Es un programa que tiene por función detectar,bloquear y eliminar archivos maliciosos y los virus informáticos.
2.A que daños se esta expuesto cuando no se tiene antivirus?
Perdida de productividad, cortes en los sistemas de información o daños a nivel de datos.
Los daños que los virus causan a los sistemas informáticos son:
- Pérdida de información (evaluable y actuable según el caso).
- Horas de contención (técnicos de SI, horas de paradas productivas, pérdida productiva, tiempos de contención o reinstalación, cuantificables según el caso y horas de asesoría externa).
- Pérdida de imagen (valor no cuantificable).
Hay que tener en cuenta que cada virus es una situación nueva, por lo que es difícil cuantificar en una primera valoración lo que puede costar una intervención.
3.Que hace un antivirus activo?
Trata de encontrar los archivos maliciosos, las vías de infección y los virus mientras el equipo esta en funcionamiento.Notifica al usuario posibles amenazas y problemas en la seguridad mientras el sistema esta funcionando, o sea, en tiempo real.
4.Enumere los diferentes tipos de vacunas y su función.
- CA:Sólo detección: Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos.
- CA:Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos.
- CA:Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus
- CB:Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados.
- CB:Comparación de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo.
- CB:Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar archivos.
- CC:Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario.
- CC:Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por la actividad del sistema windows xp/vista
5.Cuales son los 2 principales tipos de antivirus?
Los antivirus de escritorio y los antivirus en linea.
6.Que es un antivirus de escritorio?
Se suelen utilizar en modo residente para proteger al ordenador en todo momento de cualquier posible infeccion, ya sea al navegador por Internet, recibir algún correo infectado o introducir en el equipo algún dispositivo extraíble que esté infectado.
No necesitan que el ordenador esté conectado a Internet para poder funcionar, pero sí que es necesario actualizarlos frecuentemente para que sean capaces de detectar las últimas amenazas de virus. Recomendamos tener sólo un antivirus de escritorio en el ordenador, ya que tener varios antivirus puede ocasionar problemas de incompatibilidad entre ellos.
7.Que es un antivirus on-line o en linea?
Por otro lado, los antivirus en línea son útiles para analizar el ordenador con un segundo antivirus cuando sospechamos que el equipo puede estar infectado. Para ejecutarlos es necesario acceder con el navegador a una página de Internet. Si bien son muy útiles para realizar un escaneo del ordenador y, de este modo, comprobar que no está infectado, no sirven para prevenir infecciones, esto sólo lo hacen los antivirus de escritorio.
8.Cuales son las técnicas empleadas por los antivirus para hacer sus detecciones? Describalas.
Como ya se mencionó la detección consiste en reconocer el accionar de un virus por los conocimientos sobre el comportamiento que se tiene sobre ellos, sin importar demasiado su identificación exacta. Este otro método buscará código que intente modificar la información de áreas sensibles del sistema sobre las cuales el usuario convencional no tiene control –y a veces ni siquiera tiene conocimiento-, como el master boot record, el boot sector, la FAT, entre las más conocidas.
Otra forma de detección que podemos mencionar adopta, más bien, una posición de vigilancia constante y pasiva. Esta, monitorea cada una de las actividades que se realizan intentando determinar cuándo una de éstas intenta modificar sectores críticos de las unidades de almacenamiento, entre otros. A esta técnica se la conoce como chequear la integridad.
La técnica de detección más común es la de análisis heurístico. Consiste en buscar en el código de cada uno de los archivos cualquier instrucción que sea potencialmente dañina, acción típica de los virus informáticos. Es una solución interesante tanto para virus conocidos como para los que no los son. El inconveniente es que muchas veces se nos presentarán falsas alarmas, cosas que el scanner heurístico considera peligrosas y que en realidad no lo son tanto. Por ejemplo: tal vez el programa revise el código del comando DEL (usado para borrar archivos) de MS-DOS y determine que puede ser un virus, cosa que en la realidad resulta bastante improbable. Este tipo de cosas hace que el usuario deba tener algunos conocimientos precisos sobre su sistema, con el fin de poder distinguir entre una falsa alarma y una detección real.Cuando no existe información que permita la detección de un nuevo o posible virus desconocido, se utiliza esta técnica. Se caracteriza por analizar los ficheros obteniendo información sobre cada uno de ellos (tamaño, fecha y hora de creación, posibilidad de colocarse en memoria,...etc.). Esta información es contrastada por el programa antivirus, quien decide si puede tratarse de un virus, o no.
