Virus y Antivirus

Partes: 1, 2

INTRODUCCIÓN

En la actualidad las computadoras
no solamente se utilizan como herramientas
auxiliares en nuestra vida, sino como un medio eficaz para
obtener y distribuir información. La informática está presente hoy en
día en todos los campos de la vida moderna
facilitándonos grandemente nuestro desempeño, sistematizando tareas que antes
realizábamos manualmente.
Este esparcimiento informático no sólo nos ha
traído ventajas sino que también problemas de
gran importancia en la seguridad de los
sistemas de
información en negocios,
hogares, empresas,
gobierno, en
fin, en todos los aspectos relacionados con la sociedad. Y
entre los problemas están los virus
informáticos cuyo propósito es ocasionar
perjuicios al usuario de computadoras. Pueden ocasionar
pequeños trastornos tales como la aparición de
mensajes en pantalla hasta el formateo de los discos duros
del ordenador, y efectivamente este puede ser uno de los mayores
daños que un virus puede
realizar a u ordenador.

Pero como para casi todas las cosas dañinas hay
un antídoto, para los virus también lo
hay: el antivirus, que
como más adelante se describe es un programa que
ayuda a eliminar los virus o al menos a asilarlos de los
demás archivos para que
nos los contaminen.

En este trabajo
discutiremos el tema de los virus, desde sus orígenes, sus
creadores, la razón de su existencia entre otras cosas.
El trabajo
constará con descripciones de las categorías donde
se agrupan los virus así como las diferencias de lo que es
un virus contra lo que falsamente se considera virus.

También describiremos los métodos
existentes en el mercado para
contrarrestar los virus como son los antivirus, la
concientización a los usuarios y las políticas
de uso de las tecnologías en cuanto a s eguridad y virus
informáticos.

LOS VIRUS

Definición de Virus

Los Virus informáticos son programas de ordenador que se reproducen
a sí mismos e interfieren con el hardware de una computadora o
con su sistema operativo
(el software
básico que controla la
computadora). Los virus están diseñados para
reproducirse y evitar su detección. Como cualquier otro
programa informático, un virus debe ser ejecutado para que
funcione: es decir, el ordenador debe cargar el virus desde
la memoria del
ordenador y seguir sus instrucciones. Estas instrucciones se
conocen como carga activa del virus. La carga activa puede
trastornar o modificar archivos de datos, presentar
un determinado mensaje o provocar fallos en el sistema
operativo.

Existen otros programas informáticos
nocivos similares a los virus, pero que no cumplen ambos
requisitos de reproducirse y eludir su detección. Estos
programas se dividen en tres categorías: Caballos de
Troya, bombas
lógicas y gusanos. Un caballo de Troya aparenta ser
algo interesante e inocuo, por ejemplo un juego, pero
cuando se ejecuta puede tener efectos dañinos. Una bomba
lógica
libera su carga activa cuando se cumple una condición
determinada, como cuando se alcanza una fecha u hora determinada
o cuando se teclea una combinación de letras. Un gusano se
limita a reproducirse, pero puede ocupar memoria de la
computadora y hacer que sus procesos vayan
más lentos.

Algunas de las características de estos agentes
víricos:

Son programas de computadora: En
informática programa es sinónimo de Software, es
decir el conjunto de instrucciones que ejecuta un ordenador o
computadora.
Es dañino: Un virus
informático siempre causa daños en el sistema
que infecta, pero vale aclarar que el hacer daño
no significa que valla a romper algo. El daño puede ser
implícito cuando lo que se busca es destruir o alterar
información o pueden ser situaciones con efectos
negativos para la computadora, como consumo de
memoria principal, tiempo de
procesador.
Es auto reproductor: La característica
más importante de este tipo de programas es la de crear
copias de sí mismos, cosa que ningún otro
programa convencional hace. Imaginemos que si todos tuvieran
esta capacidad podríamos instalar un procesador de
textos y un par de días más tarde
tendríamos tres de ellos o más.
Es subrepticio: Esto significa que
utilizará varias técnicas
para evitar que el usuario se de cuenta de su presencia. La
primera medida es tener un tamaño reducido para poder
disimularse a primera vista. Puede llegar a manipular el
resultado de una petición al sistema operativo de
mostrar el tamaño del archivo e
incluso todos sus atributos.

Las acciones de
los virus son diversas, y en su mayoría inofensivas,
aunque algunas pueden provocar efectos molestos y, en ciertos,
casos un grave daño sobre la información,
incluyendo pérdidas de datos. Hay virus que ni siquiera
están diseñados para activarse, por lo que
sólo ocupan espacio en disco, o en la memoria. Sin
embargo, es recomendable y posible evitarlos.

Generalidades sobre los virus de
computadoras

La primer aclaración que cabe es que los virus de
computadoras, son simplemente programas, y como tales, hechos por
programadores. Son programas que debido a sus
características particulares, son especiales. Para hacer
un virus de computadora, no se requiere capacitación especial, ni una genialidad
significativa, sino conocimientos de lenguajes de
programación, de algunos temas no difundidos para
público en general y algunos conocimientos puntuales sobre
el ambiente de
programación y arquitectura de
las computadoras.

