1. a.- Definición
Hoy se denomina virus al software dañino que, una vezinstalado en
una computadora (ordenador), puede destruir los datos almacenados. Estos virusse conocen
específicamente como virus informáticos.
Un virus informático entraen la categoría de malware: un software confines maliciosos. Su
objetivo esafectar el funcionamiento de la máquina sin que el usuario lo adviertao lo autorice.
Por eso estos programas se “camuflan” detrás de una aparienciainofensiva: pueden ofrecerse
como juegos, películas o música, por ejemplo, pero en realidad se trata de virus.
b.- Características
1.-Los virusinformáticospueden borrar información, saturar una red , exhibir carteles
molestos o apagar la computadora, entre otrasposibilidades. Para proteger un equipo de
infeccionesy eliminar virus, existenlos llamados antivirus, que son programas especialmente
creadospara combatir al software malicioso.
2.- Pueden infectar múltiples archivosde la computadorainfectada(y la red a la que
pertenece):Debido a que algunos virus residen en la memoria, tan pronto como un disquete o
programa es cargado en la misma, el virusse “suma” o “adhiere” a la memoria misma y luego es
capaz de infectar cualquier archivo de la computadoraa la que tuvo acceso.
2.- Pueden ser Polimórficos:Algunosvirustienen la capacidad de modificar su código, lo que
significa que un virus puede tener múltiples variantessimilares, haciéndolosdifíciles de
detectar.
3.- Pueden ser residentes en la memoria o no: Como lo mencionamos antes, un viruses capaz
de ser residente, es decir que primero se carga en la memoria y luego infectala computadora.
Tambiénpuede ser "no residente", cuando el código del viruses ejecutado solamente cada vez
que un archivo esabierto.
4.-Pueden ser furtivos:Los virusfurtivos(stealth) primero se adjuntarán ellos mismos a
archivosde la computadoray luego atacarán el ordenador, esto causa que el virusse esparza
más rápidamente.
5.- Los virus pueden traer otrosvirus: Un virus puede acarrear otro virushaciéndolo mucho
más letal y ayudarse mutuamente a ocultarse o incluso asistirlo para que infecte una sección
particular de la computadora.
6.- Pueden hacer que el sistema nunca muestre signos de infección: Algunosvirus pueden
ocultar los cambios que hacen, haciendo mucho más difícilque el virussea detectado.
7.-Pueden permanecer en la computadoraaún si el disco duro es formateado:Si bien son muy
pocoslos casos, algunos virustienen la capacidadde infectar diferentesporcionesde la
computadoracomo el CMOS o alojarse en el MBR (sector de buteo).
c.- Funcionamiento
Se ejecutaun programa que está infectado, en la mayoríade las ocasiones, por
desconocimiento del usuario.
El código del virus queda residente (alojado) en la memoria RAMde la computadora, aun
cuando el programa que lo conteníahaya terminado de ejecutarse.
2. El virustoma entonces el controlde los serviciosbásicosdelsistema operativo, infectando, de
manera posterior, archivosejecutables(.exe., .com, .scr, etc)que sean llamados para su
ejecución.
Finalmente se añade el código del virusal programa infectado y se graba en el disco, con lo
cual el proceso de replicado se completa.
El funcionamiento de los viruscoincide en sus líneas esenciales conel de los demás programas
ejecutables, toma el controldel ordenador y desde allí procede a la ejecuciónde aquello para lo
que ha sido programado.
Generalmente están diseñados para copiarse la mayor cantidad de vecesposible, bien sobre el
mismo programa yainfectado o sobre otrostodavíano contaminados, siempre de formaque al
usuario le sea imposible o muy difícil darse cuenta de la amenaza que está creciendo ensu
sistema. El efecto que produce un viruspuede comprender accionestales como un simple
mensaje en la pantalla, disminución de la velocidadde proceso delordenador o pérdida totalde
la información contenidaen su equipo.
En la actuaciónde un virusse pueden distinguir tres fases:
1. El contagio:El contagio inicial o los contagios posterioresse realizan cuando el programa
contaminado está en la memoria para su ejecución. Las vías por las que puede producirse la
infecciónde su sistema son disquetes, redes de ordenadoresy cualquier otro medio de
transmisión de información. Los disquetes son por el momento, el medio de contagio más
extendido en nuestro país. Estos disquetes contaminantes suelen contener programas de fácily
libre circulacióny carecende toda garantía. Es el caso de los programas de dominio público, las
copias ilegales de los programas comerciales, juegos, etc.