La eliminación de un virus implica extraer el código del archivo infectado y reparar de la mejor manera el daño causado en este. A pesar de que los programas antivirus pueden detectar miles de virus, no siempre pueden erradicar la misma cantidad, por lo general pueden quitar los virus conocidos y más difundidos de los cuales pudo realizarse un análisis profundo de su código y de su comportamiento. Resulta lógico entonces que muchos antivirus tengan problemas en la detección y erradicación de virus de comportamiento complejo, como el caso de los polimorfos, que utilizan métodos de encriptación para mantenerse indetectables. En muchos casos el procedimiento de eliminación puede resultar peligroso para la integridad de los archivos infectados, ya que si el virus no está debidamente identificado las técnicas de erradicación no serán las adecuadas para el tipo de virus.
Muchos virus tienen la capacidad de "parasitar" archivos ejecutables. Con esto se afirma que el virus localizará los puntos de entrada de cualquier archivo que sea ejecutable (los archivos de datos no se ejecutan por lo tanto son inutilizables para los virus) y los desviará a su propio código de ejecución. Así, el flujo de ejecución correrá primero el código del virus y luego el del programa y, como todos los virus poseen un tamaño muy reducido para no llamar la atención, el usuario seguramente no notará la diferencia. Este vistazo general de cómo logra ejecutarse un virus le permitirá situarse en memoria y empezar a ejecutar sus instrucciones dañinas. A esta forma de comportamiento de los virus se lo conoce como técnica subrepticia, en la cual prima el arte de permanecer indetectado.
Una vez que el virus se encuentra en memoria puede replicarse a sí mismo en cualquier otro archivo ejecutable. El archivo ejecutable por excelencia que atacan los virus es el COMMAND.COM, uno de los archivos fundamentales para el arranque en el sistema operativo MS-DOS. Este archivo es el intérprete de comandos del sistema, por lo tanto, se cargará cada vez que se necesite la shell. La primera vez será en el inicio del sistema y, durante el funcionamiento, se llamará al COMMAND.COM cada vez que se salga de un programa y vuelva a necesitarse la intervención de la shell. Con un usuario desatento, el virus logrará replicarse varias veces antes de que empiecen a notarse síntomas extraños en la computadora.
El otro "ente" ejecutable capaz de ser infectado es el sector de arranque de los discos magnéticos. Aunque este sector no es un archivo en sí, contiene rutinas que el sistema operativo ejecuta cada vez que arranca el sistema desde esa unidad, resultando este un excelente medio para que el virus se propague de una computadora a la otra. Como dijimos antes una de las claves de un virus es lograr permanecer oculto dejando que la entidad ejecutable que fue solicitada por el usuario corra libremente después de que él mismo se halla ejecutado. Cuando un virus intenta replicarse a un disquete, primero deberá copiar el sector de arranque a otra porción del disco y recién entonces copiar su código en el lugar donde debería estar el sector de arranque.
Durante el arranque de la computadora con el disquete insertado en la disquetera, el sistema operativo MS-DOS intentará ejecutar el código contenido en el sector de booteo del disquete. El problema es que en esa posición se encontrará el código del virus, que se ejecuta primero y luego apuntará el hacia la ejecución a la nueva posición en donde se encuentran los archivos para el arranque. El virus no levanta sospechas de su existencia más allá de que existan o no archivos de arranque en el sector de booteo.
