensamblado Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el cdigo fuente del programa en lenguaje ensamblador. La heurstica de algunos productos antivirus es capaz de analizar el cdigo fuente de los programas sospechosos con el fin de reconocer en l tcnicas de desarrollo que normalmente sean usadas por los programadores de virus y as reconocer un cdigo malicioso nuevo sin la necesidad de una actualizacin.
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
9
Tcnicas heursticas (cont.)
Desempaquetamiento Los programadores de cdigos
maliciosos suelen usar empaquetadores o encubridores de archivos con el fin de modificar la "apariencia" del virus a los ojos del anlisis antivirus. Empaquetadores como UPX, o Themida son ampliamente utilizados para esto. Para evitar ser engaado, el antivirus analiza el cdigo real del programa, y no el empaquetado.
10
Otros componentes
Normalmente un antivirus tiene un componente que se carga en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Es muy comn que tengan componentes que revisen los adjuntos de los correos electrnicos salientes y entrantes, as como los scripts y programas que pueden ejecutarse en un navegador web (ActiveX, Java, JavaScript).
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
11
Vacunas
Programa especialmente encargado de encontrar la presencia de un virus especfico o de un tipo es particular de virus.
12
Tipos de vacunas
SOLO DETECCION: son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.
DETECCIN Y DESINFECCIN: son vacunas que detectan archivos infectados y que pueden desinfectarlos.
DETECCIN Y ABORTO DE LA ACCIN: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus.
DETECCIN Y ELIMINACION DE ARCHIVO/OBJETO: son vacunas que detectan archivos infectados y eliminan el archivo u objeto que tenga infeccin.
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
13
Funcionamiento de vacunas
COMPARCIN DIRECTA: son vacunas que comparan directamente los archivos para revisar si alguno esta infectado
COMPARACION POR FIRMA: son vacunas comparan las firma de archivos sospechosos para saber si estn infectados.
POR MTODOS HEURSTICOS: son vacunas que usan mtodos heursticos para comparar el comportamiento tpico del malware especfico.
14
Taxonoma de Malware?
Al contrario de los virus biolgicos, no existe una forma estndar para nombrar el malware.
Algunos Sitios de colaboracin de desarrolladores de antivirus:
http://www.wildlist.org http://www.virusbtn.com
Computer AntiVirus Research Organization (Caro)
European Institute for Computer Anti-Virus Research (EICAR-WG2)
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
15
Taxonoma del Malware (cont)
Muchos desarrolladores utilizan su propia convencin de nombres la mayora variantes de CARO: [://][/][.]
[.].[][!]
W32/Agobot!4A55..
VBS/LoveLetter TR/Zlob.36864
16
Buenas Prcticas.
Utilizar un Firewall para detener por defecto todas las conexiones entrantes.
Utilizar contraseas seguras Que el usuario regular del equipo
tenga el nivel ms bajo de privilegios. Deshabilitar la autoejecucin
automtica de medios extrables (Autorun-Autoplay)
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
17
Buenas Prcticas (cont)
Deshabilitar la comparticin de archivos. De requerirse, no utilizar contraseas dbiles en recursos compartidos ni permitir el acceso annimo. Complementar con Listas de Control de Acceso.
Deshabilitar servicios no necesarios del sistema operativo, sto minimiza la cantidad de posibles ataques o exploits.
18
Buenas Prcticas (cont).
Mantener parches de seguridad (Patch tuesday) al da y las bases de firmas de antivirus actualizados, especialmente en equipos que publiquen servicios (Servidores HTTP, FTP, DNS, etc)
Bloquear en el servidor de correos los adjuntos ejecutables; de no ser posible instruir al usuario para que no los ejecute (exe, bat, vbs, scr, pif, com, reg, msi)
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
19
Buenas prcticas (cont)
Aislar computadores infectados de la red, y de ser necesario, restaurar el sistema solo de medios de almacenamiento confiables.
Profilaxis.
20
Firewalls Un cortafuegos (o firewall) es un
elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya definido la organizacin responsable de la red.
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
21
Proteccin del usuario
Desde el punto de vista del usuario, es recomendable contar con un Firewall por software. Windows Firewall Zone Alarm. Lavasoft adaware
22
Otros tipos de anti-malware
Otros programas, se encargan de buscar y remover otros tipos de malware que no son virus puros (modelo D.A.S).
Ejemplos: Windows defender (Microsoft) Spybot Search and destroy (spybsd)
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
24
Smitfraud
Smitfraud es un programa spyware que infecta el archivo de Windows WININET.DLL con el virus detectado como W32/Smitfraud.A.
Es capaz de registrar las pginas web visitadas por el usuario y enviar la informacin a un servidor, as como descargar y ejecutar un archivo que instala un supuesto programa antispyware, de forma oculta y sin consentimiento del usuario.
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
25
Smitfraud (cont.)
cambia el Escritorio de Windows por una imagen que simula un error fatal de Windows, advirtiendo a los usuarios que han sido afectados por un spyware, engaando a los usuarios para que compren la versin completa del falso programa antispyware.
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
28
Falso Positivo
Un falso positivo es un error por el cual un software antivirus reporta que un archivo o rea de sistema est infectada, cuando en realidad el objeto est limpio de virus.
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
29
Falso negativo
Un falso negativo es un error mediante el cual el software falla en detectar un archivo o rea del sistema que est realmente infectada.
30
Click to add title
Tanto los falsos positivos como los falsos negativos se pueden producir debido a que el antivirus empleado no contiene los micro cdigos o firma exacta del virus, que no necesariamente se encuentran en una misma y nica "cadena" o se trata de una nueva variante de la especie viral. Los mtodos heursticos que no tengan una buena tcnica de programacin o al ser compilados no hayan sido probados a fondo son susceptibles de reportar falsos positivos o falsos negativos.
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
31
Payload
En trminos de virus informticos, payload es el o los efectos nocivos que ocasiona cualquier malware a los sistemas de los equipos que infectan.
El objetivo de un desarrollador de malware, es generar un payload, no solamente daino, sino que adems genere efectos secundarios nocivos (dao de archivos, borrado formateo de discos, propagacin a travs de otros servicios de Internet, deshabilitar antivirus, firewalls, y hasta herramientas de sistema, mensajes o cajas de dilogo en pantalla)
Toda expresin y/o dao que la mente de los creadores de virus puedan crear y desarrollar.
32
Malware para memorias flash usb
-
Antivirus_wmarin_2010
www.ie.itcr.ac.cr/marin
33
autorun.inf
Mostrar archivos ocultos. Mostrar archivos de sistema. Mostrar extensiones para tipos de
archivo conocidos
34
La instruccin open= y command=
;l2J3k12nL7Sjkd0ofjjwdAas22wLA4kr4wiw3Lr1d
[AutoRun]
;Dc
open=oufddh.exe
;4kLKDlJ
shell\open\Command=oufddh.exe
;ksroaqp5ioALqL49idDKjAdK3w25s81LeA2L0747qoifs44kDk3swosqJipDDwwpsiak0CKw3aaaF28rimkorkDwaUa462wkk
shell\open\Default=1
;CSkkdsl2Z42j3KjL2lJkLf00d17Ss9UoaAs0irXi14kJ32so4KLidwD93KJjlDe7ae3jodo9KOipnaadwK4Zq6HiqfkswK1qwwwDj3oA0ia531i
shell\explore\Command=oufddh.exe
;3aDd52iK2sod8fA34rsr3HrDp2KJlde3sl3KkSkskiw9K4dk40eLi5Laf4La5i0Ls30kwU2k5oiqrqqkdawLjkrkDaJK4ZwjDd2jjsc50kLaws