Regional Distrito Capital

Centro de Gestión de Mercados, Logística y

Tecnologías de la Información

MANTENIMIENTO DE HARDWARE

Centro Gestión Comercial y Mercadeo

Programa de Teleinformática

2008

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

Control del Documento

Nombre Cargo Dependencia Firma Fecha

Centro de Gestión de
Mercados, Logística y 11-Agosto-
Autores Diana Ovalle. Alumno
Tecnologías de la 08
Información
Centro de Gestión
de Mercados,
Revisión Ing. José Méndez Instructor Logística y
Tecnologías de la
Información

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

Ejercicio.
Es necesario descargar de Internet 5 tipos diferentes de virus.

1. Deshabilitar o desinstalar todos los antivirus del sistema.

2. Contaminar el Windows Xp con el primer virus.

3. Apagar la maquina y reiniciar el sistema.

4. Aplicar su antivirus favorito e intentar remover el virus.

5. Arrancar el sistema con DOS y aplicar e para verificar que definiti-

vamente se removió el virus.

6. Para contaminar el sistema con el segundo virus es necesario bajar

todas las particiones y volver a instalar la imagen y seguir los puntos
anteriormente mencionados.

Como evidencia:

• Nombre de los 5 virus descargados y sus fichas técnicas correspon-

dientes.

• Procedimiento o forma de como contaminaron el sistema.

• Anomalías y efectos que ha presentado el virus después de contami-

nar el sistema, debidamente detallada.

• Procedimiento utilizado para descontaminar el sistema y la conclusión

correspondiente de los daños ocurridos o secuelas dejados por el virus.

• Correspondientes recomendaciones como técnicos para optimizar este

sistema.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

Algunos ejemplos de virus:

Virus

Un virus informático es un programa de computadora que tiene la capacidad

de causar daño y su característica más relevante es que puede replicarse a
sí mismo y propagarse a otras computadoras. Infecta "entidades
ejecutables": cualquier archivo o sector de las unidades de almacenamiento
que contenga códigos de instrucción que el procesador valla a ejecutar. Se
programa en lenguaje ensamblador y por lo tanto, requiere algunos
conocimientos del funcionamiento interno de la computadora.

Gusano o Worm.

Es un tipo de virus o programas que tratan de reproducirse a si mismo, no

produciendo efectos destructivos sino el fin de dicho programa es el de
colapsar el sistema o ancho de banda, replicándose a si mismo.

Caballo de Troya o Camaleones

Son programas que permanecen en el sistema, no ocasionando acciones

destructivas sino todo lo contrario suele capturar datos generalmente
password enviándolos a otro sitio, o dejar indefenso el ordenador donde se
ejecuta, abriendo agujeros en la seguridad del sistema, con la siguiente
profanación de nuestros datos.

El caballo de Troya incluye el código maligno en el programa benigno,

mientras que los camaleones crean uno nuevo programa y se añade el
código maligno.

Joke Program

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

Simplemente tienen un payload (imagen o sucesión de estas) y suelen

destruir datos.

Bombas Lógicas o de Tiempo

Programas que se activan al producirse un acontecimiento determinado. La

condición suele ser una fecha (Bombas de Tiempo), una combinación de
teclas, o un estilo técnico Bombas Lógicas), etc... Si no se produce la
condición permanece oculto al usuario.

Retro Virus

Este programa busca cualquier antivirus, localiza un bug (fallo) dentro del
antivirus y normalmente lo destruye.

Scob, Download.Ject, Toofer o Webber.P

Un misterioso virus informático infecta desde algunos populares sitios Web a

los visitantes, que sin darse cuenta descargan programas que podrían permi-
tir el robo de información por parte de hackers, informaron expertos este fin
de semana.

Al contrario de los virus que se propagan a través de correos electrónicos,

esta infección -llamada Scob, Download.Ject, Toofer o Webber.P.- se
transmite simplemente al visitar un sitio afectado, que puede instalar un
dispositivo llamado "troyano", que les permite a los piratas cibernéticos
acceder a las computadoras.

