Los métodos de infección más comunes incluyen la adición, inserción, sustitución y polimorfismo. Los virus más destructivos han sido ILOVEYOU, Melissa, Code Red y Sasser. Es posible detectar una infección a través de cambios en los archivos o comportamientos anormales del sistema, y se recomienda usar antivirus y realizar copias de seguridad para protegerse.
1. MÉTODOS DE INFECCIÓN
A la hora de realizar la infección se pueden utilizar diferentes técnicas. Algunas podrían ser las
siguientes:
• Añadidura o empalme: Consiste en agregar al final del archivo ejecutable el código del virus,
para que así una vez se ejecute el archivo, el control pase primeramente al virus y tras ejecutar
la acción que desee, volverá al programa haciendo que funcione de manera normal. El
inconveniente de esta técnica es que el tamaño del archivo será mayor que el original haciendo
que sea más fácil su detección
2. • Inserción: No es una técnica muy usada por los programadores de virus ya que requiere técnicas
de programación avanzadas. El motivo es que este método consiste en insertar el código del virus
en zonas de código no usadas dentro del programa infectado.
• Reorientación: Es una variante del método de inserción. Consiste en introducir el código del virus
en zonas del disco que estén marcadas como defectuosas o en archivos ocultos del sistema. Al
ejecutarse introducen el código en los archivos ejecutables infectados. La ventaja principal es que al
no estar insertado en el archivo, su tamaño puede ser mayor con lo que podría tener una mayor
funcionalidad.
3. • Polimorfismo: Es el método más avanzado de contagio. Consiste en insertar el código del virus
en un ejecutable al igual que el método de añadidura o empalme, pero para evitar que el tamaño
del mismo aumente lo que realiza es una compactación del propio código del virus y del archivo
infectado, haciendo que entre ambos el tamaño del archivo no aumente.
• Sustitución: Es el método más primitivo. Consiste en sustituir el código del archivo infectado por
el código del virus. Cuando se ejecuta, actúa únicamente el código del virus, infectando o
eliminando otros archivos y terminando la ejecución del programa mostrando algún tipo de mensaje
de error.cx
4. • Tunneling: Técnica compleja usada por programadores de virus y antivirus para evitar las
rutinas al servicio de interrupción y conseguir control directo sobre ésta.
El demonio de protección de los antivirus cuelga de todas las interrupciones usadas por los
virus (INT 21, INT 13, a veces INT 25 Y 26), de tal forma que cuando un virus pretende
escribir/abrir un ejecutable el antivirus recibe una alerta donde comprobará si es o no virus y le
permite o no su acceso. Si la llamada no tiene peligro el módulo del antivirus llamará a la INT
21 original.
De esta forma un virus con tunneling intentará obtener la dirección original de la INT 21 que
está en algún lugar del módulo residente del antivirus. Si se consigue obtener esa dirección
podrá acceder directamente a INT 21 sin necesidad de pasar por el antivirus. De esta forma le
"pasará por debajo", lo "tuneleará".
5. LOS 5 VIRUS MÁS FAMOSOS
Según una reciente lista publicada por TechWeb podríamos decir que los 10 virus más
destructivos, y por lo tanto más conocidos de la historia han sido los siguientes (en esta lista no
se reflejan los virus anteriores a 1998 ya que a pesar de ser conocidos por ser los primeros
virus o por la técnica usada, su difusión y peligrosidad era bastante limitada):
6. 2.Code Red (2001) :
• Daño Estimado: 2.6 billones de dólares
• Localización: Code Red, gusano que infectó ordenadores por
primera vez el 13 de Julio de 2001. Exclusivamente atacaba a
máquinas que tuvieran el servidor (IIS) Microsoft's Internet
Information Server aprovechando un bug de éste.
• Curiosidades: También conocido como "Bady", Code Red fue
diseñado para el máximo daño posible. En menos de una semana
infectó casi 400.000 servidores y más de un 1.000.000.
1. ILOVEYOU:
El virus ILOVEYOU es considerado uno de los virus informáticos
más esparcidos en la historia informática. El virus se las arregló para
causar estragos en los sistemas informáticos de todo el mundo,
causando daños por un total estimado de $10 mil millones de dólares.
Se cree que el 10% de los ordenadores conectados a Internet en el
mundo han sido infectados por esta aplicación maliciosa. Era tan
dañino, que los gobiernos y las grandes corporaciones decidieron
dejar de lado el uso del correo electrónico, con la finalidad de evitar la
conexión a internet.
7. Melissa (1999)
• Daño Estimado: 300 a 600 millones de dólares
• Localización: Un Miércoles 26 de Marzo de 1999, W97M/Melissa. Una
estimación asegura que este script afecto del 15% a 20% de los ordenadores
del mundo.
