Site hosted by Angelfire.com: Build your free website today!

Virus del Mirc


Son la nueva generación de infección, aprovechan la ventajas proporcionadas por la
Red y de los millones de usuarios conectados a cualquier IRC a través del Mirc. Consiste en un script para el cliente de IRC Mirc. Cuando se accede a un canal de IRC, recibe por DCC un archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobrescrito por el "script.ini" maligno.

 Bueno después de lo dicho nos preguntaremos ¿y para en que nos afecta a nosotros? Pues muy fácil, los autores pueden desconectarte del IRC o acceder a información privada,(archivo de claves o el "etc/passwd" de Linux).

Multi-Partes

 Los virus multi-parte pueden infectar tanto el sector de arranque como los archivos ejecutables, suelen ser una combinación de todos los tipos existentes de virus, su poder de destrucción es muy superior a los demás y de alto riesgo para nuestros datos, su tamaño es mas grande a cambio de tener muchas mas opciones de propagarse e infección de cualquier sistema. multipartite, pero corresponde a los virus que infectan archivos y al sector de arranque, por lo que se puede decir que es la suma de las dos categorías anteriores.

Para otros autores, la clasificación de los virus también se divide en dos categorías, pero el método de clasificación utilizado es diferente:

Existe una tercera clasificación, promovida por CARO, para unificar la forma de nombrar a los virus. En esta clasificación se atiende a la plataforma en la que actúa el virus y a algunas de sus características más importantes. Por ejemplo, el W32/Hybris.A-mm es un virus que funciona en la plataforma win32 en su variante A (primera) que tiene capacidad mass mailing o de envío masivo de correo electrónico infectado

Sector de Arranque

Virus de sector de arranque: Infectan el área de sistema (registro de arranque) del disco. También lo tienen aquellos disquetes que solo tienen datos. (Ejemplo: Form, Disk Killer, Michelangelo, Stoned)
 - Virus de macro: Infectan archivos de programas como el Word, Excel, PowerPoint, Access, etc. del Office. Estos virus usan el lenguaje de programación propio de estos programas. Existen miles de ellos pues es muy fácil crearlos.

¿Cómo se produce la infección?
Si se arranca con un virus infectado, el virus se carga en memoria, este comprueba los sectores de arranque del disco duro y si no contiene una copia del mismo, se copia y la computadora queda infectada.

Infección del sector maestro de arranque  Virus se copia en la cara 0 de la pista 0 del sector 1 donde esta la tabla de particiones. Allí están los datos de cual es la partición de arranque. El virus le indica al sistema que lea el sector de arranque para ver si es un sector de arranque valido, si es así lo infecta.

Los que infectan el sector de arranque (virus de boot). Recordemos que el sector de arranque es el primero leído por el ordenador cuando es encendido. Estos virus son residentes en memoria.

  Este tipo de virus infecta el sector de arranque de un disquete y se esparce en el disco duro del usuario, el cual también puede infectar el sector de arranque del disco duro (MBR). Una vez que el MBR o sector de arranque esté infectado, el virus intenta infectar cada disquete que se inserte en el sistema ,ya sea una CD-R, una unidad ZIP o cualquier sistema de almacenamiento de datos.

Los virus de arranque trabajan de la siguiente manera: se ocultan en el primer sector de un disco y se cargan en la memoria antes de que los archivos del sistema se carguen. Esto les permite tomar total control de las interrupciones del DOS y así, pueden diseminarse y causar daño.

  Estos virus, generalmente reemplazan los contenidos del MBR o sector de arranque con su propio contenido y mueven el sector a otra área en el disco. La erradicación de un virus de arranque puede hacerse inicializando la máquina desde un disquete sin infectar, o encontrando el sector de arranque original y reemplazándolo en el lugar correcto del disco.

VBS
Debido al auge de
Internet los creadores de virus han encontrado una forma de propagación masiva y espectacular de sus creaciones a través mensajes de correo electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión .VBS

El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT/Me/2000/XP, este tipo de archivos dejó de ser empleado y fue reemplazado por los Visual Basic Scripts.

Un Visual Basic Script  es un conjunto de instrucciones lógicas, ordenadas secuencialmente para realizar una determinada acción al iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicación, almacenadas bajo un nombre de archivo y extensión adecuada.

Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows, Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.

Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como medios de propagación. Asimismo, un VBS puede contener instrucciones que afecten a los sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la extensión .VBS.

Actualmente existen 2 medios de mayor difusión de virus en VBS:

1. Infección de canales IRC
 (el
chat convoca a una enorme cantidad de "victimas")

El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación entre usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados "clientes IRC" (tales como el mIRC, pIRCh, Microsoft Chat).

Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC, pero es necesario que primero se conecte a un servidor chat, el cual a su vez, está conectado a otros servidores similares, los cuales conforman una red IRC. Los programas "clientes IRC" facilitan al usuario las operaciones de conexión, haciendo uso del comando /JOIN, para poder conectarse a uno o mas canales.

Las conversaciones pueden ser públicas (todo el canal visualiza lo que el usuario digita) o privadas (comunicación entre 2 personas).

Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado "bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico amigable.

Como atacan los gusanos (VBS/Worms)

Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat, además de otras instrucciones dentro de un Visual Basic Script. Este script que contiene el código viral sobre-escribe al original, en el sistema remoto del usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez, en ese mismo canal.

Este tipo de propagación de archivos infectados, se debe a la vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de PIRCH98.

2. Re-envío de mensajes de la libreta de direcciones Microsoft Outlook.

Office 95/97/2000/XP, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que permiten invocar la ejecución de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque también pueden editar instrucciones y comandos con el NotePad y archivarlo con la extensión .VBS

Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for Aplications, tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe la orden de re-enviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones del sistema de usuario infectado.

Estas infecciones también se reproducen entre todos los usuarios de una red, una vez que uno de sus usuarios ha sido infectado.

Web

Los applets de JAVA y los controles Active X, son unos lenguajes nuevos orientados a Internet, pero las nuevas tecnologías abren un mundo nuevo a explotar por los creadores de virus.

 De momento no son muy utilizados pero a partir del 2000, superaran en numero a los virus de macro

 

¿Qué hacen los virus?
Se programan para dañar los datos de las computadoras, eliminando los archivos o borrando todo el disco. Los virus para MAC normalmente no hacen nada, pero algunos de ellos están mal escritos  y siempre causan problemas. Comportamiento errático de la PC.

¿Que NO hacen los virus?
 - No afectan discos protegidos contra escritura
 - No afectan archivos comprimidos
 - No infectan el hardware de la PC.

¿Cómo se propaga el virus?
 - Cuando se arranca con un disquete afectado
 - Cuando se ejecuta un programa infectado, el virus se carga en la memoria con el programa

Formas de infección
El virus no ejecuta solo, afecta principalmente sector de arranque de disquetes (zona situada al principio del disco que contiene datos de la estructura del mismo y un pequeño programa que se ejecuta cada vez que se arranca desde un disquete) y los ficheros ejecutables.EXE y .COM

 Reacción ante la infección
 1 - Comprar un buen antivirus
 2 - Arrancar desde un disquete, 100% libre de virus (ejemplo: disco de arranque Win98)
 3 - Tener la definición o datos del antivirus lo mas actualizado posible
 4 - Correr el antivirus o los antivirus.