1. ¿QUE SON LOS VIRUS?
Los virus informáticos son programas que se instalan de forma inadvertida en los ordenadores,
realizan su función destructiva y pueden propagarse hacia otros ordenadores.
Las vías de propagación son diversas y han ido evolucionando a lo largo del tiempo. Hace unos
años, cuando no existía Internet, se propagaban preferentemente a través de los disquetes. Luego
empezaron a utilizar como vía de expansión los programas que se descargaban por Internet.
Los medios más utilizados de propagación son el email (correo por Internet) y las páginas Web.
Utilizar el correo como medio de dispersión tiene varias ventajas desde el punto de vista de los
virus. Es un medio muy rápido y utilizado por muchas personas, un virus puede replicarse millones
de veces en pocos días de la siguiente forma.
El virus llega por correo a un ordenador y se autoenvía a todas las direcciones de correo que
figuren en la Libreta de Direcciones. Al llegar a otro ordenador se vuelve a autoenviar a todas las
direcciones que figuren en él, y así sucesivamente.
Los virus que utilizan las páginas Web e Internet también son capaces de reproducirse muy
rápidamente puesto que una página puede ser visitada por miles de personas al dia.
El ciclo de vida de un virus podría ser este, entra en nuestro ordenador, es decir, nos infecta, se
ejecuta y causa, normalmente, daños, luego intenta copiarse en otros ordenadores, es decir
propagarse. Cuando es detectado por algún programa antivirus o por el usuario es eliminado y
muere. Vamos a ver todo esto con más detalle.
¿Como actúa un Virus Informático?
El ciclo de los virus informático es muy similar al de los biológicos (de ahí su nombre).

2. Infección: Al ejecutar un archivo infectado (el código del virus se ha implantado en el archivo
anteriormente) comienza la fase de infección, duplicándose e implantándose en otros archivos
ejecutables. Comienza la "invasión" del sistema informático. La víctima, aún no es consciente de la
existencia del virus ya que este permanece oculto y sin causar daños apreciables.
Expansión: El virus pasará a otros ordenadores, a través de redes informáticas, disquetes y CDs
que contengan archivos infectados, software en Internet, archivos adjuntos a mensaje
electrónicos, etc.
Explosión: Si el virus no ha sido detectado y destruido por algún programa antivirus, en un
momento determinado o bajo determinadas circunstancias, tomará el control del ordenador
infectado, ejecutando la acción para la que fue programado. En este momento, debido a los
trágicos efectos que pueden llegar a ocasionar, se hará evidente su existencia, acabando con
información vital contenida en el sistema informático.
Técnicas en las que puede estar programado un Virus.
Técnicas Stealth
Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus.
Habitualmente los virus ocultan el tamaño real de los archivos que han contaminado, de forma
que si hacemos un DIR la información del tamaño de los archivos puede ser falsa. Los virus de
tabla de partición guardan una copia de la FAT original en otro lugar del disco que marcan como
sectores defectuosos para mostrarsela al usuario cuando haga por ejemplo un FDISK. Incluso hay
virus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de su
propio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda.
Tunneling

3. Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio
de una interrupción y tener así un control directo sobre esta.
Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En
este modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1. Se
coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones
comprobando cada vez si se ha llegado a donde se quería hasta
recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.
Antidebuggers
Un debugger es un programa que permite decompilar programas ejecutables y mostrar parte de
su código en lenguaje original. Los virus usan técnicas para evitar ser desemsamblados y así
impedir su análisis para la fabricación del antivirus correspondiente.
Polimorfismo o automutación
Es una técnica que consiste en variar el código virico en cada infección ( más o menos lo que hace
el virus del SIDA en los humanos con su capa protéica ). Esto obliga a los antivirus a usar técnicas
heurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscandolo por
cadenas de código. Esto se consigue utilizando un algoritmo de encriptación que pone las cosas
muy difíciles a los antivirus. No obstante no se puede codificar todo el código del virus, siempre
debe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus.
La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta
operación es reversible:

4. 7 XOR 9 = 2
2 XOR 9 = 7
En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obiene
una codificación también distinta.
Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico.
TSR
Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su
ejecución.
Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y
contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la
computadora permanezca encendido. Por eso una de las primeras cosas que hace al llegar a la
memoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando se
vuelva a arrancar la computadora volverá a ser cargado en memoria.
Precauciones para evitar el contagio de Virus Informático
Hoy en día los virus se propagan de múltiples formas, sobre todo el envío de virus por correo se
ha convertido en algo común y hay que tomar precauciones, cuantas más mejor.
No hay que abrir correos de desconocidos o que nos merezcan poca confianza.
No abrir archivos adjuntos si no se tiene la certeza de su contenido incluso si proviene de una
dirección "amiga".