En la vida diaria, más allá de las
especificaciones técnicas, cuando un programa invade
inadvertidamente el sistema, se replica sin conocimiento
del usuario y produce daños, pérdida de
información o fallas del sistema. Para el usuario se
comportan como tales y funcionalmente lo son en
realidad.

Los virus actúan enmascarados por "debajo" del
sistema operativo, como regla general, y para actuar sobre los
periféricos del sistema, tales como disco
rígido, disqueteras,
ZIP’s CD’s,
hacen uso de sus propias rutinas aunque no exclusivamente. Un
programa "normal" por llamarlo así, usa las rutinas del
sistema operativo para acceder al control de los
periféricos del sistema, y eso hace que el usuario sepa
exactamente las operaciones que
realiza, teniendo control sobre ellas. Los virus, por el
contrario, para ocultarse a los ojos del usuario, tienen sus
propias rutinas para conectarse con los periféricos de la
computadora, lo que les garantiza cierto grado de inmunidad a los
ojos del usuario, que no advierte su presencia, ya que el sistema
operativo no refleja su actividad en la computadora. Esto no es
una "regla", ya que ciertos virus, especialmente los que operan
bajo Windows, usan
rutinas y funciones
operativas que se conocen como API’s. Windows, desarrollado
con una arquitectura muy particular, debe su gran éxito a
las rutinas y funciones que pone a disposición de los
programadores y por cierto, también disponibles para los
desarrolladores de virus. Una de las bases del poder destructivo
de este tipo de programas radica en el uso de funciones de manera
"sigilosa", se oculta a los ojos del usuario
común.

La clave de los virus radica justamente en que son
programas. Un virus para ser activado debe ser ejecutado y
funcionar dentro del sistema al menos una vez. Demás
está decir que los virus no "surgen" de las computadoras
espontáneamente, sino que ingresan al sistema
inadvertidamente para el usuario, y al ser ejecutados, se activan
y actúan con la computadora huésped.

Los nuevos virus e
Internet

Hasta la aparición del programa Microsoft
Outlook, era imposible adquirir virus mediante el correo
electrónico. Los e-mails no podían de ninguna
manera infectar una computadora. Solamente si se adjuntaba un
archivo susceptible de infección, se bajaba a la
computadora, y se ejecutaba, podía ingresar un archivo
infectado a la máquina. Esta paradisíaca
condición cambió de pronto con las declaraciones de
Padgett Peterson, miembro de Computer Antivirus Research
Organization, el cual afirmó la posibilidad de introducir
un virus en el disco duro del
usuario de Windows 98
mediante el correo electrónico. Esto fue posible porque el
gestor de correo Microsoft Outlook 97 es capaz de ejecutar
programas escritos en Visual Basic para
Aplicaciones (antes conocido como Visual Languaje, propiedad de
Microsoft), algo que no sucedía en Windows 95. Esto fue
negado por el gigante del software y se intentó
ridiculizar a Peterson de diversas maneras a través de
campañas de marketing,
pero como sucede a veces, la verdad no siempre tiene que ser
probada. A los pocos meses del anuncio, hizo su aparición
un nuevo virus, llamado BubbleBoy, que infectaba computadoras a
través del e-mail, aprovechándose del agujero
anunciado por Peterson. Una nueva variedad de virus había
nacido.

Para ser infectado por el BubbleBoy, sólo es
necesario que el usuario reciba un mail infectado y tenga
instalados Windows 98 y el programa gestor de correo Microsoft
Outlook. La innovación tecnológica implementada
por Microsoft y que permitiría mejoras en la gestión
del correo, resultó una vez más en agujeros de
seguridad que vulneraron las computadoras de desprevenidos
usuarios.

Las mejoras que provienen de los lenguajes de macros de
la familia
Microsoft facilitan la presencia de "huecos" en los sistemas que
permiten la creación de técnicas y herramientas
aptas para la violación nuestros sistemas. La gran
corriente de creación de virus de Word y
Excel,
conocidos como Macro-Virus, nació como consecuencia de la
introducción del Lenguaje de
Macros WordBasic (y su actual sucesor Visual Basic para
Aplicaciones), en los paquetes de Microsoft Office.
Actualmente los Macrovirus representan el 80 % del total de los
virus que circulan por el mundo.

Hoy en día también existen archivos de
páginas
Web que pueden infectar una computadora. El boom de Internet ha permitido la
propagación instantánea de virus a todas las
fronteras, haciendo susceptible de ataques a cualquier usuario
conectado. La red mundial de Internet debe
ser considerada como una red insegura,
susceptible de esparcir programas creados para aprovechar los
huecos de seguridad de Windows y que faciliten el "implante" de
los mismos en nuestros sistemas. Los virus pueden ser programados
para analizar y enviar nuestra información a lugares
remotos, y lo que es peor, de manera inadvertida. El protocolo
TCP/IP,
desarrollado por los creadores del concepto de
Internet, es la herramienta más flexible creada hasta el
momento; permite la conexión de cualquier computadora con
cualquier sistema operativo. Este maravilloso protocolo, que
controla la transferencia de la información, al mismo
tiempo, vuelve sumamente vulnerable de violación a toda la
red. Cualquier computadora conectada a la red, puede ser
localizada y accedida remotamente si se siguen algunos caminos
que no analizaremos por razones de seguridad. Lo cierto es que
cualquier persona con
conocimientos de acceso al hardware por bajo nivel, pueden
monitorear una computadora conectada a Internet. Durante la
conexión es el momento en el que el sistema se vuelve
vulnerable y puede ser "hackeado". Sólo es necesario
introducir en el sistema un programa que permita "abrir la
puerta" de la conexión para permitir el acceso del intruso
o directamente el envío de la información contenida
en nuestro disco. En realidad, hackear un sistema Windows es
ridículamente fácil. La clave de todo es la
introducción de tal programa, que puede enviarse en un
archivo adjunto a un e-mail que ejecutamos, un disquete que
recibimos y que contiene un programa con el virus, o quizá
un simple e-mail. El concepto de virus debería ser
ampliado a todos aquellos programas que de alguna manera crean
nuevas puertas en nuestros sistemas que se activan durante la
conexión a Internet para facilitar el acceso del intruso o
enviar directamente nuestra información privada a usuarios
en sitios remotos.

