El documento describe los diferentes tipos de virus informáticos, incluyendo virus de archivos, virus de sector de arranque, virus multi-partición, retrovirus, macrovirus, virus encriptados, virus polimórficos, bulos (hoax), y jokes. También describe los módulos comunes de los virus (reproducción, ataque, defensa) y los posibles efectos e indicios de una infección viral como lentitud, errores, desaparición de archivos y mensajes extraños.
2. ¿Qué ES UN VIRUS
INFORMATICO?
Es un pequeño programa escrito intencionalmente para
instalarse en el computador de un usuario sin el
conocimiento o el permiso de este.
Decimos que es un programa parásito porque el programa
ataca a los archivos o al sector de "arranque" y se replica a sí
mismo para continuar su propagación.
Algunos se limitan solamente a replicarse, mientras que
otros pueden producir serios daños que pueden afectar a los
sistemas. No obstante, absolutamente todos cumplen el
mismo objetivo: "propagarse".
3. MODULOS DE VIRUS
Módulo de reproducción
Es el encargado de manejar las rutinas de
"parasitación" de entidades ejecutables a fin
de que el virus pueda ejecutarse
subrepticiamente. Pudiendo, de esta manera,
tomar control del sistema e infectar otras
entidades permitiendo se traslade de un
computador a otro a través de algunos de
estos archivos.
4. Módulo de ataque
Este módulo es optativo. En caso de estar
presente es el encargado de manejar las
rutinas de daño adicional del virus. Por
ejemplo, algunos virus, además de los
procesos dañinos que realizan, poseen un
módulo de ataque que por ejemplo se activa
un determinado día. La activación de este
módulo, implica la ejecución de una rutina
que implica daños dispares en nuestro
computador.
5. Módulo de defensa
Este módulo, como su nombre indica tiene la
misión de proteger al virus. Su presencia en la
estructura del virus es optativa, al igual que el
módulo de ataque. Sus rutinas apuntan a
evitar todo aquello que provoque la
eliminación del virus y retardar, en todo lo
posible, su detección.
6. CLASIFICACION DE LOS VIRUS
1. Trampas (trap door)
Se conocen también como puertas traseras (back door). Consisten en un
conjunto de instrucciones no documentadas dentro de un programa o sistema
operativo, que permiten acceso sin pasar o dejar rastro en los controles de
seguridad. Normalmente son vías de entrada que dejan los programadores, en
forma deliberada, para uso particular.
2. Bombas Lógicas
Corresponden al código oculto dentro de una aplicación que se activa cuando se
cumplen determinadas condiciones. Por ejemplo una fecha u hora, tras un
determinado número de operaciones, secuencia de teclas o comandos, etc.
Ejemplos de este tipo de programas son virus como Viernes 13 o el virus Miguel
Ángel.
7. 3. Caballos de Troya
Son programas aparentemente útiles, que
contienen código oculto programado para
ejecutar acciones no esperadas y
generalmente indeseables sobre el
computador.
Un ejemplo simple de un Caballo de Troya es
un programa que hace las veces de una útil
calculadora, pero, en la medida que es usada,
borra o corrompe archivos del disco duro, sin
que el usuario se percate.
4. Bacterias
Son aquellos programas cuyo objetivo es
replicarse dentro de un sistema, consumiendo
memoria y capacidad del procesador, hasta
detener por completo la máquina.
8. 5. Gusanos
Los gusanos utilizan las redes de
comunicaciones para expandirse de sistema en
sistema. Es decir, una vez que un gusano entra a
un sistema examina las tablas de ruta, correo u
otra información sobre otros sistemas, a fin de
copiarse en todos aquellos sistemas sobre los
cuales encontró información. Este método de
propagación presenta un crecimiento
exponencial con lo que puede infectar en muy
corto tiempo a una red completa.
Existen básicamente 3 métodos de propagación en los gusanos:
- Correo electrónico - El gusano envía una copia de sí mismo a todos los
usuarios que aparecen en las libretas de direcciones que encuentra en el
computador dónde se ha instalado.