5. También es conveniente fijarse en el texto del Asunto, si es un texto sin un significado claro
puede ser un síntoma de que el correo contiene un virus ya que algunos virus generan el asunto
juntando varias palabras al azar.
Desactivar la opción de "Vista previa" de algunos programas de correo, como por ejemplo el
Outlook Express. Así evitamos que siempre se lea el mensaje para poder mostrar la Vista Previa.
Aquí puedes ver cómo hacerlo.
Es más seguro leer el correo utilizando el webmail o correo a través de la web, como Hotmail,
Yahoo, Hispavista, etc. Esto es así por dos razones fundamentalmente. La primera es que al leer
por la web podemos hacer que no se grabe nada en nuestro disco duro desactivando la copia de
páginas en caché. Ojo que si abrimos los archivos adjuntos sí se pueden grabar archivos en nuestro
ordenador. La segunda razón es porque los servidores de correo web suelen tener buenos filtros
antivirus.
Hay que tener mucho cuidado con los archivos y programas que nos bajamos de Internet,
especialmente de sitios sospechosos.
Los programas antivirus pueden trabajar de dos formas básicas. De forma permanente y bajo
petición.
De forma permanente quiere decir que el antivirus se instala de forma residente en memoria y
busca virus en todos los archivos que se abren o descargan de Internet. Es la forma más segura de
protegerse de los virus. Tiene el pequeño inconveniente que consume memoria RAM y en algunas
ocasiones puede interferir el funcionamiento de algunos programas.
De forma puntual o bajo petición, podemos tener el antivirus desactivado y activarlo sólo
cuando consideremos que hay peligro de contagio, por ejemplo cuando descargamos archivos de
Internet, copiamos un disquette o instalamos un programa nuevo.
Es conveniente tener activado el antivirus de forma permanente.

6. Hay que actualizar frecuentemente el programa antivirus, ya que cada poco tiempo aparecen
virus nuevos que un antivirus no puede detectar hasta que no es actualizado.
Si sólo utilizamos software legal es más dificil que nos contagiemos.
Por muchas precauciones que tomemos no está garantizado al 100% que no nos podamos
infectar, por lo tanto conviene realizar copias de seguridad de nuestros datos en CD u otros
medios. Si se estropea el ordenador por otras causas ajenas a los virus también agradeceremos
tener una copia de seguridad.
Todas las precauciones se resumen en tres, utilizar un buen programa antivirus actualizado, no
grabar archivos sin garantía y no abrir correos de remitente desconocido.
Eliminación
La eliminación de un virus implica extraer el código del archivo infectado y reparar de la mejor
manera el daño causado en este. A pesar de que los programas antivirus pueden detectar miles de
virus, no siempre pueden erradicar la misma cantidad, por lo general pueden quitar los virus
conocidos y más difundidos de los cuales pudo realizarse un análisis profundo de su código y de su
comportamiento. Resulta lógico entonces que muchos antivirus tengan problemas en la detección
y erradicación de virus de comportamiento complejo, como el caso de los polimorfos, que utilizan
métodos de encriptación para mantenerse indetectables. En muchos casos el procedimiento de
eliminación puede resultar peligroso para la integridad de los archivos infectados, ya que si el virus
no está debidamente identificado las técnicas de erradicación no serán las adecuadas para el tipo
de virus.
Hoy en día los antivirus más populares están muy avanzados pero cabe la posibilidad de que este
tipo de errores se de en programas más viejos. Para muchos el procedimiento correcto sería
eliminar completamente el archivo y restaurarlo de la copia de respaldo. Si en vez de archivos la
infección se realizó en algún sector crítico de la unidad de disco rígido la solución es simple,
aunque no menos riesgosa. Hay muchas personas que recomiendan reparticionar la unidad y
reformatearla para asegurarse de la desaparición total del virus, cosa que resultaría poco

7. operativa y fatal para la información del sistema. Como alternativa a esto existe para el sistema
operativo MS-DOS / Windows una opción no documentada del comando FDISK que resuelve todo
en cuestión de segundos. El parámetro /MBR se encarga de restaurar el registro maestro de
booteo (lugar donde suelen situarse los virus) impidiendo así que este vuelva a cargarse en el
inicio del sistema. Vale aclarar que cualquier dato que haya en ese sector será sobrescrito y puede
afectar mucho a sistemas que tengan la opción de bootear con diferentes sistemas operativos.
Muchos de estos programas que permiten hacer la elección del sistema operativo se sitúan en
esta área y por consiguiente su código será eliminado cuando se usa el parámetro mencionado.
Para el caso de la eliminación de un virus es muy importante que el antivirus cuente con soporte
técnico local, que sus definiciones sean actualizadas periódicamente y que el servicio técnico sea
apto para poder responder a cualquier contingencia que nos surja en el camino.