Entre los virus que más fuerte han azotado a la
sociedad en los últimos dos años se pueden
mencionar:

Sircam
Code Red
Nimda
Magistr
Melissa
Klez
LoveLetter

¿Cómo se producen las
infecciones?

Los virus informáticos se difunden
cuando las instrucciones o código
ejecutable que hacen funcionar los programas pasan de un
ordenador a otro. Una vez que un virus está activado,
puede reproducirse copiándose en discos flexibles, en el
disco duro, en programas informáticos legítimos o a
través de redes informáticas.
Estas infecciones son mucho más frecuentes en las
computadoras que en sistemas profesionales de grandes
ordenadores, porque los programas de las computadoras se
intercambian fundamentalmente a través de discos flexibles
o de redes informáticas no reguladas.

Los virus funcionan, se reproducen y
liberan sus cargas activas sólo cuando se ejecutan. Por
eso, si un ordenador está simplemente conectado a una red
informática infectada o se limita a cargar un programa
infectado, no se infectará necesariamente. Normalmente, un
usuario no ejecuta conscientemente un código
informático potencialmente nocivo; sin embargo, los virus
engañan frecuentemente al sistema operativo de la
computadora o al usuario informático para que ejecute el
programa viral.

Algunos virus tienen la capacidad de
adherirse a programas legítimos. Esta adhesión
puede producirse cuando se crea, abre o modifica el programa
legítimo. Cuando se ejecuta dicho programa, ocurre lo
mismo con el virus. Los virus también pueden residir en
las partes del disco duro o flexible que cargan y ejecutan el
sistema operativo cuando se arranca el ordenador, por lo que
dichos virus se ejecutan automáticamente. En las redes
informáticas, algunos virus se ocultan en el software que
permite al usuario conectarse al sistema.

La propagación de los virus informáticos a
las computadoras personales, servidores o
equipo de computación se logra mediante distintas
formas, como por ejemplo: a través de disquetes, cintas
magnéticas, CD o cualquier otro medio de entrada de
información. El método en
que más ha proliferado la infección con virus es en
las redes de comunicación y más tarde la
Internet. Es con la Internet y especialmente el correo
electrónico que millones de computadoras han sido
afectadas creando pérdidas económicas
incalculables.

Hay personas que piensan que con tan sólo estar
navegando en la Internet no se van a contagiar porque no
están bajando archivos a sus ordenadores, pero la verdad
es que están muy equivocados. Hay algunas páginas
en Internet que utilizan objetos ActiveX que son archivos
ejecutables que el navegador de Internet va ejecutar en nuestras
computadoras, si en el ActiveX se le codifica algún tipo
de virus este va a pasar a nuestra computadoras con tan solo
estar observando esa página.

Cuando uno esta recibiendo correos electrónicos,
debe ser selectivo en los archivos que uno baja en nuestras
computadoras. Es más seguro bajarlos
directamente a nuestra computadora para luego revisarlos con un
antivirus antes que ejecutarlos directamente de donde
están. Un virus informático puede estar oculto en
cualquier sitio, cuando un usuario ejecuta algún archivo
con extensión .exe que es portador de un algún
virus todas las instrucciones son leídas por la
computadora y procesadas por ésta hasta que el virus es
alojado en algún punto del disco duro o en la memoria del
sistema. Luego ésta va pasando de archivo en archivo
infectando todo a su alcance añadiéndole bytes
adicionales a los demás archivos y contaminándolos
con el virus. Los archivos que son infectados mayormente por los
virus son tales cuyas extensiones son: .exe, .com, .bat, .sys,
.pif, .dll y .drv.

ESTRATEGIAS DE INFECCIÓN USADAS POR LOS
VIRUS

Añadidura o
empalme

El código del virus se agrega al final del
archivo a infectar, modificando las estructuras de
arranque del archivo de manera que el control del programa pase
por el virus antes de ejecutar el archivo. Esto permite que el
virus ejecute sus tareas específicas y luego entregue el
control al programa. Esto genera un incremento en el
tamaño del archivo lo que permite su fácil
detección.

Inserción
El código
del virus se aloja en zonas de código no utilizadas o en
segmentos de datos para que el tamaño del archivo no
varíe. Para esto se requieren técnicas muy
avanzadas de programación, por lo que no es muy utilizado
este método.