- Mecanismos basados en RPC (Remote Procedure Call) - El gusano
ejecuta una copia de sí mismo en todos los sistemas que aparecen en la
tabla de rutas (rcopy y rexecute).
- Mecanismos basados en RLOGIN - El gusano se conecta como usuario
en otros sistemas y una vez en ellos, se copia y ejecuta de un sistema a otro.
9. 6. Virus
El virus informático es el programa diseñado para autor
replicarse y ejecutar acciones no deseadas dentro del
computador. Cuando un archivo infectado es ejecutado o el
computador arranca desde un disquete infectado, el virus es
ejecutado, permaneciendo en memoria e infectando todos los
programas que se ejecuten y todos los discos que se accedan de
ahí en adelante.
Podemos encontrar los siguientes tipos de virus:
- Virus de Archivos : Esta clase de virus sólo se activa cuando un
programa infectado es ejecutado. Estos virus atacan
principalmente a archivos con extensión *.COM y *.EXE,
aunque también pueden infectar las extensiones *.DRV, *.DLL,
*.BIN, *.OVL, *.SYS, *.386, *.OVY, *.SCR, *.PIF y otras.
- Virus de Sector de arranque (boot) : Estos virus atacan el
sector de arranque, registro maestro de arranque (Master Boot
Record, MBR) y la tabla de localización de archivos (File
Allocation Table, FAT) de las unidades de disco, ya sean estas
fijas o removibles. Estos virus se activan cuando el PC se
inicializa desde una unidad de disco infectada, alojándose en
todas las unidades de disco que se utilicen en el equipo desde
ese instante.
10. - Virus Multi Partición : Bajo este nombre se engloban los virus
que utilizan los dos métodos anteriores. Es decir, pueden
simultáneamente infectar archivos, sectores bootde arranque y
tablas FAT.
- Retrovirus : Un Retrovirus es un virus informático, que intenta
evitar o esconder la operación de un programa antivirus. El ataque
puede ser específico a un antivirus o en forma genérica.
Normalmente los retrovirus no son dañinos en sí. Básicamente su
función consiste en despejar el camino para la entrada de otros
virus realmente destructivos, que lo acompañan en el código.
- Macro Virus : Estos virus infectan documentos escritos con
Microsoft Word, con Excel y otras aplicaciones similares y son los
primeros virus conocidos multiplataforma, es decir, infectan tanto
PC's como sistemas Macintosh.
La vulnerabilidad a este tipo de virus es muy alta, debido a que los
documentos son mucho más "móviles" que los programas
ejecutables y además, los macro virus son muy fáciles de escribir
y/o modificar, lo que hace que su crecimiento y la cantidad de
variantes sea muy grande.
11. 7. Encriptados
Más que un tipo de virus, se trata
de una técnica que éstos pueden
utilizar. Por este motivo, los virus
que la utilizan (pudiendo
pertenecer a otros tipos o
categorías), se suelen denominar
también encriptados. Esto es, el
virus se cifra, codifica o "encripta" a
sí mismo para no ser fácilmente
detectado por los programas
antivirus. Para realizar sus
actividades, el virus se descifra a sí
mismo y cuando ha finalizado, se
vuelve a cifrar.
12. 8. Polimórficos
Son virus que emplean una nueva técnica para
dificultar su detección por parte de los programas
antivirus (generalmente, son los virus que más cuesta
detectar). En este caso varían en cada una de las
infecciones que llevan a cabo. De esta forma, generan
una elevada cantidad de copias de sí mismos.
Los virus polimórficos se encriptan o cifran de forma
diferente (utilizando diferentes algoritmos y claves de
cifrado), en cada una de las infecciones que realizan.
Esto hace que no se puedan detectar a través de la
búsqueda de cadenas o firmas (ya que éstas serán
diferentes en cada cifrado).
13. 9. Bulos (hoax)
Un hoax no es unvirus, es un mensaje de correo electrónico que informa
sobre la aparición de un nuevo y extremadamente peligroso virus. Pero en
realidad, un hoax es una broma, ese virus que anuncia no existe, su única
pretensión es llegar a cuanta más gente mejor.