2. El virusactivo:Cuando se dice que un virus se activasignifica que el virustoma el control del
sistema, y a la vezque deja funcionar normalmente a los programas que se ejecutan, realiza
actividadesno deseadas que pueden causar daños a los datos o a los programas.
Lo primero que suele hacer el viruses cargarse en la memoria del ordenador y modificar
determinadas variablesdel sistema que le permiten "hacerse un hueco" e impedir que otro
programa lo utilice. A esta acciónse le llama "quedarse residente". Así el virus queda a la
espera de que se den ciertascondiciones, que varíande unos virus a otros, para replicarse o
atacar.
La replicación, que es el mecanismo más característico y paramuchos expertosdefinitorio de la
condiciónde virus, consiste básicamente en la producciónpor el propio virusde una copia de si
mismo, que se situará en un archivo. El contagio de otrosprogramas suele ser la actividadque
más vecesrealizael virus, yaque cuanto más deprisa y más discretamente se copie, más
posibilidades tendrá de dañar a un mayor número de ordenadoresantes de llamar la atención.
3. El ataque: Mientras que se van copiando en otrosprogramas, los viruscompruebansi
determinada condiciónse ha cumplido para atacar, por ejemplo que sea cinco de enero en el
caso del conocido virusBarrotes. Es importante tener en cuenta que los virusson diseñados
con la intención de no ser descubiertospor el usuario y generalmente, sin programas antivirus,
no es descubierto hasta que la tercerafase del ciclo de funcionamiento del virus se produce el
daño con la consiguiente pérdida de información.
d.- Tipos de Virus Informáticos según su destino de infección
3. Infectores de archivos ejecutables
o Afectanarchivosde extensiónEXE, COM, BAT, SYS, PIF, DLL, DRV
o Infectoresdirectos
El programa infectado tiene que estar ejecutándose para que el viruspueda funcionar (seguir
infectando y ejecutar sus accionesdestructivas)
Infectores del sector de arranque (boot)
Tanto los discosrígidos como los disquetescontienen un Sector de Arranque, el cual contiene
informaciónespecíficarelativaal formato del disco y los datos almacenados en él. Además,
contiene un pequeño programa llamado Boot Programque se ejecuta al bootear desde ese disco
y que se encargade buscar y ejecutar en el disco los archivosdel sistema operativo. Este
programa es el que muestra el famoso mensaje de "Non-systemDisk or Disk Error" en caso de
no encontrar los archivosdel sistema operativo. Este es el programa afectado por los virusde
sector de arranque. La computadorase infectacon un virus de sector de arranque al intentar
bootear desde un disquete infectado. En este momento el virusse ejecuta e infectael sector de
arranque del disco rígido, infectando luego cadadisquete utilizado en el PC. Es importante
destacar que como cadadisco posee un sector de arranque, es posible infectar el PC conun
disquete que contenga solo datos.....
Virus Multi Partición
Bajo este nombre se engloban los virus que utilizan los dos métodosanteriores. Es decir,
pueden simultáneamente infectar archivos, sectoresboot de arranque y tablas FAT.
Infectores residentes en memoria
El programa infectado no necesitaestar ejecutándose, el virusse aloja en la memoria y
permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de
destrucción
Macrovirus
Son los virusmas populares de la actualidad. No se transmiten a travésde archivosejecutables,
sino a travésde los documentosde las aplicacionesque poseen algún tipo de lenguaje de
macros. Entre ellas encontramostodas las pertenecientesal paquete Office (Word, Excel,
Power Point, Access)y también el Corel Draw, o AutoCAD.
Cuando uno de estosarchivosinfectado es abierto o cerrado, el virustoma el controly se copia
a la plantilla base de nuevosdocumentos, de forma que sean infectadostodos los archivosque
se abran o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applicationsson muy poderososy poseen
capacidadescomo para cambiar la configuracióndel sistema operativo, borrar archivos, enviar
e-mails, etc.
De Actives Agents y Java Applets
En 1997, aparecenlosJava applets y Activescontrols. Estospequeñosprogramas se graban en
el disco rígido del usuario cuando está conectado aInternet y se ejecutan cuando la página web
sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir
ancho de banda. Los virusdesarrolladoscon Javaapplets y Activescontrolsaccedenaldisco
rígido a travésde una conexiónwww de manera que el usuario no los detecta. Se pueden
programar para que borreno corrompanarchivos, controlenla memoria, envíeninformacióna
un sitio web, etc.
