1. ¿QUE ES UN VIRUS INFORMÁTICO?
Un virus informático es un programa, elaborado por una o varias personas, en un
lenguaje de programación cualquiera, cuyo propósito es causar algún tipo de daño o
problema al ordenador que lo aloja.
Es bien conocido que los virus suelen ser creados por estudiantes de informática,
ansiosos en probar que son los mejores programadores, con poca moral, pero también
son fruto a veces de las mismas empresas que fabrican los antivirus que manipulan al
mercado consumidor.
¿Antivirus? -
Muy sencillo: programas dedicados a detectar y eliminar virus; por suerte, no existe un
virus sin su antivirus correspondiente, aunque el problema es que es posterior siempre, es
decir, los programas de virus llevarán por desgracia la delantera en todos los casos.
Si tu eres cuidadoso con los programas que utilizas, la información que introduces a tu
ordenador y con los lugares que visitas en Internet, es muy posible que nunca tengas
problemas con virus informáticos, lo que sí es indispensable es que tengas instalado un
buen antivirus y además siempre actualizado.
TIPOS DE VIRUS
Vamos a ver ahora una clasificación de virus basada en varias de sus características
más importantes, como pueden ser su forma de contaminar, de activarse o de las partes
del ordenador infectado a las que ataca. Hay que destacar que es frecuente considerar
como virus a otras entidades software que igualmente atacan a un ordenador anfitrión,
como troyanos, gusanos, etc. Más adelante estudiaremos este tipo de programas,
centrándonos ahora en los que podemos llamar virus verdaderos.
Podemos distinguir fundamentalmente los siguientes tipos de virus:
Virus del sector de arranque: que se instalan en el sector de arranque de los discos duros
del ordenador infestado, con lo que cada vez que se arranca el equipo el virus se ejecuta y
se carga en memoria. Originalmente este tipo de virus se instalaba en el sector de
arranque de DOS, pero ya existen diversos virus que son capaces de hacerlo en el registro
de arranque principal, como es el caso de virus MBR. También entran dentro de este tipo
los virus que infectan el sector de arranque de los disquetes flexibles, aunque
actualmente estos virus son cada vez más difíciles de encontrar.
2. 2) virus de sistema: creados para afectar en primer lugar al fichero COMMAND.COM y a
partir de él extenderse a otras áreas vitales del sistema, como el sector de arranque o el
Máster Boot Record.
3) virus parásitos o de fichero: son los más comunes en la actualidad, e infectan a
programas ejecutables, tipo .exe, .bat o.com. Cuando el programa infectado es ejecutado
por el usuario, a la vez que se carga este se carga también el virus, quedando residente
en memoria, y desde ese momento puede rastrear la actividad en el equipo buscando
otros programas en ejecución a los que contaminar.
4) virus de macro: aparecieron en 1995, y basan su poder de infección en la asociación a
programas o ficheros que contienen rutinas de código ejecutable destinadas a hacer más
simple su uso por parte del usuario. Estas porciones de código especial reciben el nombre
de macros, y se pueden encontrar por ejemplo en los programas comunes de Microsoft
Office, como Word, Acces o Excel. Un virus de este tipo es simplemente una macro
diseñada para uno de estos programas, que se ejecuta cuando el documento que la
contiene es abierto por el usuario, cargándose en memoria y quedando disponible para
infectar otros documentos análogos. Estos virus poseen la capacidad de infectarse y
propagarse por sí mismos, sin necesidad de intervención de ningún programa anfitrión.
Aunque están escritos en lenguajes de macro, pueden no sólo infectar documentos que
las utilicen, si no que pueden estar programados para dar órdenes directas al sistema
operativo, pudiendo por tanto dar órdenes de borrado de ficharos, formateo, etc.
5) virus multiparticiones: que son un híbrido entre los virus de sector de arranque y los de
programa.
6) virus polimórficos o mutacionales: que van cambiando su propio código a medida que
se reproduce, de tal forma que las cadenas que lo forman no son las misma de una copia
a otra. Además, pueden autoencriptarse en cada modificación, por lo que son los más
difíciles de detectar y eliminar.
7) virus anexados: que suelen ir acompañando a mensajes de correo electrónico, y que
aparecieron en 1999. Al principio había que abrir este fichero anexado al mensaje de e-
mail (como ocurre con el popular virus del enanito), pero ya se han dado casos de virus
que infectan sólo por el hecho de leer e-mails en formato HTML, como BubbleBoy.
LOS "PSEUDO-VIRUS"
Hemos visto antes que un virus es todo código capaz de autoreproducirse, realice
o no otras misiones destructivas, y hemos visto también los diferentes tipos de
virus que podemos encontrar. Pero a veces podemos encontrar definiciones como
Troyanos, Gusanos, etc. asociadas a las de virus. En realidad estos tipos de
programas infectivos no son virus en el sentido estricto, aunque muchos de ellos
poseen características compartidas con los virus. Vamos a ver qué son estos tipos
de programas dañinos.
TROYANO: Un programa informático que tiene la capacidad de ocultarse dentro de
otro de apariencia inofensiva, de tal forma que cuando este programa anfitrión es
ejecutado, el troyano se carga en memoria y realiza la labor dañina para la que
fue diseñado. A diferencia de los virus, los troyanos no se duplican a sí mismos.