• Curiosidades: El virus usó Microsoft Outlook para enviarse a 50 de los
usuarios de la lista de contactos. El mensaje contenía la frase, "Here is that
document you asked for...don't show anyone else". Anexaba un documento
Word que al ser ejecutado infecto a miles de usuarios.
Sasser (2004)
• Daño Estimado: 10 millones de dólares
• Localización: 30 de Abril de 2004 fue su fecha de lanzamiento y fue
suficientemente destructivo como para colgar algunas comunicaciones
satélites de agencias francesas. También consiguió cancelar vuelos de
numerosas compañías aéreas.
• Curiosidades: Sasser no era transmitido vía mail y no requería usuarios para
propagarse. Cada vez que el gusano encontraba sistemas Windows 2000 y
Windows Xp no actualizados, éste era replicado. Los sistemas infectados
experimentaban una gran inestabilidad.
8. SQL Slammer (2003)
• Daño Estimado: Ya que SQL Slammer apareció un sábado su daño económico fue bajo.
• Curiosidades: SQL Slammer, también conocido como "Sapphire", data del 25 de Enero de
2003. Su objetivo son servidores. El virus era un fichero de solo 376-byte que generaba una
IP de forma aleatoria y se enviaba a sí mismo a estas IPs. Si la IP tenía un Microsoft's SQL
Server Desktop Engine sin parchear podía enviarse de nuevo a otras IPs de manera
aleatoria. Slammer infectó 75,000 ordenadores en 10 minutos.
9. La respuesta es sí. El ataque a una entidad bancaria no depende ni del banco, ni de su localización,
ni de su tamaño, ni de los clientes que tenga, y sí podría disminuir (pero no evitar) el uso de
avanzados sistemas de seguridad.
Actualmente podemos decir que no existe ningún sistema que sea 100% seguro, ya que siempre
existe alguna vulnerabilidad que pueda ser aprovechada por un virus. Obviamente siempre hay
algunos sistemas más seguros que otros.
Es el caso de los Sistemas Operativos. Por lo general, los virus atacan a Windows, ya que es el
Sistema Operativo más extendido y quizás el menos seguro. A pesar de esto, también existen virus
para Linux, Apple,…
De la misma forma han aparecido programas maliciosos para dispositivos móviles. Virus como
PalmOS/Phage, PALM/Liberty, etc, que no son más que programas maliciosos dirigidos
específicamente a dispositivos inalámbricos.
¿PUEDEN SER ATACADOS TODOS LOS SISTEMAS?
10. Detectar la posible presencia de un virus dentro de una computadora no es una tarea sencilla.
Cada vez existen más, mejores y más conocidas técnicas de programación de virus, que
dificultan la labor de detección de los mismos. A pesar de ello podríamos enumerar una serie
de acciones o condicionantes que pueden indicar la presencia de virus, que serían las
siguientes:
¿CÓMO DETECTAR UNA INFECCIÓN?
11. Cambio de longitud en archivos.
Modificación de la fecha original de los archivos.
Aparición de archivos o directorios extraños.
Dificultad para arrancar el PC o no conseguir inicializarlo.
El PC se "re-bootea" frecuentemente
Bloqueo del teclado.
El PC no reconoce el disco duro.
Ralentización en la velocidad de ejecución de los programas.
Archivos que se ejecutan mal.
El PC no reconoce las disqueras.
Se borran archivos inexplicablemente.
Aparecen nuevas macros en documentos de Word.
La opción "ver macros" se desactiva.
Pide passwords no configurados por el usuario.
12. ¿COMO PROTEGERNOS?
Para protegernos:
Evitar el acceso a distintas paginas web en la que no tengamos plena
seguridad de la procedencia de archivo.
Tener una especie de vacuna ( Antivirus ) teniendo en cuenta su
eficiencia ya que no todos protegen a un 100% nuestro ordenador
No realizar descargas de archivos innecesarias como prevención a la
descarga de virus
Realizar copias de seguridad del sistema. Esto es aconsejable en un
ámbito doméstico y es totalmente obligatorio en ámbito empresarial.
13. Como medidas más generales tenemos las siguientes:
• Nunca abrir correos si no se conoce su origen.
• Aún en caso de conocer el origen si se desconfía del contenido o de
sus ficheros adjuntos no abrirlos, ya que puede haber sido enviado
un virus desde el sistema de origen.
• No tener activada la opción de “Vista previa” de algunos programas
de correo electrónico.
• Siempre que podamos leeremos el correo desde Web, ya que si
tenemos desactivada la copia de paginas en cache el virus del
no se grabara en nuestro disco duro y además dichas paginas Web de
correo suelen usar buenos antivirus