De HTML
Un mecanismo de infecciónmás eficiente que el de los Javaapplets y Activescontrolsapareció
4. a fines de 1998con los virusque incluyensu código en archivosHTML. Con solo conectarse a
Internet, cualquier archivo HTML de una página web puede contener y ejecutar un virus. Este
tipo de virusse desarrollanen Visual Basic Script. Atacana usuarios de Win98, 2000 y de las
últimas versionesde Explorer. Esto se debe a que necesitan que el Windows Scripting Host se
encuentre activo. Potencialmente puedenborrar o corromper archivos.
Caballos de Troya
Los troyanosson programas que imitan programas útiles o ejecutan algún tipo de acción
aparentemente inofensiva, pero que de forma ocultaal usuario ejecutanel código dañino.
Los troyanosno cumplen con la función de autorreproducción, sino que generalmente son
diseñados de formaque por su contenido sea el mismo usuario el encargado de realizar la tarea
de difusión del virus. (Generalmente son enviadospor e-mail)
Tipos de Virus Informáticos según sus acciones y/o modo de activación
Bombas
Se denominan así a los virusque ejecutan su accióndañina como si fuesenuna bomba. Esto
significa que se activansegundos después de verse el sistema infectado o después de un cierto
tiempo (bombas de tiempo) o al comprobarse cierto tipo de condiciónlógica del equipo.
(bombas lógicas). Ejemplos de bombas de tiempo son los virusque se activanen una
determinada fecha u hora determinada. Ejemplos de bombas lógicasson los virusque se
activancuando al disco rígido solo le queda el 10% sin uso, una secuenciade teclaso comandos,
etc. Ejemplos de este tipo de programas son viruscomo Viernes 13 o el virusMiguel Angel
Camaleones
Son una variedadde virussimilares a los caballos de Troyaque actúancomo otrosprogramas
parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de
daño. Cuando están correctamente programados, loscamaleones pueden realizar todas las
funcionesde los programas legítimos a los que sustituyen (actúan como programas de
demostraciónde productos, los cualesson simulaciones de programas reales).
Un software camaleónpodría, por ejemplo, emular un programa de acceso a sistemas remotos
realizando todas las accionesque ellosrealizan, pero como tarea adicional (y ocultaa los
usuarios) va almacenando en algún archivo losdiferentes logins y password para que
posteriormente puedan ser recuperadosy utilizados ilegalmente por el creador del virus
camaleón.
Reproductores
Los reproductores(también conocidoscomo conejos-rabbits)se reproducenen forma
constante una vezque son ejecutadoshasta agotar totalmente (con su descendencia) el espacio
de disco o memoria del sistema.
La única función de este tipo de viruses crear clones y lanzarlos a ejecutar para que ellos hagan
lo mismo. El propósito es agotar los recursosdel sistema, especialmente en un entorno
multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el
procesamiento normal.
Gusanos (Worms)
Los gusanos utilizan las redesde comunicacionespara expandirse de sistema en sistema. Es
decir, una vezque un gusano entra a un sistema examina las tablas de ruta, correo u otra
informaciónsobre otrossistemas, a fin de copiarse en todosaquellos sistemas sobre los cuales
encontró información. Este método de propagaciónpresenta un crecimiento exponencialconlo
que puede infectar en muy corto tiempo a una red completa.
5. Existen básicamente 3 métodosde propagación en los gusanos:
1 - Correo electrónico -El gusano envía una copia de sí mismo a todoslos usuarios que
aparecenen las libretas de direccionesque encuentraen el ordenador dónde se ha
instalado.
2 - Mecanismos basados en RPC (Remote Procedure Call) - El gusano ejecutauna copia
de sí mismo en todoslos sistemas que aparecenen la tabla de rutas(rcopy y rexecute).
3 - Mecanismos basados en RLOGIN - El gusano se conectacomo usuario en otros
sistemas y una vezen ellos, se copia y ejecutade un sistema a otro.
Backdoors
Son también conocidoscomo herramientasde administración remotas ocultas. Son programas
que permiten controlar remotamente el PCinfectado. Generalmente son distribuidoscomo
troyanos.
Cuando un virusde estoses ejecutado, se instala dentro del sistema operativo, al cual
monitorea sin ningún tipo de mensaje o consultaal usuario. Incluso no se le ve en la lista de
programas activos. Los Backdoorspermitenal autor tomar total controldel PC infectado y de
esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc....
e.- Historia
En 1949, elfamoso científico matemático John Louis VonNeumann, que expuso su "Teoría y
organización de autómatas complejos", donde mostro la posibilidad de desarrollar programas
que pudiesen tomar el controlde otros, de similar estructura
La computaciónes una disciplina relativamente nueva que es consideradacomo un
parte aguas debido al aporte que representapara la humanidad, la ciencia, la
tecnología, la comunicacióny por su gran auge en la vida cotidiana; así como la
computaciónse ha desarrollado en forma vertiginosa, también ha crecido
notablemente el desarrollo de los virus, yaque hoy en día se descubrenmas de 300
viruscada mes, aunque al inicio solo eran unos cuantos virusinofensivos. A
continuaciónhacemos una reseña históricadel desarrollo que han tenido los virus:
En Estados Unidos apareció por primera vezun virusen el año de 1974, siete
años antes de que IBM lanzara al mercado la ComputadoraPersonal (PC).