Nuestro virus se encuentra ahora en memoria y no tendrá problemas en replicarse a la unidad de disco rígido cuando se intente bootear desde esta. Hasta que su módulo de ataque se ejecute según fue programado, el virus intentará permanecer indetectado y continuará replicándose en archivos y sectores de booteo de otros disquetes que se vayan utilizando, aumentando potencialmente la dispersión del virus cuando los disquetes sean llevados a otras máquinas.
Estos programas residentes en memoria son módulos del antivirus que se encargan de impedir la entrada del cualquier virus y verifican constantementeoperaciones que intenten realizar modificaciones por métodos poco frecuentes. Estos, se activan al arrancar el ordenador y por lo general es importante que se carguen al comienzo y antes que cualquier otro programa para darle poco tiempo de ejecución a los virus y detectarlos antes que alteren algún dato. Según como esté configurado el antivirus, el demonio (como se los conoce en el ambiente Unix) o TSR (en la jerga MS-DOS / Windows), estará pendiente de cada operación de copiado, pegado o cuando se abran archivos, verificará cada archivo nuevo que es creado y todas las descargas de Internet, también hará lo mismo con las operaciones que intenten realizar un formateo de bajo nivel en la unidad de disco rígido y, por supuesto, protegerá los sectores de arranque de modificaciones.
Las nuevas computadoras que aparecieron con formato ATX poseen un tipo de memoria llamada Flash-ROM con una tecnología capaz de permitir la actualización del BIOS de la computadora por medio de software sin la necesidad de conocimientos técnicos por parte del usuario y sin tener que tocar en ningún momento cualquiera de los dispositivos de hardware. Esta nueva tecnología añade otro punto a favor de los virus ya que ahora estos podrán copiarse a esta zona de memoria dejando completamente indefensos a muchos antivirus antiguos. Un virus programado con técnicas avanzadas y que haga uso de esta nueva ventaja es muy probable que sea inmune al reparticionado o reformateo de las unidades de discos magnéticos.
Es muy posible que un programa antivirus muchas veces quede descolocado frente al ataque de virus nuevos. Para esto incluye esta opción que no consiste en ningún método de avanzada sino simplemente en aislar el archivo infectado. Antes que esto el antivirus reconoce el accionar de un posible virus y presenta un cuadro de diálogo informándonos. Además de las opciones clásicas de eliminar el virus, aparece ahora la opción de ponerlo en cuarentena. Este procedimiento encripta el archivo y lo almacena en un directorio hijo del directorio donde se encuentra el antivirus.
De esta manera se está impidiendo que ese archivo pueda volver a ser utilizado y que continúe la dispersión del virus. Como acciones adicionales el antivirus nos permitirá restaurar este archivo a su posición original como si nada hubiese pasado o nos permitirá enviarlo a un centro de investigacióndonde especialistas en el tema podrán analizarlo y determinar si se trata de un virus nuevo, en cuyo caso su código distintivo será incluido en las definiciones de virus. En la figura vemos el programa de cuarentena de Norton AntiVirus 2004 incluido en NortonSystemWorks Professional 2004 y que nos permite enviar los archivos infectados a Symantec Security Response para su posterior análisis.
Búsqueda de cadenas: Cada uno de los virus contiene determinadas cadenas de caracteres que le identifican. Estas son las denominadas firmas del virus. Los programas antivirus incorporan un fichero denominado "fichero de firmas de virus" en el que guardan todas las cadenas correspondientes a cada uno de los virus que detecta. De esta forma, para encontrarlos, se analizarán todos los ficheros especificados comprobando si alguno de ellos las contiene. Si un fichero no contiene ninguna de estas cadenas, se considera limpio, mientras que si el programa antivirus la detecta en el interior del fichero avisará acerca de la posibilidad de que éste se encuentre infectado.
Excepciones: Una alternativa a la búsqueda de cadenas es la búsqueda de excepciones. Cuando un virus utiliza una determinada cadena para realizar una infección pero en la siguiente emplea otra distinta, es difícil detectarlo mediante la búsqueda de cadenas. En ese caso lo que el programa antivirus consigue es realizar la búsqueda concreta de un determinado virus.