Reorientación
Es una
variante del anterior. Se introduce el código principal
del virus en zonas físicas del disco rígido que se
marcan como defectuosas y en los archivos se implantan
pequeños trozos de código que llaman al
código principal al ejecutarse el archivo. La principal
ventaja es que al no importar el tamaño del archivo el
cuerpo del virus puede ser bastante importante y poseer mucha
funcionalidad. Su eliminación es bastante sencilla, ya que
basta con reescribir los sectores marcados como
defectuosos.

Polimorfismo
Este es el
método mas avanzado de contagio. La técnica
consiste en insertar el código del virus en un archivo
ejecutable, pero para evitar el aumento de tamaño del
archivo infectado, el virus compacta parte de su código y
del código del archivo anfitrión, de manera que la
suma de ambos sea igual al tamaño original del archivo. Al
ejecutarse el programa infectado, actúa primero el
código del virus descompactando en memoria las porciones
necesarias. Una variante de esta técnica permite usar
métodos de encriptación dinámicos para
evitar ser detectados por los antivirus.

Sustitución
Es el método mas tosco. Consiste en sustituir el
código original del archivo por el del virus. Al ejecutar
el archivo deseado, lo único que se ejecuta es el virus,
para disimular este proceder reporta algún tipo de error
con el archivo de forma que creamos que el problema es del
archivo.

ESPECIES DE VIRUS

Existen seis categorías de
virus: parásitos, del sector de arranque inicial,
multipartitos, acompañantes, de vínculo y de
fichero de datos. Los virus parásitos infectan ficheros
ejecutables o programas de la computadora. No modifican el
contenido del programa huésped, pero se adhieren al
huésped de tal forma que el código del virus se
ejecuta en primer lugar. Estos virus pueden ser de acción
directa o residentes. Un virus de acción directa
selecciona uno o más programas para infectar cada vez que
se ejecuta. Un virus residente se oculta en la memoria del
ordenador e infecta un programa determinado cuando se ejecuta
dicho programa. Los virus del sector de arranque inicial residen
en la primera parte del disco duro o flexible, conocida como
sector de arranque inicial, y sustituyen los programas que
almacenan información sobre el contenido del disco o los
programas que arrancan el ordenador. Estos virus suelen
difundirse mediante el intercambio físico de discos
flexibles. Los virus multipartitos combinan las capacidades de
los virus parásitos y de sector de arranque inicial, y
pueden infectar tanto ficheros como sectores de arranque
inicial.

Los virus acompañantes no modifican los
ficheros, sino que crean un nuevo programa con el mismo nombre
que un programa legítimo y engañan al sistema
operativo para que lo ejecute. Los virus de vínculo
modifican la forma en que el sistema operativo encuentra los
programas, y lo engañan para que ejecute primero el virus
y luego el programa deseado. Un virus de vínculo puede
infectar todo un directorio (sección) de una computadora,
y cualquier programa ejecutable al que se acceda en dicho
directorio desencadena el virus. Otros virus infectan programas
que contienen lenguajes de macros potentes (lenguajes de
programación que permiten al usuario crear nuevas
características y herramientas) que pueden abrir,
manipular y cerrar ficheros de datos. Estos virus, llamados virus
de ficheros de datos, están escritos en lenguajes de
macros y se ejecutan automáticamente cuando se abre el
programa legítimo. Son independientes de la máquina
y del sistema operativo.

Los virus se pueden clasificar de dos formas: Por su
destino de infección y pos sus acciones o modo de
activación.

VIRUS POR SU DESTINO DE
INFECCIÓN

Infectores de archivos ejecutables:

Estos también residen en la memoria de la
computadora e infectan archivos ejecutables de extensiones .exe,
.com, .bat, .sys, .pif, .dll, .drv, .bin, .ovl. A su vez,
comparten con los virus de área de boot el estar en
vías de extinción desde la llegada de sistemas
operativos que reemplazan al viejo DOS. Los virus de
infección de archivos se replican en la memoria toda vez
que un archivo infectado es ejecutado, infectando otros
ejecutables.

Pueden permanecer residentes en memoria durante mucho
tiempo después de haber sido activados, en ese caso se
dice que son virus residentes, o pueden ser virus de
acción directa, que evitan quedar residentes en memoria y
se replican o actúan contra el sistema sólo al ser
ejecutado el programa infectado. Se dice que estos virus son
virus de sobre escritura, ya
que corrompen al fichero donde se ubican.

Virus multipartitos (Multi-partite):

Una suma de los virus de área de boot y de los
virus de infección de archivos, infectan archivos
ejecutables y el área de booteo de discos.

Infectores directos:

El programa infectado tiene que estar
ejecutándose para que el virus pueda funcionar (seguir
infectando y ejecutar sus acciones destructivas).

Infectores residentes en memoria:

El programa infectado no necesita estar
ejecutándose, el virus se aloja en la memoria y permanece
residente infectando cada nuevo programa ejecutado y ejecutando
su rutina de destrucción.