Noticiassobre los primerosvirus, en aquel entoncesllamados Gusanos
(worms) aparecieronen medios impresos a inicios de 1980.
En los laboratoriosde la Compañía Rank Xerox se descubrió que la principal
característicade los viruses su capacidadde auto reproducción.
A pesar de su desarrollo tecnológico, elprimer virus en el Reino Unido fue
descubierto hasta el año de 1987, año en el que apareció por primera vezen la
Universidadde Delaware el primer virusen el sector de arranque de un
disquete. Tambiénen ese año nació el poderoso virus"Dark Avenger".
En ese mismo año surge la primera organizaciónde las compañías
desarrolladorasde antivirus:
o European Institute of AntivirusResearch(EICAR), la cual surge como
un medio para combatir a las organizaciones desarrolladorasde virus,
que estaban surgiendo con gran auge. EICAR se fundó en diciembre
6. de 1987 consede en la Ciudad de Hamburgo.
Aparecennuevosproductosantivirus:
o Nortonen diciembre de 1990.
o CPAV en abril de 1991.
o El desarrollo de nuevosvirustuvo gran auge en los años 1991, 1992 y
1993.
o Se creael primer boletín(BBS) para el intercambio de virus en
Bulgaria.
o Surge el virusMiguel Ángel en 1992, considerado como "la joyade los
virus"
o En el año de 1993 se distribuyó por primera vezel código "engines" de
tipo polimórfico. En este año la compañía XTREEse convirtió enla
primera compañía antivirus en retirarse del mercado.
o En Holanda, el líder del Grupo Trident, Masouf Khafir escribió el
"Trident Polymorphic Engine" (TPE).
o En 1993, México tomaconcienciadel problema que representan los
virus, yaque más del 70 % de los equipos en México se vieron
infectadaspor este virus.
o En el año de 1994 se alcanzó la cifrade 6000 en el campo y
continuaba creciendo en formaacelerada. En este año se presentó la
primera falsa alarma conel virus"GoodTimes" que se suponía estaba
siendo enviado por correo electrónico y resultó ser una falsa alarma.
o En 1995 surgen los macro virus, con los cuales se podía infectar una
computadoracon cualquier plataformacon el simple hecho de
intercambiar archivosde datos.
o En agosto de 1995 surge el virus DIRBYWAY, que tomael controldel
File Systemde DOS. En este año surge también el virusWinWord
Concept, virusmulti plataformas que atacaa todoslos usuarios de
Worden el mundo.
o En enero de 1996 aparece el primer macro virus que infecta
documentosde AMIPROconocido como Green Stripe.
o En febrero de 1996 se creael primer macro viruspara la plataforma
Windows95 llamado BOZA.
o En julio de 1996aparece el virusXM.LAROUX, el primer viruspara
Excelescrito en Visual Basic for Aplications(VBA). En este mismo
mes aparece el virusmuy peligroso que causó grandes daños en
empresas de Canadá y Estados Unidos: Hare Krsna.
o En 1996Microsoft distribuyó CD's de SolutionProvider infectados
con el macro virus WAZZU. En este mismo año se desarrolló el primer
virusen México, se trata del virusROTCEH que se desarrolló en el
Instituto Politécnico Nacional, este virus nunca se activadebido a un
bug de programación.
o En noviembre de 1996aparecenen México losmacro virus WAZZU,
NPAD y MDMA.
o A inicios de 1997 surge un virusque impedía el encendido en limpio
7. de computadoras, el nombre del virus es INTCEy solo pudo ser
removido por Dr. Solomon's.
o En febrero de 1997, se descubre un nuevo macro virusllamado
ShareFun, que utiliza Microsoft Mail como medio de dispersión para
infectar documentos.
o En 1999se produce la fusión de Dr. Solomon's conNetwork
Associates, lo que produjo la compañía antivirus más grande del
mundo y los productosantivirusmás seguros, eficientes, robustosy
populares del mercado.
o En 1999se produce en México una infecciónmasivacon el virus
Melissa, el cual se transmite por correo electrónico tomando la lista de
direccióny autoenviandose a cada destinatario.
o En Diciembre de 1999se produjo gran expectaciónpor el fin de siglo
yaque se esperabaque se produjeran grandes catástrofespor el "Error
del Milenio", todo fue superado sin problemas gracias a las acciones
tomadas por las diversas entidades tanto públicas como privadas.
f.- Principales Virus
Existen diversos tipos de virus informáticos pero los principales son estos:
Troyano: Consiste en robar información o alterar el sistema del hardware o en un caso
extremo permite que un usuario externo pueda controlar el equipo.