Microsoft calificó el incidente de "crítico" y urgió a los usuarios a bajar filtros

actualizados para proteger sus sistemas.

Scob (Peligrosidad: 1 - Mínima)

• Troyano que tiene la particularidad de infectar dos plataformas

distintas.

• Infecta servidores Web basados en IIS/Windows 2000.

• Modifica la configuración de estos servidores para que envíen a los

clientes un pie de página con código JavaScript malicioso.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

• Este código JavaScritp aprovecha una vulnerabilidad de Internet

Explorer que fuerza al navegador a descargar y ejecutar un fichero de
un cierto sitio Web situado en Rusia. En el momento de escribir este
análisis ese sitio Web parece haber sido cerrado y no está disponible.

Nombre completo: Trojan.W32/Scob

Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil

pero resulta ser malicioso en algún momento. No se propaga por sí mismo.

Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en

Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Internet Information Server (IIS)

Tamaño (bytes): 9760

Alias: Scob (McAfee), JS/Scob.A (VS Antivirus), JS.Scob.Trojan (Symantec),

Win32/Scob.A (Enciclopedia Virus), JS.Toofer (Computer Associates),
Download.Ject (Otros), Trj/Scob.A (Panda Software), JS/Scob-A (Sophos)

Infección en el cliente.

Cuando un usuario visualiza alguna de estas páginas con una versión vulne-
rable de Internet Explorer, el troyano intenta descargar de un sitio ruso cier-
tos archivos, aprovechando dos vulnerabilidades del Internet Explorer. Este
sitio Web está actualmente cerrado.
En sistema crea una cookie cuyo nombre comienza por trk716, con fecha de
expiración en una semana. Eso hace que el usuario no se conecte al sitio re-
moto hasta una semana después.
El HTML malicioso utiliza dos vulnerabilidades de Internet Explorer.

Cisum.A,
Es un código malicioso que ejecuta un archivo de audio que
repite machaconamente: "You are an idiot".

Cisum.A se propaga automáticamente en el caso de que un

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

usuario ejecute el archivo adjunto que contiene Cisum.A, copiándose este

con el nombre ProjectX.exe en el directorio raíz de las unidades compartidas
del equipo.
Cisum.A también finaliza procesos pertenecientes a aplicaciones antivirus y
de seguridad informática, lo que deja a los equipos desprotegidos frente a
otros posibles ataques por parte de virus o hackers.

Finalmente también crea varias entradas en el registro de Windows con el

objetivo de asegurar su ejecución cada vez que se reinicie el ordenador.

Nombre: W32/Cisum.A

Nombre NOD32: Win32/Cisum.A

Tipo: Gusano
Alias: Cisum, Virus.Win32.Cisum.a, Win32.HLLW.Projex, W32/Cisum-A,
TROJ_SOUNDROP.A, I-Worm/VC.B, Trojan.Cisum.A, W32/Cisum.A.worm,
WORM_SOUNDROP.A, Win32/Cisum.A
Fecha: 26/ene/05
Plataforma: Windows 32-bit
Tamaño: 73,728 bytes

Recomendaciones:

• Actualice sus antivirus con las últimas definiciones.

• Borrar manualmente archivos agregados por el virus.

• Haga clic en "Buscar ahora" y borre todos los archivos encontrados.

• Mostrar las extensiones verdaderas de los archivos.

Instalar el primer virus Okiller:

1. Ejecutar el virus abriendo la carpeta de descargas.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

2. Después de instalar y ejecutar el virus procedemos a reiniciar el equipo

para notar los cambios.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

3. Luego de instalar y ejecutar el virus debemos escanear el computador

con el antivirus y observar las amenazas de virus existentes.

Virus
encontrados en
el escaneo del
antivirus.

Documentos
contaminados
por el virus,
encontrados en
el escaneo.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

4. Después de encontrar las amenazas el antivirus ofrece una opción para

eliminar los virus encontrados.