Infectores del sector de arranque:

Tanto los discos rígidos como los disquetes
contienen un Sector de Arranque, el cual contiene
información específica relativa al formato del
disco y los datos almacenados en él. Además,
contiene un pequeño programa llamado Boot Program que se
ejecuta al bootear desde ese disco y que se encarga de buscar y
ejecutar en el disco los archivos del sistema operativo. Este
programa es el que muestra el famoso
mensaje de "Non-system Disk" o "Disk Error" en caso de no
encontrar los archivos del sistema operativo. Este es el programa
afectado por los virus de sector de arranque. La computadora se
infecta con un virus de sector de arranque al intentar bootear
desde un disquete infectado. En este momento el virus se ejecuta
e infecta el sector de arranque del disco rígido,
infectando luego cada disquete utilizado en la computadora. A
pesar del riesgo que
parecen esconder estos virus, son de una clase que
está tendiendo a desaparecer, sobre todo desde la
explosión de Internet, las redes y los sistemas
operativos posteriores al DOS. Algunos virus de boot sector
no infectan el sector de arranque del disco duro (conocido como
MBR). Usualmente infectan sólo disquetes como se menciona
anteriormente, pero pueden afectar también al Disco
Rígido, CD, unidades ZIP, etc. Para erradicarlos, es
necesario inicializar la Computadora desde un disquete sin
infectar y proceder a removerlo con un antivirus, y en caso
necesario reemplazar el sector infectado con el sector de
arranque original.

Macrovirus:
Son los virus más populares de la actualidad. No se
transmiten a través de archivos ejecutables, sino a
través de los documentos de las
aplicaciones que poseen algún tipo de lenguaje de macros.
Por ende, son específicos de cada aplicación, y no
pueden afectar archivos de otro programa o archivos ejecutables.
Entre ellas encontramos todas las pertenecientes al paquete
Office (Microsoft
Word, Microsoft
Excel, Microsoft PowerPoint,
Microsoft
Access) y también el Corel
Draw.

Cuando uno de estos archivos infectado es abierto o
cerrado, el virus toma el control y se copia a la plantilla base
de nuevos documentos (llamada en el Word normal.dot), de forma
que sean infectados todos los archivos que se abran o creen en el
futuro.

Los lenguajes de macros como el Visual Basic For
Applications son muy poderosos y poseen capacidades como para
cambiar la configuración del sistema operativo, borrar
archivos, enviar e-mails, etc. Estos virus pueden llevar a cabo,
como en el caso de los otros tipos, una gran variedad de
acciones, con diversos efectos.

El ciclo completo de infección de un Macro-Virus
sería así:

Se abre el archivo infectado, con lo cual se activa
en memoria.
Infecta sin que el usuario se dé cuenta al
normal.dot, con eso se asegura que el usuario sea un
reproductor del virus sin sospecharlo.
Si está programado para eso, busca dentro de
la Computadora los archivos de Word, Excel, etc., que puedan
ser infectados y los infecta.
Si está programado, verifica un evento de
activación, que puede ser una fecha, y genera el
problema dentro de la computadora (borrar archivos, destruir
información, etc.)

De Actives Agents y Java
Applets

En 1997, aparecen los Java applets y Actives controls.
Estos pequeños programas se graban en el disco
rígido del usuario cuando está conectado a Internet
y se ejecutan cuando la página Web
sobre la que se navega lo requiere, siendo una forma de ejecutar
rutinas sin tener que consumir ancho de banda. Los virus
desarrollados con Java applets y Actives controls acceden al
disco rígido a través de una conexión WWW de
manera que el usuario no los detecta. Se pueden programar para
que borren o corrompan archivos, controlen la memoria,
envíen información a un sitio Web,
etc.

De HTML

Un mecanismo de infección más eficiente
que el de los Java applets y Actives controls apareció a
fines de 1998 con los virus que incluyen su código en
archivos HTML. Con solo
conectarse a Internet, cualquier archivo HTML de una
página Web puede contener y ejecutar un virus. Este tipo
de virus se desarrollan en Visual Basic Script. Atacan a usuarios
de Windows 98, 2000 y de las últimas versiones de
Explorer. Esto se debe a que necesitan que el Windows Scripting
Host se encuentre activo. Potencialmente pueden borrar o
corromper archivos.

Troyanos/Worms
Los troyanos son programas que
imitan programas útiles o ejecutan algún tipo de
acción aparentemente inofensiva, pero que de forma oculta
al usuario ejecutan el código dañino.
Los troyanos no cumplen con la función de
auto reproducción, sino que generalmente son
diseñados de forma que por su contenido sea el mismo
usuario el encargado de realizar la tarea de difusión del
virus. (Generalmente son enviados por e-mail). Los troyanos
suelen ser promocionados desde alguna página Web poco
confiable, por eso hay que tomar la precaución de bajar
archivos ejecutables sólo de sitios conocidos y revisarlos
con un antivirus antes de correrlos. Pueden ser programados de
tal forma que una vez logre su objetivo se
autodestruya dejando todo como si nunca nada hubiese
ocurrido.

VIRUS POR SUS ACCIONES O MODOS DE
ACTIVACIÓN

Bombas:
Se denomina así a los virus
que ejecutan su acción dañina como si fuesen una
bomba. Esto significa que se activan segundos después de
verse el sistema infectado o después de un cierto tiempo
(bombas de tiempo) o al comprobarse cierto tipo de
condición lógica del equipo (bombas
lógicas). Ejemplos de bombas de tiempo son los virus que
se activan en una determinada fecha u hora determinada. Ejemplos
de bombas lógicas son los virus que se activan cuando al
disco rígido solo le queda el 10% sin uso, etc.

