Clasificación de
Virus
Partiendo de la base de que cuando existe un
desconocimiento en un área de la informática, las soluciones
suelen exceder a las necesidades, se concluye que finalmente los
usuarios serán los perjudicados. No es un secreto que a
menudo las fallas incipientes de hardware, los conflictos de
software, la
instalación incorrecta de drivers y a veces la
inexperiencia del técnico llevan a los servicios de
reparación a culpar a los virus, a veces
inexistentes, de los problemas
más insólitos y ayudan a la facturación de
servicios alimentados más por el ansia de ganar una
comisión que por el objetivo de
fidelizar al cliente para que
vuelva una y otra vez a consultar o comprar. La falta de
conocimientos de los virus
informáticos creo yo, hace perder más información y tiempo de
trabajo que
los errores propios de los usuarios principiantes. Cuando un
técnico llega a la conclusión de que para
solucionar un problema de virus es necesario el temido formateo
con la pérdida total de la información de un disco,
es que realmente debe haber agotado todas y cada una de las
instancias posibles para recuperar la información. Pero si
ese paso se da por desconocimiento o negligencia, el único
perjudicado siempre es el usuario final. Hay una tendencia
generalizada en los clientes a creer
que aquellos técnicos que dicen "no sé, debo
averiguar", no son de fiar. Y eso lleva a que muchos servicios
técnicos, presionados por mantener una imagen falsa, se
apresuren y tomen decisiones precipitadas y por ende,
fatales.
En realidad hay que desconfiar de aquellos que todo
lo saben, ya que nunca serán capaces de admitir la
necesidad de formación continua que presiona al
área informática. El área de hardware y
software está en constante desarrollo, de
tal modo que los ciclos de 6 o 12 meses necesarios para que se
volvieran obsoletas las tecnologías hace unos pocos
años, ya son ciclos de 4-5 meses o aún menos. La
carrera del conocimiento
avanza de manera apresurada y hoy ya es muy difícil no
recurrir a los manuales, las
búsquedas vía Internet y aún las
interconsultas para resolver problemas difíciles y
complejos. El avance del software, los sistemas
operativos, los incontables parches, agujeros de seguridad, bugs,
no son sino sólo una parte del todo, formado
también por placas, microprocesadores, locks, controladores, redes, telecomunicaciones, software mal desarrollado y un
largo etc.
Esta guía sin ser un tratado exhaustivo del
tema de virus informáticos, tiene por objeto mantener
actualizados los conocimientos sobre este tipo de programas,
facilitando las bases necesarias para un estudio más
profundo, indispensable ya para todo aquel que dependa en mayor o
menor medida de su sistema
PC.
UNA NUEVA CLASIFICACION DE
VIRUS
En las siguientes líneas esbozo una
clasificación que tiende a catalogar los virus actuales,
sin intentar crear una clasificación académica,
sino una orientación en cuanto a funcionalidad para que
sea de provecho al usuario común: Vale la pena aclarar que
no existe una única clasificación de tipos de Virus
Informáticos, sino que, existen la mismas cantidad de
clasificaciones como autores, es decir, cada autor tiene su
propia clasificación siendo todas validas y muchas veces
complementarias unas con otras.
- Virus en archivos
"Fantasmas": Estos virus basan
su principio en que DOS, al tener dos archivos con el mismo
nombre, ejecuta primero el archivo COM y
luego el EXE, siempre y cuando, claro está, ambos
archivos se encuentren en el mismo directorio. Al infectar
la
computadora, el virus crea un archivo COM con el mismo
nombre y en el mismo lugar que el EXE a infectar. De este modo,
se asegura que durante la próxima ejecución, el
sistema
operativo arrancará el nuevo archivo COM creado por
el virus y conteniendo el código viral, para luego ceder el
control
archivo EXE. - Virus de Boot Sector o Sector de
Arranque: infectan el sector de booteo o arranque de
discos rígidos o diskettes. Las PC se infectan cuando se
arranca el equipo con el diskette infectado puesto en la
disketera, siempre y cuando el setup de la PC esté
programado para arrancar primero desde el drive A:. Si por el
contrario el setup inicia primero desde el disco rígido,
no es necesario preocuparse por este tipo de virus. Algunos
virus de boot sector no infectan el sector de arranque del
disco duro
(conocido como MBR). Usualmente infectan sólo diskettes,
pero pueden afectar también al Disco Rígido (
¡ En ese caso SI DEBE PREOCUPARSE ! ), CD-R,
unidades ZIP, etc. Se ocultan en el primer sector de un disco y
se cargan en memoria RAM
aún antes que los archivos de sistemas. De
esa manera toman el control total de las interrupciones (IRQ),
para ocultarse, diseminarse y provocar daños. Por lo
general reemplazan el contenido del sector de arranque con su