Los hoax presentan las siguientes características:
- Son mensajes extremadamente serios; intentan provocar un miedo atroz
entre los usuarios
- Siempre están avalados por alguna persona o entidad seria y de
reconocido prestigio (IBM, Microsoft, AOL, Netscape, ...)
- Son extremadamente catastrofistas. Textos como "...Le borrará toda la
información de su disco duro...", "...Le destrozará su disco duro..." son
habituales en los hoax
- Suelen incluir líneas en las que le pide que envíe este mensaje a todos sus
conocidos para alertarles sobre el peligro
Muchas de las personas que reciben este tipo de mensajes creen que esta
información es verdadera.
Todo esto provoca la falsa alarma entre los usuarios que van recibiendo los
mensajes, la propagación de las direcciones de correo de nuestros
conocidos y en definitiva todos nuestros contactos, así como el crecimiento
de información "basura" por internet.
14. 10. Joke
Los jokes no se pueden considerar tampoco como
virus. Al igual como los hoax son bromas.
Concretamente, los jokes son programas que tienen
como principal objetivo hacer pensar al usuario que
han sido infectados por un virus. Estos programas
tratan de simular los efectos destructivos de un virus,
como por ejemplo borrar todos los archivos del disco,
girar la pantalla del monitor, derretir la pantalla, abrir
la puerta del CD-ROM, etc. Los objetivos de los jokes
van desde el simple entretenimiento de los usuarios en
su trabajo diario hasta intentar alarmar al usuario que
los ejecuta. Los jokes son programas ejecutables
principalmente descargados de internet o recibidos
por correo electrónico. Se caracterizan por ser
sugestivos tanto por el dibujo de su icono y su nombre.
15. EFECTOS Y SINTOMAS
Esta sección pretende clasificar y describir cada uno de los posibles síntomas
que podemos apreciar, cuando algún virus, gusano o troyano ha producido
una infección o se ha activado en nuestro computador.
En un principio comenzaremos estableciendo un criterio aproximado para los
determinar los posibles grados de daño que los virus pueden realizar en
nuestro computador:
Sin daños. En este caso los virus no realizan ninguna acción tras la
infección. Generalmente, suelen ser virus que solamente se dedican a
propagarse e infectar otros elementos y/o equipos (se envían a sí mismos
por correo electrónico, IRC, o a través de la red).
Daños imprevisibles. Son aquellos que generalmente causan los troyanos.
Éstos son programas que pueden estar manipulados de forma remota
(desde otro computador) por una persona que está produciendo un ataque
(atacante o hacker). Este tipo de programas cada vez son más complejos y
cuentan con más utilidades y funciones de ataque. Con el programa cliente
-en el computador del atacante-, el programa servidor -en el computador de
la víctima- y una conexión a través de un puerto de comunicaciones en el
computador de la víctima, es posible realizar cualquier acción en éste
último.
16. Daño mínimo. Solamente realizan acciones que son molestas al usuario, sin afectar a
la integridad de la información, ni de otras áreas del equipo (presentación mensajes
por pantalla, animaciones en pantalla,... etc.).
Daño moderado/escaso. En este caso pueden presentarse modificaciones de archivos
o pérdidas moderadas de información, pero nunca serán totalmente destructivas
(desaparecen algunos archivos, o el contenido de parte de ellos). Las posibles
acciones realizadas por el virus, serían reparables.
Daño grave. Pérdida de grandes cantidades de información y/o archivos. Aun así,
parte de los datos podrían ser recuperables, aunque el proceso sería algo complicado
y tedioso.
Daño muy grave/irreparable. En este caso se podría perder toda la información
contenida en las unidades de disco infectadas (incluidas las unidades de red). Se
podría además perder la estructura de cada una de las unidades de disco (por lo
menos de la principal), mediante el formateo de éstas. Estos daños son muy
difícilmente reparables y algunos de ellos irreparables. Además, se atacarán también
e otros sistemas de memoria como la RAM, la CMOS y la BIOS, así como los sistemas
de arranque y todos los archivos propios del sistema.
