¿Qué es un virus de ataque de vulnerabilidad del sistema operativo?
La palabra "virus" se utilizó por primera vez para expresar este significado en el artículo de Fred Cohen de 1984 "Computer Virus Experiments". La palabra virus es ampliamente conocida gracias a la ciencia ficción. Uno es "Cuando H.A.R.L.I.E. era uno", de David Gerrold a mediados de la década de 1970, que describe un programa llamado "virus" y un programa llamado "anticuerpos" que lo combaten; el otro es la novela de 1975 de John John Brunner, "Shakewave Rider" que describe; un programa llamado "Tape Worm" que elimina datos en Internet. [3]
A principios de la década de 1960, algunos jóvenes investigadores del Instituto Tecnológico de Massachusetts, en Estados Unidos, utilizaron su tiempo de trabajo para jugar a un juego de ordenador que crearon después de terminar su trabajo. El método consiste en que alguien compile un pequeño programa, luego lo introduzca en la computadora para ejecutarlo y destruya el programa de juego de la otra parte. Y este también puede ser el prototipo de los virus informáticos.
[editar] Entorno operativo y canales de transmisión
Dado que el 90% del mercado mundial de entornos de escritorio con sistemas operativos utiliza productos de la serie Microsoft Windows[4], los autores de virus han lanzado ataques de virus. está seleccionado como Windows. El creador del virus primero debe determinar las vulnerabilidades de la versión del sistema operativo que se va a atacar. Esta es la clave para que el virus que escribió pueda explotar Windows no tiene funciones de seguridad inherentes efectivas y los usuarios a menudo ejecutan virus con privilegios de administrador sin permiso. El software de control de seguridad también proporciona un caldo de cultivo para la propagación de virus en Windows. En el caso de sistemas operativos como Linux y Mac OS, hay relativamente pocas personas que los utilizan y, por lo general, los virus no son fáciles de propagar. La mayoría de los editores de virus tienen una variedad de propósitos, que incluyen bromas, querer causar daño, vengarse, querer ser famoso y tener un pasatiempo especial en el estudio de los virus.
Los virus se propagan rápidamente principalmente a través de la navegación y descargas de Internet, el correo electrónico y los discos extraíbles.
[5]
[editar] Nomenclatura
La siguiente tabla muestra la definición internacional de prefijos para las convenciones de nomenclatura de virus. Los virus en DOS generalmente no tienen prefijos:
Prefijo
Significado
WM
Word6.0, virus de macro Word95
WM97
virus de macro Word97
XM
Excel5.0, virus de macro Excel95
X97M
Ocurre en las versiones Excel5.0 y Excel97
XF
Virus del programa Excel
AM
Virus de macro Access95
AM97M
Virus de macro Access97
p>W95
Virus Windows95, 98
Win
Virus Windows3.x
W32
Virus de 32 bits, infecta todos los sistemas Windows de 32 bits
WINT
Virus de Windows de 32 bits, solo infecta Windows NT
Trojan/Troj
Caballo de Troya
VBS
Virus escrito en lenguaje de programación VBScript
VSM
Infecta Visio VBA (Visual Basic para Aplicaciones) Virus de macros o scripts
JS
Virus escritos en el lenguaje de programación JScript
PE
Virus de 32 bits dirigidos a Windows
OSX
Virus Mac OSX
La parte central se refiere al nombre en inglés del virus y el sufijo suele ser el nombre del código de la variante.
[editar] Características
En informática, un virus informático es un programa similar a un virus biológico que se replica y se propaga a otros hosts, causando daños al host. El host también es un programa, generalmente un sistema operativo, que infecta aún más otros programas y otras computadoras. Los virus informáticos generalmente se esconden durante su propagación, se desencadenan por condiciones específicas y comienzan a causar daños.
Las características indeseables de los virus informáticos incluyen transmisibilidad, ocultamiento, infectividad, latencia, excitabilidad[6], expresividad o destructividad. Generalmente dos o más de las características anteriores son suficientes. Se determinó que el programa es un virus. .