Excepciones: Una alternativa a la búsqueda de cadenas es la búsqueda de excepciones. Cuando un virus utiliza una determinada cadena para realizar una infección pero en la siguiente emplea otra distinta, es difícil detectarlo mediante la búsqueda de cadenas. En ese caso lo que el programa antivirus consigue es realizar la búsqueda concreta de un determinado virus.
Protección permanente: Durante todo el tiempo que el ordenador permanezca encendido, el programa antivirus se encargará de analizar todos los ficheros implicados en determinadas operaciones. Cuando éstos se copian, se abren, se cierran, se ejecutan,...etc., el antivirus los analiza. En caso de haberse detectado un virus se muestra un aviso en el que se permiten la desinfección. Si no se encuentra nada extraño, el proceso recién analizado continúa.
Vacunación: Mediante esta técnica, el programa antivirus almacena información sobre cada uno de los ficheros. En caso de haberse detectado algún cambio entre la información guardada y la información actual del fichero, el antivirus avisa de lo ocurrido. Existen dos tipos de vacunaciones: Interna (la información se guarda dentro del propio fichero, de tal forma que al ejecutarse él mismo comprueba si ha sufrido algún cambio) y Externa (la información que guarda en un fichero especial y desde él se contrasta la información).
Vacunación: Mediante esta técnica, el programa antivirus almacena información sobre cada uno de los ficheros. En caso de haberse detectado algún cambio entre la información guardada y la información actual del fichero, el antivirus avisa de lo ocurrido. Existen dos tipos de vacunaciones: Interna (la información se guarda dentro del propio fichero, de tal forma que al ejecutarse él mismo comprueba si ha sufrido algún cambio) y Externa (la información que guarda en un fichero especial y desde él se contrasta la información).
9.Como saber si tiene virus?
- El computador se vuelve lento
- Pérdida injustificada de espacio en discos
- Funciones de Windows dejan de funcionar o se hacen inaccesibles
- Denegación de servicios
- Imposibilidad de ejecutar programas antivirus, anti espías y anti malware
- Pérdida de propiedades de imagen y sonido
- Pérdida de unidades
- Pérdida de archivos del sistema
- Tráfico en Internet no justificado
- Aparición de páginas web no solicitadas
- Programas que utilizan Internet dejan de funcionar o empiezan a funcionar mal sin ningún motivo aparente
- Bloqueos y reinicios del computador
- No es posible iniciar Windows
- Nos pide una contraseña de usuario que no hemos puesto
- Desaparición de archivos, imposibilidad de acceso carpetas o incluso a unidades
- Cambios en las propiedades de algunos archivos
- El sistema no nos permite ejecutar determinados programas
- Pérdida de acceso al disco duro
1 - Descargar y/o actualizar estas herramientas, pero no las ejecute aun.:
* SpyBot S&D
* SUPERAntiSpyware
* SpywareBlaste 3.5.1
* CCleaner
2 - Apagar el "Restaurar Sistema" (System Restore) Solo en Win ME y XP.
3 - Iniciar el sistema en "Modo a Prueba de Fallos" (modo seguro)
4 - Ejecutar las herramientas Antispyware de una en una e ir eliminado lo que estas encuentren (en este orden):
* SpyBot S&D / Manual
* SUPERAntiSpyware / Manual
* SpywareBlaster 4.1 / Manual
5 - Utilizar "CCleaner" (Manual) para limpiar cookies y temporales.
* SpyBot S&D
* SUPERAntiSpyware
* SpywareBlaste 3.5.1
* CCleaner
2 - Apagar el "Restaurar Sistema" (System Restore) Solo en Win ME y XP.
3 - Iniciar el sistema en "Modo a Prueba de Fallos" (modo seguro)
4 - Ejecutar las herramientas Antispyware de una en una e ir eliminado lo que estas encuentren (en este orden):
* SpyBot S&D / Manual
* SUPERAntiSpyware / Manual
* SpywareBlaster 4.1 / Manual
5 - Utilizar "CCleaner" (Manual) para limpiar cookies y temporales.