17. Algunos de los síntomas o efectos que podemos apreciar en
nuestro computador, cuando el virus ha producido su infección o
se ha activado (en función de la condición de activación), podrían
ser los siguientes:
Nota: tenga en cuenta que algunos de los síntomas aquí
comentados, podrían tener como causa otros problemas ajenos a
los virus.
Lentitud. Se puede apreciar que el computador trabaja mucho
más despacio de lo habitual. Tarda mucho más en abrir las
aplicaciones o programas que utilizamos. Incluso el propio
sistema operativo emplea mucho más tiempo en realizar
operaciones sencillas que antes no le llevaban tanto tiempo.
Ejecución / Apertura. Cuando tratamos de poner en marcha un
determinado programa o abrir un determinado archivo, este no
se ejecuta o no se abre.
18. Desaparición de archivos y carpetas. Los archivos contenidos en
algunas carpetas concretas (generalmente aquellas que
pertenecen al sistema operativo o a ciertas aplicaciones), han
desaparecido porque el virus las ha borrado. También podrían
desaparecer directorios o carpetas completas.
Mensajes de error inesperados y
no habituales. Aparecen cuadros
de diálogo con mensajes
absurdos, jocosos, hirientes,
agresivos,... etc; que
generalmente no aparecen en
situaciones normales.
Imposible acceder al contenido
de archivos. Cuando se abre un
archivo, se muestra un mensaje
de error, o simplemente esto es
imposible. Puede ser que el
virus haya modificado la Tabla
de Asignación de Archivos,
perdiéndose así las direcciones
en las que éstos comienzan.
19. Disminución de espacio en la memoria y el disco duro. El tamaño libre en
el disco duro disminuye considerablemente. Esto podría indicar que el
virus ha infectado una gran cantidad de archivos y que se está extendiendo
dentro del computador. Cuando ejecutamos algún programa, además
aparecen mensajes indicando que no tenemos memoria suficiente para
hacerlo (aunque esto no sea cierto, pues no tenemos muchos programas
abiertos).
Sectores defectuosos. Se indica que alguna sección del disco en el que
estamos trabajando, tiene errores y que es imposible guardar un archivo, o
realizar cualquier tipo de operación en ella.
Alteración en las propiedades de los archivos. El virus modifica alguna o
todas las características del archivo al que infecta. De esta manera,
podremos apreciar, que la fecha/hora asociada a él (la de su creación o
última modificación) es incorrecta, se han modificado sus atributos, el
tamaño ha cambiado (cuando esto no debería suceder),...
Errores del sistema operativo. Al realizar ciertas operaciones -normales y
soportables por el sistema operativo en otro tipo de circunstancias-
aparecen mensajes de error, se realizan otras acciones no deseadas, o
simplemente no ocurre nada.
Archivos duplicados. Si existe un archivo con extensión EXE, aparecerá
otro con el mismo nombre que éste, pero con extensión COM (también
programa). El archivo con extensión COM será el virus. El virus lo hace así
porque, si existen dos archivos con el mismo nombre, el sistema operativo
ejecutaría siempre en primer lugar el que tenga extensión COM.
20. Archivos renombrados. El virus habrá cambiado el nombre
de los archivos a los que ha infectados y/o a otros concretos.
Problemas al prender el computador. El computador no
arranca, o no lo hace de la forma habitual. Sería
conveniente prender el computador con un disco de sistema
o arranque y analizar todas las áreas del computador con un
antivirus n línea de comandos.
Bloqueo del computador. En situaciones donde tenemos
pocos programas abiertos (o ninguno) y la carga del sistema
no es elevada, éste se bloquea (se queda "colgado") y nos
impide continuar trabajando. Será necesario utilizar la
combinación de teclas CTRL+ALT+SUPR. para poder
eliminar la tarea que se ha bloqueado, o reiniciar el sistema.