El ciclo de vida de un virus informático es el período de desarrollo → período de infección → período de incubación → período de ataque → período de descubrimiento → período de digestión → período de extinción. [5][7]
[editar] Explicación detallada de las características principales
[editar] Transmisibilidad
Los virus generalmente utilizan automáticamente el puerto 25 de correo electrónico para propagarse. El objetivo es una vulnerabilidad en Outlook incluido con el sistema operativo Microsoft. El virus se copia automáticamente y se distribuye masivamente a los miembros de la libreta de direcciones almacenada. El título del correo electrónico es más atractivo para hacer clic y la mayoría de ellos utilizan ingeniería social como "Te amo" y otras palabras íntimas entre familiares y amigos para reducir el estado de alerta de las personas. Si el autor del virus utiliza una vulnerabilidad de secuencia de comandos para incrustar el virus directamente en el correo electrónico, el usuario quedará infectado por el virus cuando haga clic en el título del correo electrónico y lo abra.
[editar] Ocultamiento
Los virus generales ocupan solo unos pocos KB, por lo que además de propagarse rápidamente, también están extremadamente ocultos. Algunos virus utilizan tecnología "sin procesos" o se insertan en un proceso crítico necesario de un sistema, por lo que sus procesos en ejecución separados no se pueden encontrar en el administrador de tareas. Una vez que se ejecuta el virus, modifica su propio nombre de archivo y lo oculta en una carpeta del sistema que los usuarios no visitan con frecuencia. Dichas carpetas suelen tener miles de documentos del sistema. Es difícil encontrar el virus si se busca manualmente.
La tecnología de camuflaje del virus antes de ejecutarse también merece nuestra atención. Agrupe el virus y un documento atractivo en un solo documento, luego, cuando el documento que lo atrae se ejecute normalmente, el virus también se ejecutará silenciosamente en nuestro sistema operativo.
[editar] Infecciosidad
Algunos virus son infecciosos, como infectar archivos ejecutables en la computadora del usuario envenenado, como formatos exe, bat, scr, com. el propósito de la autorreplicación y la protección de la propia supervivencia. Por lo general, las vulnerabilidades compartidas por la red también se pueden aprovechar para copiarlas y propagarlas a grupos de usuarios de computadoras vecinas, provocando que todos los programas de varias computadoras en el vecindario accedan a Internet a través de enrutadores o computadoras en cibercafés.
[editar] Latencia
Algunos virus tienen un cierto "período de latencia" y estallarán a tiempo en días específicos, como un feriado o un día de la semana determinado. Por ejemplo, el virus CIH que destruyó el BIOS en 1999 aparece el 26 de abril de cada año. Al igual que los virus biológicos, esto permite que los virus informáticos se propaguen tanto como sea posible antes de estallar.
[editar] Excitabilidad
Según las "necesidades" del autor del virus, establezca el "misterio" que desencadena el ataque del virus. Por ejemplo, el virus que el creador del virus CIH, Chen Yinghao, alguna vez planeó diseñar fue diseñado "cuidadosamente" para sistemas Windows en chino simplificado. Después de ejecutar el virus, detectará activamente el idioma del sistema operativo infectado. Si se descubre que el idioma del sistema operativo es el chino simplificado, el virus atacará automáticamente la computadora si el idioma no es la versión china simplificada de Windows. , incluso si ejecuta el virus, éste no atacará ni dañará su computadora. [8]
[editar] Rendimiento
Después de ejecutar el virus, si sigue el diseño del autor, tendrá ciertas características de rendimiento: por ejemplo, el uso de CPU es 100, y el usuario no realiza ninguna operación. Lee y escribe datos en el disco duro u otros datos del disco, no se puede usar la pantalla azul de la muerte, el botón derecho del mouse, etc. Sin embargo, características de rendimiento tan obvias ayudan a las personas infectadas con el virus a descubrir que han sido infectados con el virus y son muy útiles para eliminar el virus, y el ocultamiento no existe.
[editar] Destructivo
Algunos virus potentes pueden formatear directamente los datos del disco duro del usuario después de ejecutarlos, y virus aún más potentes pueden destruir el sector de arranque y el BIOS en los que se han utilizado. El entorno de hardware causó daños considerables.
[editar] Clasificación
Tipo de virus Según las estadísticas de un informe publicado por el Centro Nacional de Respuesta a Emergencias contra Virus Informáticos de China, casi el 45% de los virus son troyanos y los gusanos representan más del El 25% del número total de virus son virus de script que representan más del 15%, y los tipos de virus restantes son: virus de documentos, programas destructivos y virus de macro.