Cita:
| Usar primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usar su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad). |
7 - Analizar el sistema al menos con dos de estos Antivirus Online (Algunos solo funcionan con IE pero para eso esta la extension de Firefox IETab)
* Kaspersky Online Scanner <--- IE
* ESET Online Scanner <--- IE
* Panda Active Scan <--- IE y Firefox
* Ewido Online Scanner <--- IE
8 - Repetir los pasos 4 y 5 en modo normal (Para salir de Modo a prueba de fallos o errores solo hay que reiniciar)
9 - Comprobar que el problema o malware haya desaparecido.
10 - Mantener Antivirus actualizado, esta es la combinacion de Programas antimalwares recomendada
*Antivirus: NOD32 o ESET Smart Security
*AntiSpyware: Spybot Search & Destroy
*Firewall: COMODO Firewall o Zone Alarm
*Navegador: Mozilla Firefox
11 - Volver a Activar "Restaurar Sistema" Solo en Win ME y XP.
ELIMINA ANTIVIRUS ASI
- Análisis antivirus y antispyware bajo demanda
- Integración basada en Scripts y extensiones con diferentes aplicaciones y servicios:
. Cliente de correo (Ej. Pine, Evolution) y servicios de Servidor de Correo
. Servicios de programación (ej. Cron) para asegurar la automatización del análisis y actualización.
- Análisis clásico de línea de comando completo con una interfaz gráfica para una mayor integración con los entornos desktop.
- Inclusión automática del GUI del análisis al menú del sistema
- Plugins Open source para tres de los más populares administradores de archivos: Konqueror (KDE), Nautilus (GNOME) y Thunar (Xfce)
- Configuración de acción basada en el tipo de resultado del análisis
11.Mencione 3 antivirus de escritorio y sus características.
|
12.Mencione 3 antivirus on-line y sus características.
| Productos | Descripción |
|---|---|
 Panda ActiveScan 2.0 | Panda  , pone a disposición de los usuarios su antivirus en línea que escanea el sistema en busca de software malicioso. Para eliminar parte de las amenazas, hay que registrarse, de forma gratuita, en Panda con una dirección de correo desde la cual activaremos la cuenta, para eliminar todas las amenazas de seguridad que detecta, hemos de comprar el producto. Al terminar el escaneo, permite guardar un informe completo donde se reflejan todas las incidencias.Plataforma: Windows |
 ESET Online Scanner | ESET ofrece una versión gratuita de su escáner antivirus en línea, Eset Online Scanner . Es un escáner online que busca malware en nuestro equipo y lo elimina, al igual que cualquier escáner en línea, no sustituye al de escritorio, pero si lo complementa para revisar nuestro sistema con otro antivirus sin tener que instalarlo. Descarga un pequeño programa y la base de datos de firmas antes de comenzar. Se puede configurar para indicar que unidades o carpetas queremos comprobar.Plataforma: Microsoft Windows, Internet Explorer, Firefox, Netscape y Opera |
- Análisis antivirus y antispyware bajo demanda
- Integración basada en Scripts y extensiones con diferentes aplicaciones y servicios:
. Cliente de correo (Ej. Pine, Evolution) y servicios de Servidor de Correo
. Servicios de programación (ej. Cron) para asegurar la automatización del análisis y actualización.
- Análisis clásico de línea de comando completo con una interfaz gráfica para una mayor integración con los entornos desktop.
- Inclusión automática del GUI del análisis al menú del sistema
- Plugins Open source para tres de los más populares administradores de archivos: Konqueror (KDE), Nautilus (GNOME) y Thunar (Xfce)
- Configuración de acción basada en el tipo de resultado del análisis
13.Cuales son las diferencias entre virus informático y antivirus?
Que un virus es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, infectar o modificar otros programas o archivos del PC y el antivirus es el programa que se utiliza para buscar, controlar y/o eliminar los virus informáticos y proteger el computador de ellos.
No hay comentarios:
Publicar un comentario