Retro Virus

Son los virus que atacan directamente al antivirus que
está en la computadora. Generalmente lo que hace es que
busca las tablas de las definiciones de virus del antivirus y las
destruye.

Virus lentos:

Los virus de tipo lento hacen honor a su nombre
infectando solamente los archivos que el usuario hace ejecutar
por el sistema operativo, simplemente siguen la corriente y
aprovechan cada una de las cosas que se ejecutan. Por ejemplo, un
virus lento únicamente podrá infectar el sector de
arranque de un disquete cuando se use el comando FORMAT o SYS
para escribir algo en dicho sector. De los archivos que pretende
infectar realiza una copia que infecta, dejando al original
intacto.

Su eliminación resulta bastante complicada.
Cuando el verificador de integridad encuentra nuevos archivos
avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del
verificador. Así, esa técnica resultaría
inútil.

La mayoría de las herramientas creadas para
luchar contra este tipo de virus son programas residentes en
memoria que vigilan constantemente la creación de
cualquier archivo y validan cada uno de los pasos que se dan en
dicho proceso. Otro
método es el que se conoce como Decoy launching. Se crean
varios archivos .exe y .com cuyo contenido conoce el antivirus.
Los ejecuta y revisa para ver si se han modificado sin su
conocimiento.

Virus voraces

Alteran el contenido de los archivos
indiscriminadamente. Este tipo de virus lo que hace es que cambia
el archivo ejecutable por su propio archivo. Se dedican a
destruir completamente los datos que estén a su
alcance.

Sigilosos o Stealth

Este virus cuenta con un módulo de defensa
sofisticado. Trabaja a la par con el sistema operativo viendo
como este hace las cosas y tapando y ocultando todo lo que va
editando a su paso. Trabaja en el sector de arranque de la
computadora y engaña al sistema operativo
haciéndole creer que los archivos infectados que se le
verifica el tamaño de bytes no han sufrido ningún
aumento en tamaño.

Polimorfos o Mutantes

Encripta todas sus instrucciones para que no pueda ser
detectado fácilmente. Solamente deja sin encriptar
aquellas instrucciones necesarias para ejecutar el virus. Este
virus cada vez que contagia algo cambia de forma para hacer de
las suyas libremente. Los antivirus normales hay veces que no
detectan este tipo de virus y hay que crear programas
específicamente (como son las vacunas) para
erradicar dichos virus.

Camaleones:
Son una variedad de virus similares a los caballos de Troya que
actúan como otros programas parecidos, en los que el
usuario confía, mientras que en realidad están
haciendo algún tipo de daño. Cuando están
correctamente programados, los camaleones pueden realizar todas
las funciones de los programas legítimos a los que
sustituyen (actúan como programas de demostración
de productos, los
cuales son simulaciones de programas reales).
Un software camaleón podría, por ejemplo, emular un
programa de acceso a sistemas remotos realizando todas las
acciones que ellos realizan, pero como tarea adicional (y oculta
a los usuarios) va almacenando en algún archivo los
diferentes logins y passwords para que posteriormente puedan ser
recuperados y utilizados ilegalmente por el creador del virus
camaleón.

Reproductores:
Los reproductores
(también conocidos como conejos-rabbits) se reproducen en
forma constante una vez que son ejecutados hasta agotar
totalmente (con su descendencia) el espacio de disco o memoria
del sistema.

La única función de este tipo de virus es
crear clones y lanzarlos a ejecutar para que ellos hagan lo
mismo. El propósito es agotar los recursos del
sistema, especialmente en un entorno multiusuario interconectado,
hasta el punto que el sistema principal no puede continuar con el
procesamiento normal.

Gusanos (Worms):

Los gusanos son programas que constantemente viajan a
través de un sistema informático interconectado, de
computadora en computadora, sin dañar necesariamente el
hardware o el software de los sistemas que visitan. La
función principal es viajar en secreto a través de
equipos anfitriones recopilando cierto tipo de información
programada (tal como los archivos de passwords) para enviarla a
un equipo determinado al cual el creador del virus tiene acceso.
Más allá de los problemas de espacio o tiempo que
puedan generar, los gusanos no están diseñados para
perpetrar daños graves.

Backdoors:

Son también conocidos como herramientas de
administración remotas ocultas. Son
programas que permiten controlar remotamente la computadora
infectada. Generalmente son distribuidos como
troyanos.

Cuando un virus de estos es ejecutado, se instala dentro
del sistema operativo, al cual monitorea sin ningún tipo
de mensaje o consulta al usuario. Incluso no se lo ve en la lista
de programas activos. Los
Backdoors permiten al autor tomar total control de la computadora
infectada y de esta forma enviar, recibir archivos, borrar o
modificarlos, mostrarle mensajes al usuario, etc.