Para activarse, un troyano necesita que se abra el archivo al que va asociado, al
que ha infectado, y una vez que se ha activado normalmente queda residente en
memoria usando el procedimiento TSR (Terminate and Stay Resident), quedando
así a la espera de que ocurra un determinado evento para realizar su tarea
destructiva.
A diferencia de los virus, diseñados fundamentalmente para reproducirse y
3. extenderse, los troyanos son creados muchas veces para obtener información
privilegiada del ordenador en el que habitan, ya sea accediendo a un fichero de
contraseñas y enviándolo por Internet, bien abriendo puertas traseras que
permiten luego el acceso a nuestro sistema de personas indeseadas. A este
último tipo pertenecen dos de los programas más usados por los amigos de lo
ajeno: Back Orífice y NetBus, verdaderos troyanos que abren una puerta trasera en
sistemas Windows, permitiendo el control TOTAL de nuestro ordenador a personas
desconocidas.
GUSANO: Un programa que es capaz de duplicarse a sí mismo a través de
disquetes o de conexiones a la red, pero no es capaz de infectar a otros
programas. Los gusanos de tipo anfitrión utilizan la red para copiarse a sí mismos,
mientras que los de tipo de red extienden partes de sí mismos por las redes,
basándose luego en conexiones de red para ejecutar sus distintas partes. En caso
de que el ordenador no está conectado a la red, los gusanos pueden copiarse en
distintas partes del disco duro.
DROPPER: Programas diseñados específicamente para evitar su detección por
parte de los antivirus. Su misión principal es la de transportar e instalar virus.
Normalmente se cargan en memoria y esperan que ocurra un evento
determinado, momento en el que se activan e infectan el sistema con el virus que
contienen.
BOMBA: Programas cuya misión es activarse en un momento prefijado,
normalmente utilizando para ello el reloj del sistema, aunque también pueden
responder al número de veces que se ejecuta un programa dado, por ejemplo.
Un ejemplo simple de este tipo de programas son las Bombas ANSI , secuencias
simples de comandos de tipo texto que al ser cargadas por el driver ANSI pueden
modificar desde la respuesta del teclado hasta lo presentado en pantalla,
pudiendo ser difundidas a través de Intranets o de Internet. Un ejemplo de
actuación de este tipo de bombas es la ejecución de una serie de órdenes
indeseadas cuando el usuario teclea una secuencia dada de caracteres en el
teclado.
MAIL BOMBER: Programas que pueden ser configurados para enviar grandes
cantidades de correo a un mismo destinatario, saturando con ello su buzón e
incluso bloqueándolo. Muchas veces realizan este envío masivo a través de
servidores de correo anónimos, para evitar que sea detectado su origen.
-
HOAXES (bromas): Mensajes de alarma que se envían por correo, advirtiendo al
personal de la existencia de determinados virus muy peligrosos, generalmente
desconocidos e inexistentes. Su contenido es totalmente falso, y su única misión
es provocar el pánico entre los internautas, consiguiendo con ello que se produzca
un envío masivo del mismo, produciéndose una reacción en cadena que puede
ocasionar la saturación de los servidores de correo y la congestión de las líneas de
Internet.
JOKES: Una especie de broma (no son virus) de mal gusto, que tienen por objeto
hacer creer al usuario que ha sido contaminado por un virus, simulando el
comportamiento que tendría un virus real, pero sin dañar en la más mínimo el
sistema que lo acoge.
4. Así por ejemplo, un joke puede mostrar en pantalla un mensaje de que el disco
duro se está formateando, a la vez que aparece una barra de progreso que va
avanzando. Da la sensación de que esa operación se está efectuando, pero en
realidad no es así, y no tiene consecuencias posteriores. Lo único negativo es que
se instalan en el sistema sin nuestro permiso y el susto que nos pueden dar.
Las características de los Antivirus
Capacidad de detección y desinfección: Es lógico. Un antivirus será mejor cuanto
más virus sea capaz de detectar y eliminar. Es más peligroso pensar que no se
tiene un virus que tener la duda, por ello no hay nada peor que sentirse seguro con
un antivirus desfasado o que ofrezca pocas garantías.
Heurística: Es la capacidad de detectar virus desconocidos por medio de sondeos
del sistema en busca de "síntomas" clásicos de infección como pueden ser fechas
extrañas en ficheros, programas residentes en memoria, configuración extraña del
sistema (como por ejemplo que Windows 95 tenga activado el modo de
compatibilidad MS-DOS), etc. El problema de la heurística es que puede dar
"falsos positivos" es decir, puede dar por infectado un fichero que en realidad no
lo está.
Velocidad: Hoy en día los discos duros son enormes, y si pensamos en intranets y
redes corporativas la cantidad de datos a escanear puede ser colosal.
Por lo tanto se valorará en un antivirus la capacidad de escanear rápidamente.
Actualización: Cada día aparecen cientos de virus nuevos, para que un antivirus
sea capaz de eliminar un virus es necesario que incluya la información del virus y
su antídoto en las librerías o bases de datos víricas.
La posibilidad de actualizar esas librerías (sobre todo a través de internet) es un
factor fundamental.