propio contenido y desplazan el sector original a otra
área del disco. Para erradicarlos, es necesario
inicializar la PC desde un diskette sin infectar y proceder a
removerlo con un antivirus, y en
caso necesario reemplazar el sector infectado con el sector de
arranque original. - Virus de Propósito General o
Multipartitia: Los virus multipartitia pueden
infectar tanto el sector de arranque, la FAT, como los archivos
ejecutables .COM, .EXE, Etc.; suelen ser una combinación
de todos los tipos existentes de virus, su poder de
destrucción es muy superior a los demás y de alto
riesgo para
nuestros datos, su
tamaño es más grande a cambio de
tener muchas mas opciones de propagarse e infección de
cualquier sistema. - Virus de Archivos Ejecutables: infectan los
archivos que la PC toma como programas: *.EXE, *.DRV, *.DLL,
*.BIN, *.OVL, *.SYS e incluso BAT Estos virus se reproducen por
diversas técnicas, infectando al archivo al
principio o al final. Siempre es necesario arrancarlos una
primera vez dentro del ordenador para que se activen. Una vez
activado en memoria,
asegura la ejecución de su código para devolver
el control al programa
infectado. Pueden permanecer residentes en memoria durante
mucho tiempo después de haber sido activados, en ese
caso se dice que son virus residentes, o pueden ser virus de
acción directa, que evitan quedar
residentes en memoria y se replican o actúan contra el
sistema sólo al ser ejecutado el programa infectado. Se
dice que estos virus son virus de sobreescritura, ya que
corrompen al fichero donde se ubican. Escriben el código
viral dentro del mismo archivo infectado. Si alguna vez el
usuario recibe un mail con un adjunto que sea un archivo
infectado, para que el virus se active dentro de la
máquina, debe ser arrancado. El usuario puede tener el
archivo infectado por años dentro de la PC sin que se
active, por ese motivo, el hecho de tener un virus dentro de la
computadora
no quiere decir que la PC infecte a otros, ya que
necesariamente para propagar la infección a otros el
virus debe estar activado dentro del ordenador. Eso sólo
se consigue arrancando el programa infectado. Si el usuario no
lo arranca, nunca se infectará. Es preciso recordar que
a través de simples comandos
escritos en Visual Basic
para Aplicaciones, este tipo de virus pueden ser
fácilmente arrancados a partir de la apertura de un
archivo Office o la
recepción de un e-mail con Outlook, de manera que no es
necesaria la acción efectiva del usuario para ordenar la
ejecución del programa. - Virus" Bug-Ware: son programas que en realidad
no fueron pensados para ser virus, sino para realizar funciones
concretas dentro del sistema, pero debido a una deficiente
comprobación de errores por parte del programador, o por
una programación confusa que ha tornado
desordenado al código final, provocan daños al
hardware o al software del sistema. Los usuarios finales,
tienden a creer que los daños producidos en sus sistemas
son producto de
la actividad de algún virus, cuando en realidad son
producidos por estos programas defectuosos. Los programas
bug-ware no son en absoluto virus informáticos, sino
fragmentos de código mal implementado, que debido a
fallos lógicos, dañan el hardware o inutilizan
los datos del computador.
En realidad son programas con errores, pero funcionalmente el
resultado es semejante al de los virus. - Los Virus de Macro: según la
International Security Association, los virus macro conforman
el 80% de todos los virus circulantes en el mundo y son los que
más rápidamente han crecido en la historia de las
computadoras los últimos 7 años. Los virus
macro no son exclusivos de ningún sistema operativo y se
diseminan fácilmente a través de archivos
adjuntos de e-mails, disquetes, programas obtenidos en
Internet, transferencia de archivos y aplicaciones compartidas.
Algunos documentos
(WORD,
EXCEL,
Algunos documentos del Paquete SmartSuite de LOTUS) si bien no
son ejecutables, sino documentos, tiene la posibilidad de ser
PROGRAMADOS a través de una serie de comandos conocidos
como MACROS a
través de un subconjunto de instrucciones de Visual Basic,
conocido como Visual Basic para Aplicaciones. Algunas macros
son tan potentes que deben considerarse instrucciones de
programación. Este es el caso de las macros del paquete
Office de Microsoft
(que engloba entre otros productos a
Word y Excel), y a través de ellas, es posible programar
rutinas que borren archivos o destruyan información. Las
macros del paquete Office, son en realidad un subconjunto de
instrucciones de Visual Basic y son muy fáciles de
crear. Pueden infectar diferentes puntos de un archivo en uso,
por ejemplo, cuando éste se abre, se graba, se cierra o
se borra. Este tipo de virus se activa al abrir un archivo
infectado dentro del procesador de
texto , o planilla de cálculo.