Gusano: Tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes
automáticas de un sistema operativo que generalmente son invisibles al usuario.
Bombas lógicas o de tiempo: Son programas que se activan al producirse un
acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo),
una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se
produce la condición permanece oculto al usuario.
Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por sí solos. Son
mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus
contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de
cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en
cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas
novatos.
Joke: Al igual de los hoax, no son virus, pero son molestos, un ejemplo: una página
pornográfica que se mueve de un lado a otro, y si se le llega a dar a errar es posible que
salga una ventana que diga: OMFG!! No se puede cerrar!
g.- Medidas de protección
Realizar periódicascopias de seguridad de nuestrosdatos.
Evitar descargar archivosde lugares no conocidos.
No aceptar software no original o pre-instalado sin el soporte original.
Proteger losdiscos contraescritura, especialmente los de sistema.
8. Analizar todos los nuevosdiscosque introduzcamos en nuestro sistema con un antivirus,
incluso los discosvacíos(pues pueden contener virusen su sector de arranque).
Analizar periódicamente el disco duro, para evitar que algún virusse cargue en memoria
previamente al análisis.
Actualizar los patrones de los programas de antivirus cada uno o dos meses, algunos paquetes
lo hacen automáticamente.
Intentar recibir los programas que necesitemosde Internet de los sitios oficiales.
Tener especialcuidado conlos archivosque pueden estar incluidos en nuestro correo
electrónico, no abrir archivosde usuarios desconocidos.
Todo viruses un programa y, como tal, debe ser ejecutado para activarse. Es imprescindible
contar con herramientas de deteccióny descontaminación.
Ningún sistema de seguridad es 100% infalible. Por eso todo usuario de computadorasdebería
tratar de implementar medidas de seguridad antivirus, no sólo para proteger su propia
informaciónsino para no convertirse enun agente de propagaciónde algo que puede producir
daños gravese indiscriminados.
h.- Antivirus:
Un antivirus es un programa informático que tiene el propósito de detectar y eliminar virusy
otrosprogramas perjudiciales antes o después de que ingresen al sistema.
Los virus, gusanos, troyanos, spyware sontipos de programas informáticosque suelen
ejecutarse sin el consentimiento (e incluso, conocimiento)del usuario o propietario de un
ordenador y que cumplen diversasfuncionesdañinas para el sistema. Entre ellas, robo y
pérdida de información, alteración del funcionamiento, disrupción del sistema y propagación
hacia otras computadoras.
Los antivirus son aplicacionesde software que han sido diseñados como medida de protección
y seguridad para resguardar los datos y el funcionamiento de sistemas informáticoscaserosy
empresariales de aquellas otras aplicacionesconocidascomúnmente como viruso malware que
tienen el fin de alterar, perturbar o destruir el correcto desempeño de las computadoras.
Un programa de protecciónde virustiene un funcionamiento común que a menudo compara el
código de cada archivo que revisaconuna base de datos de códigos de virusyaconocidosy, de
esta manera, puede determinar si se trata de un elemento perjudicial para el sistema. También
puede reconocer uncomportamiento o patrón de conductatípico de un virus. Los antivirus
pueden registrar tanto los archivosque se encuentran adentro del sistema como aquellos que
procuraningresar o interactuar conel mismo.
Como nuevosvirusse crean en forma casi constante, siempre es preciso mantener actualizado
el programa antivirus, de formade que pueda reconocer alas nuevas versionesmaliciosas. Así,
el antivirus puede permanecer en ejecucióndurante todo el tiempo que el sistema informático
permanezca encendido, o bien, registrar un archivo o serie de archivoscadavezque el usuario
lo requiera. Normalmente, los antivirustambién pueden revisar correoselectrónicosentrantes
y salientes y sitios web visitados.
Un antivirus puede complementarse con otrasaplicacionesde seguridad como firewalls o anti-
spyware que cumplen funciones accesoriaspara evitar el ingreso de virus.