[editar] Caballo de Troya/botnet
Artículo principal: Caballo de Troya
También se le llama generalmente software de monitoreo remoto. Si el caballo de Troya se puede conectar, entonces se puede decir que después de obtener todos los derechos operativos de la computadora remota, operar la computadora remota no es diferente de operar su propia computadora. Este tipo de programa puede monitorear la cámara del usuario controlado e interceptar la contraseña. La "Conexión a Escritorio remoto" que viene con versiones posteriores de Windows NT no es diferente de un caballo de Troya si la utilizan malos usuarios.
Artículo principal: Botnet
Una vez que un usuario es envenenado, se convertirá en un "zombi" o un "bot", y se convertirá en un "robot" en manos de los piratas informáticos. Por lo general, los piratas informáticos o script kids (Script Kids) pueden utilizar decenas de miles de "zombies" para enviar una gran cantidad de paquetes falsificados o paquetes de datos basura para llevar a cabo ataques de denegación de servicio a objetivos predeterminados, lo que provoca que el objetivo sea. paralizado.
[editar] Software dañino
Artículo principal: virus gusano
La clase de explotación de la vulnerabilidad del virus gusano también es el virus más familiar para nosotros, generalmente se encuentra en todo el mundo. mundo Fue el que estalló a gran escala. Como el virus Blaster y el virus Sasser para versiones anteriores de Windows XP sin parches. A veces, junto con botnets, utilizando principalmente técnicas de desbordamiento de búfer.
Artículo principal: Grayware
El software espía y el software fraudulento son software producidos por algunas empresas de Internet sin escrúpulos que recopilan los hábitos de navegación web de los usuarios para formular sus propias estrategias publicitarias. Este tipo de software en sí no es muy dañino para la computadora, pero la privacidad de la persona envenenada se filtra y recopila, y una vez instalado, no se puede eliminar ni desinstalar normalmente. Por ejemplo, el adware de Internet Explorer modificará y bloqueará automáticamente la página de inicio predeterminada del usuario y cargará la barra de herramientas de la empresa de publicidad.
Artículo principal: Malware
El software de broma, como la altamente destructiva "bomba de disco", formatea automáticamente el disco duro después de ejecutar el programa. Originalmente solo tenía fines de "engañar". Sin embargo, después de ejecutar este programa malicioso, causará grandes pérdidas a los datos importantes del usuario. Lo mismo ocurre con los infectores de archivos y los virus del sector raíz en DOS.
[Editar] Virus de script
Artículo principal: Virus de macro
Los virus de macro infectan la serie de software ofimático desarrollado por Microsoft. El software de Office, como Microsoft Word y Excel, admite la ejecución de comandos que pueden realizar determinadas operaciones con documentos, por lo que también son explotados por virus de macro maliciosos en documentos de Office. openoffice.org sólo proporciona soporte de edición para las macros VBS de Microsoft, pero no las ejecuta. Por lo tanto, el virus no puede ejecutarse después de abrir documentos de MS Office que contienen virus de macro en openoffice.org.
[editar] Virus basados en archivos
Los virus basados en archivos suelen residir en archivos ejecutables (archivos con la extensión .EXE o .COM). Cuando se ejecuta el archivo infectado, The. El virus entonces comienza a dañar la computadora.
[editar] Tecnología antivirus y nuevas funciones
Artículo principal: Tecnología antivirus
Artículo principal: Código de función
Antivirus Se refiere a: una tecnología que trata los virus para que puedan escapar a la detección por parte del software antivirus. Por lo general, antes de que un virus se propague desde las manos del autor del virus, él mismo está libre de antivirus. Incluso se puede decir que "el virus es más nuevo que el software antivirus, por lo que el software antivirus no puede reconocerlo". "Sin embargo, después de que el virus se propagó, algunos usuarios fueron envenenados y lo informaron a la compañía de software antivirus. El motivo del informe atraerá la atención de la compañía de seguridad e incluirá la firma en su virus. base de datos y el virus será reconocido por el software antivirus.
Los autores de virus pueden evadir fácilmente la biblioteca de firmas de virus del software antivirus y evitar la detección por parte del software antivirus volviendo a proteger el virus, como utilizando instrucciones de ensamblaje o empaquetando el documento.
Norton Antivirus, McAfee, PC-cillin de Estados Unidos, Kaspersky Anti-Virus de Rusia, NOD32 de Eslovaquia y otros productos tienen buena reputación a nivel internacional, pero sus capacidades antivirus y de comprobación de shell son limitadas actualmente. , la base de datos total de virus El número es sólo de unos pocos cientos de miles.