En el caso de Word, que es el típico caso de reproducción de virus de Macro, al
momento de abrir el procesador, se
abre un archivo que contiene información llamado
NORMAL.DOT, que es la plantilla maestra del procesador de
textos. Este archivo es abierto cada vez que se inicia el
procesador de textos. Ahora bien, los virus aprovechan esta
debilidad del programa Word para directamente (al activarse),
infectar el archivo NORMAL.DOT. Con eso se aseguran que cada
vez que se inicie el procesador de texto,se
escriba una carta, o abra
un archivo, se reproduzca el virus a través de la
ejecución de sus rutinas dentro de la plantilla
maestra. - Virus de E-mail: dentro e este grupo,
incluyo a dos tipos de virus: los que junto a un mail hacen
llegar un atachado que necesariamente debe abrirse o ejecutarse
para activar el virus, y dentro de ellos menciono a Melissa
como el precursor de esta variedad, y también englobo a
los gusanos (worms) que aprovechan los agujeros de seguridad de
programas de correo
electrónico para infectar a las computadoras, de los cuales BubbleBoy fue el
precursor. Esta variedad difiere de los otros virus en el hecho
de que no necesitan de la ejecución de un programa
independiente (atachados) para ser activados, sino que ingresan
e infectan las PC's con la simple visualización del
mail. Hasta la aparición de estos virus, la
infección era provocada por un descuido del usuario,
pero a partir de ellos, la infección puede producirse
aún manteniendo protocolos
de seguridad impecables. Aprovechan fallas de los programas (
Vea los "virus" Bug-Ware ) y de ese modo ingresan a las
computadoras. De este modo, no es necesaria la impericia del
usuario, sino mantenerse informado constantemente de los fallos
de seguridad de los programas usados, cosa muy difícil
de realizar para el usuario común. Por todos es conocida
la política obsesiva de las empresas
productoras de software de producir programas "amigables", que
complican la programación y llevan a cuidar
estéticamente un producto y a fallar en funciones
esenciales. Windows ha
abierto la puerta a la belleza visual, pero esto trae
además la presencia de productos de soft mediocres, que
tratan de tapar graves defectos estructurales con menúes
atractivos y componentes multimediales. Dentro de este grupo
incluyo a los mail-bombers que si bien académicamente no
son catalogados como virus, provocan fallas en nuestro sistema
al saturar nuestro correo. Los mail-bombers son programas
especialmente preparados para enviar un número definido
de copias de un e-mail a una víctima, con el objeto de
saturar su casilla de correo e-mail. Algunos de estos
programas, aprovechando los agujeros de seguridad,
envían mails tipo gusano. Los mail-bombers no afectan en
realidad nuestro sistema PC, pero provocan el colapso de
nuestro correo electrónico, así es que
funcionalmente se comportan para el usuario de computadoras
como si fueran virus, más allá de cualquier
etiqueta académica. - Virus de MIRC: al igual que los bug-ware y los
mail-bombers, no son considerados virus, pero los nombro debido
a que tienen características comunes. Son una nueva
generación de programas que infectan las PC's,
aprovechando las ventajas proporcionadas por Internet y los
millones de usuarios conectados a cualquier canal IRC a
través del programa Mirc y otros programas de chat.
Consisten en un script para el cliente del programa de chateo.
Cuando se accede a un canal de IRC, se recibe por DCC un
archivo llamado "script.ini". Por defecto, el subdirectorio
donde se descargan los archivos es el mismo donde esta
instalado el programa, esto causa que el "script.ini" original
se sobreescriba con el "script.ini" maligno. Los autores de ese
script acceden de ese modo a información privada de la
PC, como el archivo de claves, y pueden remotamente desconectar
al usuario del canal IRC. - Virus de la WEB: el lenguaje de
programación JAVA, que
permite generar los applets para las páginas
web y los controles Active X, son lenguajes orientados
especialmente a Internet. El ASP es otro
tipo de lenguaje
Basic orientado al desarrollo de aplicaciones basadas en la
web. Si bien en
el caso de JAVA la diagramación y el diseño fueron sumamente cuidadosos, de
tal modo que existen ( en teoría ) la imposibilidad técnica
de modificar archivos en clientes, existen algunos agujeros que
si bien no son de seguridad, sino de diseño, abren las
puertas a los programadores de virus que, mediante herramientas
apropiadas pueden generar una nueva variante de virus que se
disemine por las páginas web y, como en el caso de los
virus de e-mail, afecten a las PC's aún en condiciones
de seguridad adecuadas, por el simple acto de abrir una
página. Obviamente no clarificaré demasiado sobre
las posibles técnicas de programación de virus en
JAVA, pero con esto quiero alertar a los lectores sobre la
certeza de que existen en Java agujeros funcionales que
facilitarán la creación de estos nuevos virus en
los próximos meses tal cual se ha logrado ya en
condiciones de laboratorio.