El computador se apaga (se reinicia). Sin realizar ninguna
operación extraña y mientras estamos trabajando
normalmente con el computador, éste se apaga
automáticamente y se vuelve a encender (se reinicia).
Evidentemente, todo aquello que no hayamos guardado o
grabado, se habrá perdido definitivamente.
21. El programa se cierra. Mientras estamos trabajando con una aplicación o
programa, ésta se cierra sin haber realizado ninguna operación indebida o
alguna que debería haber producido esta acción.
Se abre y cierra la bandeja del CD-ROM. Sin que intervengamos para nada
en el equipo, la bandeja de la unidad lectora de CD-ROM, se abre y se
cierra de forma autónoma. Esta acción es muy típica de los troyanos.
El teclado y/o el ratón no funcionan correctamente. Cuando utilizamos el
teclado, éste no escribe lo que queremos, o realiza acciones que no
corresponden a la combinación de teclas que hemos pulsado. Por otra
parte, el puntero del ratón se mueve de forma autónoma por toda la
pantalla, sin que nosotros lo movamos (o cuando lo movemos, realiza
ciertas animaciones no habituales).
Desaparecen secciones de ventanas y/o aparecen otras nuevas.
Determinadas secciones (botones, opciones de menú, residentes en la
barra de tareas de Windows, textos,...) que deberían aparecer en una
determinada ventana, han desaparecido y no se muestran en ella. También
sería posible que en pantallas donde no debería aparecer nada, se muestren
iconos extraños o contenidos que no son habituales en ellas (por ejemplo
en la barra de tareas de Windows, junto al reloj del sistema).
22. EFECTOS DESTRUCTIVOS DE LOS
VIRUS
Los efectos perniciosos que causan los Virus son
variados; entre éstos se encuentran el formateo
completo del disco duro, eliminación de la tabla de
partición, eliminación de archivos, ralentización del
sistema hasta limites exagerados, enlaces de archivos
destruidos, archivos de datos y de programas corruptos,
mensajes o efectos extraños en la pantalla, emisión de
música o sonidos.
23. Formas de ocultamiento
Un Virus puede considerarse efectivo si, además de extenderse lo más
ampliamente posible, es capaz de permanecer oculto al usuario el mayor
tiempo posible; para ello se han desarrollado varias técnicas de ocultamiento o
sigilo. Para que estas técnicas sean efectivas, el Virus debe estar residente en
memoria, puesto que debe monitorizar el funcionamiento del sistema
operativo. La base principal del funcionamiento de los Virus y de las técnicas
de ocultamiento, además de la condición de programas residentes, la
intercepción de interrupciones. El DOS y los programas de aplicación se
comunican entre sí mediante el servicio de interrupciones, que son como
subrutinas del sistema operativo que proporcionan una gran variedad de
funciones a los programas. Las interrupciones se utilizan, por ejemplo, para
leer o escribir sectores en el disco, abrir ficheros, fijar la hora del sistema, etc.
Y es aquí donde el Virus entra en acción, ya que puede sustituir alguna
interrupción del DOS por una suya propia y así, cuando un programa solicite
un servicio de esa interrupción, recibirá el resultado que el Virus determine.
Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que
esconde los posibles signos de infección del sistema. Los síntomas más claros
del ataque de un Virus los encontramos en el cambio de tamaño de los
ficheros, de la fecha en que se crearon y de sus atributos, y en la disminución
de la memoria disponible.
Estos problemas son indicadores de la posible presencia de un Virus, pero
mediante la técnica stealth es muy fácil (siempre que se encuentre residente el
Virus) devolver al sistema la información solicitada como si realmente los
ficheros no estuvieran infectados. Por este motivo es fundamental que cuando
vayamos a realizar un chequeo del disco duro arranquemos el ordenador con
un disco de sistema totalmente limpio.
24. Prevención, detección y eliminación.
Una buena política de prevención y detección nos puede ahorrar
muchos inconvenientes. Las medidas de prevención pasan por el
control, en todo momento, del software ya introducido o que se va a
introducir en nuestro ordenador, comprobando la fiabilidad de su
fuente. Esto implica la actitud de no aceptar software no original, ya
que el pirateo es una de las principales fuentes de contagio de un
Virus, siendo también una practica ilegal y que hace mucho daño a la
industria del software.