"Virus" Bug-Ware:

Son programas que en realidad no fueron pensados para
ser virus, sino para realizar funciones concretas dentro del
sistema, pero debido a una deficiente comprobación de
errores por parte del programador, o por una programación
confusa que ha tornado desordenado al código final,
provocan daños al hardware o al software del sistema. Los
usuarios finales, tienden a creer que los daños producidos
en sus sistemas son producto de la
actividad de algún virus, cuando en realidad son
producidos por estos programas defectuosos. Los programas
bug-ware no son en absoluto virus informáticos, sino
fragmentos de código mal implementado, que debido a fallos
lógicos, dañan el hardware o inutilizan los datos
del computador. En
realidad son programas con errores, pero funcionalmente el
resultado es semejante al de los virus.

Virus de MIRC:

Al igual que los bug-ware y los mail-bombers, no son
considerados virus. Son una nueva generación de programas
que infectan las computadoras, aprovechando las ventajas
proporcionadas por Internet y los millones de usuarios conectados
a cualquier canal IRC a través del programa Mirc y otros
programas de chat.
Consisten en un script para el cliente del
programa de chateo. Cuando se accede a un canal de IRC, se recibe
por DCC un archivo llamado "script.ini". Por defecto, el
subdirectorio donde se descargan los archivos es el mismo donde
esta instalado el programa, esto causa que el "script.ini"
original se sobre escriba con el "script.ini" maligno. Los
autores de ese script acceden de ese modo a información
privada de la computadora, como el archivo de claves, y pueden
remotamente desconectar al usuario del canal IRC.

Virus Falsos (Hoax):

Un último grupo, que
decididamente no puede ser considerado virus. Se trata de
las cadenas de e-mails que generalmente anuncian la amenaza de
algún virus "peligrosísimo" (que nunca existe, por
supuesto) y que por temor, o con la intención de prevenir
a otros, se envían y re-envían incesantemente. Esto
produce un estado de
pánico
sin sentido y genera un molesto tráfico de
información innecesaria.

TÉCNICAS DE PROGRAMACIÓN DE
VIRUS

Los programadores de virus utilizan diversas
técnicas de programación que tienen por fin ocultar
a los ojos del usuario la presencia del virus, favorecer su
reproducción y por ello a menudo también tienden a
ocultarse de los antivirus. A continuación se citan las
técnicas más conocidas:

Stealth: Técnica de ocultación
utilizada para esconder los signos
visibles de la infección que podrían delatar su
presencia. Sus características son:
- Mantienen la fecha original del
  archivo.
- Evitan que se muestren los errores de escritura
  cuando el virus intenta escribir en discos
  protegidos.
- Restar el tamaño del virus a los archivos
  infectados cuando se hace un DIR.
- Modificar directamente la FAT.
- Modifican la tabla de vectores
  de interrupción (IVT).
- Se instalan en los buffers del DOS.
- Se instalan por encima de los 640 KB normales del
  DOS.
- Soportan la reinicializacion del sistema por
  teclado.
Encriptación o auto
encriptación: Técnica de ocultación
que permite la encriptación del código del virus
y que tiene por fin enmascarar su código viral y sus
acciones en el sistema. Por este método los virus
generan un código que dificulta la detección por
los antivirus.
Anti-debuggers: Es una técnica de
protección que tiende a evitar ser desensamblado para
dificultar su análisis, paso necesario para generar una
"vacuna" para el antivirus.
Polimorfismo: Es una técnica que impide
su detección, por la cual varían el método
de encriptación de copia en copia, obligando a los
antivirus a usar técnicas heurísticas. Debido a
que el virus cambia en cada infección es imposible
localizarlo buscándolo por cadenas de código, tal
cual hace la técnica de escaneo. Esto se consigue
utilizando un algoritmo de
encriptación que de todos modos, no puede codificar todo
el código del virus. Una parte del código del
virus queda inmutable y es el que resulta vulnerable y propicio
para ser detectado por los antivirus. La forma más
utilizada para la codificación es la operación
lógica XOR, debido a que es reversible: En cada
operación se hace necesaria una clave, pero por lo
general, usan una clave distinta en cada infección, por
lo que se obtiene una codificación también
distinta. Otra forma muy usada para generar un virus
polimórfico consiste en sumar un número fijo a
cada byte del código vírico.
Tunneling: Es una técnica de
evasión que tiende a burlar los módulos
residentes de los antivirus mediante punteros directos a los
vectores de interrupción. Es altamente compleja, ya que
requiere colocar al procesador en modo paso a paso, de tal
manera que al ejecutarse cada instrucción, se produce la
interrupción 1, para la cual el virus ha colocado una
ISR (interrupt Service Routine), ejecutándose
instrucciones y comprobándose si se ha llegado a donde
se quería hasta recorrer toda la cadena de ISR’s
que halla colocando el parche al final de la
cadena.
Residentes en Memoria o TSR: Algunos virus
permanecen en la memoria de las computadoras para mantener el
control de todas las actividades del sistema y contaminar todos
los archivos que puedan. A través de esta técnica
permanecen en memoria mientras la computadora permanezca
encendida. Para logra este fin, una de las primeras cosas que
hacen estos virus, es contaminar los ficheros de arranque del
sistema para asegurar su propia ejecución al ser
encendido el equipo, permaneciendo siempre cargado en RAM.

¿CÓMO
SABER SI TENEMOS UN VIRUS?