Hay evidencias
reales de la posible existencia de este tipo de virus, por
supuesto, gracias a un agujero de seguridad del navegador de
Internet de Microsoft. Mediante la apertura de una página
web o un e-mail en formato HTML que
incluya un archivo de Excel de apertura automática, se
pueden ejecutar comandos, instalar virus, borrar archivos y
otras funciones. Este procedimiento
se puede ejecutar en PC's que contengan una determinada
versión de una DLL que por razones de seguridad no
identificaré en este documento público. Este
bug-ware fue verificado a mediados del '99. - Virus de Arquitectura
Cliente / Servidor:
esta es una clasificación muy particular, que afecta a
usuarios de Internet . En este apartado contemplo de manera
especial a los troyanos, que más que virus, son
verdaderas aplicaciones cliente / servidor, por las cuales
cualquier persona, y con
la configuración adecuada, puede controlar los recursos de una
PC a distancia y a través de una conexión a
Internet. La funcionalidad de estos virus consiste en hacer que
la víctima del ataque ejecute un programa que
corresponde al servidor del virus, lo que conduce a su
autoinstalación en el sistema a la espera de que el
usuario conecte su computadora a Internet. Una vez conectado,
el cliente del programa (hacker o como
se le quiera llamar), tiene todas las herramientas necesarias
para operar a distancia la computadora de la víctima,
gestionar parte de sus recursos y obtener la información
guardada en sus unidades de
almacenamiento. Son programas altamente sofisticados y el
más famoso de ellos es el BackOriffice, pero existen
mucho otros más.
En primer término recomiendo al antivirus
VirusScan de McAfee. Debo admitir que a lo largo de los
años me demostró en repetidas ocasiones su
efectividad, su base de datos
se actualiza al menos una vez por semana e incluye una
herramienta residente Vshield. En pocas palabras, es un producto
muy efectivo, confiable y robusto.
Como segunda línea, recomiendo al antivirus de
origen Islandés F-PROT, que puede conseguirse
fácilmente en Internet. El producto para uso particular,
no corporativo, es totalmente gratuito. Sirve para entornos DOS –
Windows 32 bits. Si bien no es un producto tan difundido como
otros, el márketing y la publicidad no son
ciertamente parámetros confiables a la hora de definir
criterios de selección.
Tiene la ventaja de avisar automáticamente de la caducidad
de su base de datos. Es algo "duro" en su interface de usuario
porque no permite el uso de mouse y su
actualización cada 2-3 meses es muy alejada del ideal que
requiere este loco mundo de la informática.
Si puede invertir algo de dinero, mi
recomendación es usar la dupla VirusScan / F-Prot. Si
el dinero es
un problema, F-Prot puede ser considerada como una barrera de
protección de buen nivel. No hay actualmente un producto
100% confiable. He sido testigo de virus no detectados por Norton
Antivirus que sí son vistos por VirusScan de
McAfee.
SEGURIDAD Y
ANTIVIRUS, COSTE TOMAS, ISBN
9685347298, Editorial MP, Edición
2001, 152 páginas y 1 CD-Rom.
VIRUS DE SISTEMAS INFORMATICOS E
INTERNET, DE MARCELO RODADO
JESÚS, ISBN 9701505352, Editorial ALFAOMEGA GRUPO EDITOR,
Edición 2000, 472 páginas y 1
CD-Rom.
VIRUS EN INTERNET,
URIZARBARRENA MIKEL, ISBN 8441509468, Editorial ANAYA MULTIMEDIA,
Edición 1999, 384 páginas y 1
CD-Rom.
VIRUS EN COMPUTACION CURSO
ABREVIADO, COHEN, ISBN 9681851811, Editorial LIMUSA,
Edición 1998, 260 páginas.
Lic. Manuela León Ramírez
–
© Copyright 2004
Universidad Nacional Autónoma de
México