Por supuesto, el Sistema Operativo (SO), que a fin de cuentas es el
elemento software más importante del ordenador, debe ser
totalmente fiable; si éste se encuentra infectado, cualquier programa
que ejecutemos resultara también contaminado. Por eso, es
imprescindible contar con una copia en disquetes del sistema
operativo, protegidos éstos contra escritura; esto último es muy
importante, no solo con el S.O. sino con el resto de disquetes que
poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya
que un Virus no puede escribir en un disco protegido de esta forma.
Por último es también imprescindible poseer un buen software
antiVirus, que detecte y elimine cualquier tipo de intrusión en el
sistema.
25. Antivirus y Vacunas
A partir de la proliferación de los Virus, se ha desarrollado igualmente una industria
dedicada a la creación de programas, llamados Vacunas, que tienen como finalidad
detectarlos, erradicarlos y prevenir las infecciones virales.
El problema con los Virus es que están, escritos en códigos de programación muy
diferentes, que tienen características de funcionamiento muy diversas, lo que hace que los
programas antiVirus, antibióticos o vacunas, como se les denomina, sólo sean eficaces
para combatir el tipo de Virus para el cual fueron diseñados.
Existe gran cantidad de Vacunas, pero debemos tener en cuenta que se han descubierto
muchos más Virus, los cuales aunados a las modificaciones que se les agregan,
representan grandes retos para los programadores que se dedican a ayudar en la cruzada
AntiVirus. En diferentes partes del mundo sin embargo, existen asociaciones que se han
dedicado a la creación de programas AntiVirus que ayudan a erradicar muchos Virus, y se
actualizan de tal manera que son capaces de reconocer un Virus días después de haberse
conocido.
En caso de encontrar algún Virus, el programa da un mensaje que indica el directorio,
nombre del archivo y nombre del Virus, que se encontró, veamos un ejemplo:
DOSCOMMAND.COM se encontró DARK AVENGER [DAV] LOTUS123.EXE se
encontró MICHELANGELO [MICH] WP51WP.EXE se encontró STONED [STONED].
El primer mensaje indica que al revisar el programa del COMMAND.COM, se encontró
que el Virus Dark Avenger, había incrustado en él algunas instrucciones ajenas. De igual
modo, MICH y STONED modificaron los ejecutables de Word Perfect y Lotus.
Si al hacer su revisión, el programa, no encuentra Virus en el sistema, lo señala emitiendo
el siguiente mensaje:
"Su sistema y unidades de disco están libres de Virus".
26. ¡Nos guste o no, tendremos que aprender
a convivir con ellos!
Este mismo programa destruye los Virus, haciendo la función de antibiótico.
El antibiótico o antiVirus saca el Virus parásito del programa ejecutable, dejándolo limpio.
Lamentablemente en muchas ocasiones el programa queda dañado, por lo que no correrá
en el futuro.
La creciente conexión de usuarios a Internet y el envío de correos electrónicos por esa vía,
permiten a los piratas infectar con gran facilidad a muchos usuarios de todo el mundo. Sin
embargo, podemos afirmar que si se siguen los pasos pertinentes y se emplean antiVirus
apropiados para la función que se realiza, entonces la posibilidad de infección se reduce
ostensiblemente.
Mencionaremos ahora algunos antiVirus destacados:
Panda NOD 32
AVP (Kaspersky) Norton
Sophos InoculateIT,
F - Secure MacAfee
De cada uno de los cuales podemos destacar virtudes y defectos, en dependencia de la tarea
que le asignemos.
27. HIPERVINCULOS
Los siguientes hipervínculos encontraras mas
información sobre los virus y las bacterias
informáticos:
https://www.youtube.com/watch?v=7vqshsy
mVr4
https://www.youtube.com/watch?v=pwDoV
ho0lvQ