5. Luego de analizar el equipo podemos ver los cambios ocurridos en el

equipo a razón del virus:

• Bloqueos repentinos.
• Lentitud en cargar las paginas de Internet.
• No responden muchos programas.
• El trabajo en office se vuelve mas complicado porque el manejo
del Mouse se complica y el puntero se pierde dentro del texto.

6. Después de identificar los problemas ocasionados por el virus,

procedemos a desinfectar el equipo bajo D.O.S con el F-Pront que
previamente fue descargado y actualizado para usar bajo D.O.S:

• Instalar el CD e iniciarlo bajo D.O.S.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

• Pasar a la carpeta indicada, en este caso a la D:

• Abrir el directorio con el comando dir:

Archivos que contiene

el CD incluyendo el F-
Prot.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

• Escribir el nombre del programa para ingresar a el:

• De inmediato el ingresa al programa:

Interfaz de F-Prot.

• Luego escogemos la opción “Start” y cambiamos por “Eliminar

automáticamente” en la opción “Action”.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

• Analiza y muestra los resultados.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

Resultados
arrojados.

• Se reinicia el equipo y bajo Windows notamos que su velocidad es

más avanzada, los bloqueos son menores.

• Analizar el equipo nuevamente bajo Windows.

Conclusión:

En este trabajo con el primer virus hay que tener en cuenta que muchas
veces el F-Prot no encuentra los virus bajo D.O.S debido a su falta de
actualización, por esta razón muchos virus se ven bajo Windows.

Ficha Técnica del primer virus.

Nombre: Okiller

Tipo: Malware

Tipo Descripción: Malware (software malicioso ") consta de software

malicioso con claridad, hostil, o perjudiciales o funcionalidad y
comportamiento que se utiliza para comprometer y poner en peligro
ordenadores individuales, así como redes enteras.

Categoría: Seguridad Disabler

Categoría Descripción: Una de Seguridad Disabler es un programa que

comprometa la seguridad o termine aplicaciones que se ejecutan en la
máquina, incluidos los programas informáticos firewalls, programas antivirus

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

y anti-spyware. Una de Seguridad Disabler puede también borrar anti-virus y

anti-spyware definiciones. Algunas de Seguridad Disablers sofisticados son
capaces de poner fin a software de seguridad al tiempo que se da la
apariencia de que está funcionando.

Nivel: Alto

Nivel Descripción: Alto riesgo suelen ser instalado sin la interacción del
usuario a través de exploits de seguridad, y puede comprometer gravemente
la seguridad del sistema. Tales riesgos pueden abrir conexiones de red
ilícitas, utiliza tácticas polimórficos a la libre mutar, desactivar software de
seguridad, modificar archivos del sistema, e instalar más programas
maliciosos. Estos riesgos pueden también recoger y transmitir información de
identificación personal (PII) sin su consentimiento y graves problemas de
funcionamiento y la estabilidad de su ordenador.

Asesoramiento Tipo: Eliminar

Descripción: Okiller hacker es un instrumento destinado a desactivar un

usuario de cortafuegos personal y también residente desactivar el software
anti-virus.

Agregar. Descripción: Se trata de una VB6 AV / FW asesino que está

comprimido con UPX.

Autor: Caesar2k

Autor URL: nuclearwinter.mirrorz.com

Fecha de publicación Última actualización el Jun 12 2008 Junio 12 2008

Archivo Traces: %desktopdirectory%\ OKiller\ edit.exe

%Windows%\ shell.exe

Conclusión:

Es conveniente saber que se requiere de un excelente antivirus que permita

la eliminación total del virus o sus muestras.

Diana Ovalle - 40056

 Regional Distrito Capital
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información 11-Agosto-
2008
MANTENIMIENTO DE HARDWARE

La practica de la instalación del virus para mi fue de gran ayuda pues

favorece al conocimiento y practica con algo que nos encontramos todos los
dias.

Diana Ovalle - 40056