La autorrenovación es otra de las novedades de los virus en los últimos años. Los virus se pueden actualizar con variantes a través de Internet para obtener la última versión libre de virus y continuar ejecutándose en la computadora infectada del usuario. Por ejemplo, el autor del virus Panda Burning Incense creó un "servidor de actualización de virus" para actualizar el virus cada vez. Se actualizó 8 veces al día durante el período más diligente, lo que es más rápido que la velocidad de actualización de la base de datos de virus de algunos programas antivirus, por lo que el software antivirus no puede reconocer el virus.
Además de la autoevasión y la autoactualización, muchos virus también tienen nuevas funciones para luchar contra sus "enemigos naturales", el software antivirus y el software antivirus del producto cortafuegos, siempre que el virus lo sea. Al ejecutarse, el virus destruirá automáticamente a la persona envenenada. El software antivirus y los productos de firewall instalados en la computadora, como la protección Rootkit a nivel de controlador del virus, forzarán la detección y saldrán del proceso del software antivirus. La modificación automática se realiza mediante la "defensa activa" del software antivirus convencional y el perro robot [9] que penetra la restauración del software y el hardware. El tiempo ha provocado que la certificación genuina de algunos fabricantes de software antivirus deje de ser válida, lo que provoca que el antivirus. -El software antivirus deja de ser válido, lo que fortalece aún más la capacidad de supervivencia del virus.
La proliferación de la tecnología antivirus permite que el mismo prototipo de virus derive en teoría casi infinitas variantes, lo que causa grandes problemas al software antivirus que depende de la tecnología de firmas para su detección. En los últimos años, la industria antivirus internacional ha llevado a cabo en general diversas investigaciones técnicas con visión de futuro en un intento de revertir la situación adversa causada por la excesiva dependencia de las firmas. Actualmente, los productos más representativos son el software de escaneo heurístico basado en tecnología de máquinas virtuales, representado por los fabricantes NOD32 y Dr.Web, el software de defensa activa basado en tecnología de análisis de comportamiento y el software de defensa activa de micropuntos representado por fabricantes como China.
[editar] Prevención
Parchear vulnerabilidades en el sistema operativo y su software incluido
Artículo principal: Microsoft Update
Instalación del sistema y El software incluido, como Internet Explorer y Windows Media Player, tiene parches de seguridad de vulnerabilidad. Tomando como ejemplo el sistema operativo Windows, Windows NT y las siguientes versiones pueden actualizar el sistema a través de Microsoft Update. y otras versiones pueden usar el programa "Actualizaciones automáticas" del sistema, descarga parches y los instala. Establezca una contraseña del sistema relativamente segura y desactive el uso compartido de contraseñas de red predeterminado del sistema para evitar la intrusión en la LAN o la propagación de gusanos de contraseñas débiles. Verifique periódicamente el estado de la pestaña de inicio de la utilidad de configuración del sistema y detenga los servicios desconocidos de Windows. Instale y actualice oportunamente el software antivirus y los productos de firewall. Mantenga la base de datos de virus más reciente para poder detectar los virus más recientes. Por ejemplo, algunos servidores de actualización de software antivirus tienen nuevos paquetes de bases de datos de virus disponibles para que los usuarios los actualicen cada hora. Al utilizar un firewall, se debe prestar atención a prohibir el acceso a la red de software de fuentes desconocidas. Debido a razones como el antivirus y la inyección de procesos, algunos virus pueden pasar fácilmente a través de la doble defensa del antivirus y el firewall. Cuando se encuentre en tal situación, debe prestar atención al uso de un firewall especial para evitar la inyección de procesos, y con frecuencia. comprobar los elementos y servicios de inicio. Algunos firewalls especiales pueden proporcionar "defensa activa" y monitoreo en tiempo real del registro, y pueden interceptar y bloquear cada operación maliciosa de un programa incorrecto en la computadora. No haga clic en conexiones desconocidas ni ejecute programas desconocidos [10] Es probable que gusanos envíen automáticamente conexiones desconocidas a través de correo electrónico o software de mensajería instantánea, como QQ tail, uno de los virus QQ que contienen la mayoría de estos mensajes. Sitios web que aprovechan las vulnerabilidades del navegador IE. Los usuarios que visitan estos sitios web pueden infectarse con más virus sin descargarlos. Además, no ejecute programas de origen desconocido, como algunos nombres de archivos "sexualmente tentadores" que engañan a las personas para que hagan clic. Después de hacer clic, el virus se ejecutará en el sistema.