La mejor forma de detectar un virus es, obviamente con
un antivirus, pero en ocasiones los antivirus pueden fallar en la
detección. Puede ser que no detectemos nada y aún
seguir con problemas. En esos casos "difíciles", entramos
en terreno delicado y ya es conveniente la presencia de un
técnico programador. Muchas veces las fallas atribuidas a
virus son en realidad fallas de hardware y es muy importante que
la persona que verifique el equipo tenga profundos conocimientos
de arquitectura de equipos, software, virus, placas de hardware,
conflictos de
hardware, conflictos de programas entre sí y bugs o fallas
conocidas de los programas o por lo menos de los programas
más importantes. Las modificaciones del Setup, cambios de
configuración de Windows, actualización de drivers,
fallas de RAM, instalaciones abortadas, rutinas de programas con
errores y aún oscilaciones en la línea de alimentación del
equipo pueden generar errores y algunos de estos síntomas.
Todos esos aspectos deben ser analizados y descartados para
llegar a la conclusión que la falla proviene de un virus
no detectado o un virus nuevo aún no incluido en las
bases de datos
de los antivirus más importantes.

Aquí se mencionan algunos de los síntomas
posibles:

Reducción del espacio libre en la memoria
RAM: Un virus, al entrar al sistema, se sitúa en
la memoria RAM, ocupando una porción de ella. El
tamaño útil y operativo de la memoria se reduce
en la misma cuantía que tiene el código del
virus. Siempre en el análisis de una posible
infección es muy valioso contar con parámetros de
comparación antes y después de la posible
infección. Por razones prácticas casi nadie
analiza detalladamente su computadora en condiciones normales y
por ello casi nunca se cuentan con patrones antes de una
infección, pero sí es posible analizar estos
patrones al arrancar una computadora con la posible
infección y analizar la memoria arrancando el sistema
desde un disco libre de infección.
Las operaciones rutinarias se realizan con
más lentitud: Obviamente los virus son programas, y
como tales requieren de recursos del sistema para funcionar y
su ejecución, más al ser repetitiva, llevan a un
enlentecimiento global en las operaciones.
Aparición de programas residentes en
memoria desconocidos: El código viral, como ya
dijimos, ocupa parte de la RAM y debe quedar "colgado" de la
memoria para activarse cuando sea necesario. Esa porción
de código que queda en RAM, se llama residente y con
algún utilitario que analice la RAM puede ser
descubierto. Aquí también es valioso comparar
antes y después de la infección o arrancando
desde un disco "limpio".
Tiempos de carga mayores: Corresponde al
enlentecimiento global del sistema, en el cual todas las
operaciones se demoran más de lo habitual.
Aparición de mensajes de error no
comunes: En mayor o menor medida, todos los virus, al igual
que programas residentes comunes, tienen una tendencia a
"colisionar" con otras aplicaciones. Aplique aquí
también el análisis pre /
post-infección.
Fallos en la ejecución de los
programas: Programas que normalmente funcionaban bien,
comienzan a fallar y generar errores durante la
sesión.

¿QUE
MEDIDAS DE PROTECCIÓN RESULTAN
EFECTIVAS?

Obviamente, la mejor y más efectiva medida es
adquirir un antivirus, mantenerlo actualizado y tratar de
mantenerse informado sobre las nuevas técnicas de
protección y programación de virus. Gracias a
Internet es posible mantenerse al tanto a través de
servicios
gratuitos y pagos de información y seguridad. Hay
innumerables boletines electrónicos de alerta y seguridad
que advierten sobre posibles infecciones de mejor o menor
calidad.
Existen herramientas, puede decirse indispensables para aquellos
que tienen conexiones prolongadas a Internet que tienden a
proteger al usuario no sólo detectando posibles
intrusiones dentro del sistema, sino chequeando constantemente el
sistema, a modo de verdaderos escudos de protección. Hay
herramientas especiales para ciertos tipos de virus, como por
ejemplo protectores especiales contra el Back Oriffice, que
certifican la limpieza del sistema o directamente remueven el
virus del registro del sistema.

FORMAS DE PREVENCIÓN Y ELIMINACIÓN
DEL VIRUS

Copias de
seguridad

Realice copias de seguridad de sus datos. Éstas
pueden realizarlas en el soporte que desee, disquetes, unidades
de cinta, etc. Mantenga esas copias en un lugar diferente del
ordenador y protegido de campos magnéticos, calor, polvo y
personas no autorizadas.

Copias de programas
originales

No instale los programas desde los disquetes originales.
Haga copia de los discos y utilícelos para realizar las
instalaciones.

No acepte copias de origen
dudoso

Evite utilizar copias de origen dudoso, la
mayoría de las infecciones provocadas por virus se deben a
discos de origen desconocido.

Utilice
contraseñas

Ponga una clave de acceso a su computadora para que
sólo usted pueda acceder a ella.

Antivirus

Tenga siempre instalado un antivirus en su computadora,
como medida general analice todos los discos que desee instalar.
Si detecta algún virus elimine la instalación lo
antes posible.

Actualice periódicamente
su antivirus

Un antivirus que no esté actualizado puede ser
completamente inútil. Todos los antivirus existentes en el
mercado permanecen residentes en la computadora para controlar
todas las operaciones de ejecución y transferencia de
ficheros analizando cada fichero para determinar si tiene virus,
mientras el usuario realiza otras tareas.

Partes: 1, 2

Página siguiente