VIRUS INFORMATICO

Thursday, December 01, 2005

TODO SOBRE INFORMATICA PUES

1. Introducción

El presente trabajo tiene como objetivo mostrar como atacan los virus a las computadoras y como afectan a las empresas como se puede combatir y prevenir ante los virus con soluciones conocidas como son los antivirus.
Debemos saber que los virus están en constante evolución como los virus que afectan a los humanos cada vez son mas fuertes y mas invulnerables a los ataques de los antivirus y afectan a empresarios de una manera muy grande, los creadores de dicho virus son los hackers ya que ellos manipulan donde deben atacar sus programas ya que estos son solo programas que atacan el sistema.
Las computadoras presentan varios síntomas después de que son infectadas como que son lentas o manejan mensajes de burla hacia el usuario e inutiliza el sistema ya sea de una manera parcial o totalmente.
Aquí se presentaran datos de este tipo y algunas soluciones para ellos así como algunas estrategias de detección para proteger su computadora.
2. Los Virus
Primero para poder entrar a el tema que ha sido uno de los más grandes problemas que presenta la informática se debe saber como han surgido los virus a lo largo de su historia y su cronología .
Un Poco De Historia En 1949, el matemático estadounidense de origen húngaro John von Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), planteó la posibilidad teórica de que un programa informático se reprodujera. Esta teoría se comprobó experimentalmente en la década de 1950 en los Laboratorios Bell, donde se desarrolló un juego llamado Core Wars en el que los jugadores creaban minúsculos programas informáticos que atacaban y borraban el sistema del oponente e intentaban propagarse a través de él. En 1983, el ingeniero eléctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acuñó el término de "virus" para describir un programa informático que se reproduce a sí mismo. En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA. Pronto les siguió un sinnúmero de virus cada vez más complejos. El virus llamado Brain apareció en 1986, y en 1987 se había extendido por todo el mundo. En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruzó Estados Unidos de un día para otro a través de una red informática. El virus Dark Avenger, el primer infector rápido, apareció en 1989, seguido por el primer virus polimórfico en 1990. En 1995 se creó el primer virus de lenguaje de macros, WinWord Concept.
Los virus tienen la misma edad que las computadoras. Ya en 1949 John Von Neumann, describió programas que se reproducen a sí mismos en su libro "Teoría y Organización de Autómatas Complicados". Es hasta mucho después que se les comienza a llamar como virus. La característica de auto-reproducción y mutación de estos programas, que las hace parecidas a las de los virus biológicos, parece ser el origen del nombre con que hoy los conocemos.
Antes de la explosión de la micro computación se decía muy poco de ellos. Por un lado, la computación era secreto de unos pocos. Por otro lado, las entidades gubernamentales, científicas o militares, que vieron sus equipos atacados por virus, se quedaron muy calladas, para no demostrar la debilidad de sus sistemas de seguridad, que costaron millones, al bolsillo de los contribuyentes. Las empresa privadas como Bancos, o grandes corporaciones, tampoco podían decir nada, para no perder la confianza de sus clientes o accionistas. Lo que se sabe de los virus desde 1949 hasta 1989, es muy poco.
Se reconoce como antecedente de los virus actuales, un juego creado por programadores de la empresa AT&T, que desarrollaron la primera versión del sistema operativo Unix en los años 60. Para entretenerse, y como parte de sus investigaciones, desarrollaron un juego llamado "Core Wars", que tenía la capacidad de reproducirse cada vez que se ejecutaba. Este programa tenía instrucciones destinadas a destruir la memoria del rival o impedir su correcto funcionamiento. Al mismo tiempo, desarrollaron un programa llamado "Reeper", que destruía las copias hechas por Core Wars. Un antivirus o antibiótico, como hoy se los conoce. Conscientes de lo peligroso del juego, decidieron mantenerlo en secreto, y no hablar más del tema. No se sabe si esta decisión fue por iniciativa propia, o por órdenes superiores.
En el año 1983, el Dr. Ken Thomson, uno de los programadores de AT&T, que trabajó en la creación de "Core Wars", rompe el silencio acordado, y da a conocer la existencia del programa, con detalles de su estructura.
La Revista Scientific American a comienzos de 1984, publica la información completa sobre esos programas, con guías para la creación de virus. Es el punto de partida de la vida pública de estos programas, y naturalmente de su difusión sin control, en las computadoras personales.
Por esa misma fecha, 1984, el Dr. Fred Cohen hace una demostración en la Universidad de California, presentando un virus informático residente en una PC. Al Dr. Cohen se le conoce hoy día, como "el padre de los virus". Paralelamente aparece en muchas PCs un virus, con un nombre similar a Core Wars, escrito en Small-C por un tal Kevin Bjorke, que luego lo cede a dominio público. ¡La cosa comienza a ponerse caliente!
El primer virus destructor y dañino plenamente identificado que infecta muchas PC’s aparece en 1986. Fue creado en la ciudad de Lahore, Paquistán, y se le conoce con el nombre de BRAIN. Sus autores vendían copias pirateadas de programas comerciales como Lotus, Supercalc o Wordstar, por suma bajísimas. Los turistas que visitaban Paquistán, compraban esas copias y las llevaban de vuelta a los EE.UU. Las copias pirateadas llevaban un virus. Fue así, como infectaron mas de 20,000 computadoras. Los códigos del virus Brain fueron alterados en los EE.UU., por otros programadores, dando origen a muchas versiones de ese virus, cada una de ellas peor que la precedente. Hasta la fecha nadie estaba tomando en serio el fenómeno, que comenzaba a ser bastante molesto y peligroso.
En 1987, los sistemas de Correo Electrónico de la IBM, fueron invadidos por un virus que enviaba mensajes navideños, y que se multiplicaba rápidamente. Ello ocasionó que los discos duros se llenaran de archivos de origen viral, y el sistema se fue haciendo lento, hasta llegar a paralizarse por mas de tres días. La cosa había llegado demasiado lejos y el Big Blue puso de inmediato a trabajar en los virus su Centro de Investigación Thomas J. Watson, de Yorktown Heights, NI.
Las investigaciones del Centro T. J. Watson sobre virus, son puestas en el dominio público por medio de Reportes de Investigación, editados periódicamente, para beneficio de investigadores y usuarios.
El virus Jerusalem, según se dice creado por la Organización de Liberación Palestina, es detectado en la Universidad Hebrea de Jerusalem a comienzos de 1988. El virus estaba destinado a aparece el 13 de Mayo de 1988, fecha del 40 aniversario de la existencia de Palestina como nación. Una interesante faceta del terrorismo, que ahora se vuelca hacia la destrucción de los sistemas de cómputo, por medio de programas que destruyen a otros programas.
El 2 de Noviembre del ‘88, dos importantes redes de EE.UU. se ven afectadas seriamente por virus introducidos en ellas. Mas 6,000 equipos de instalaciones militares de la NASA, universidades y centros de investigación públicos y privados se ven atacados.
Por 1989 la cantidad de virus detectados en diferentes lugares sobrepasan los 100, y la epidemia comienza a crear situaciones graves. Entre las medidas que se toma, para tratar de detener el avance de los virus, es llevar a los tribunales a Robert Morís Jr. acusado de ser el creador de un virus que infectó a computadoras del gobierno y empresas privadas. Al parecer, este muchacho conoció el programa Core Wars, creado en la AT&T, y lo difundió entre sus amigos. Ellos se encargaron de diseminarlo por diferentes medios a redes y equipos. Al juicio se le dio gran publicidad, pero no detuvo a los creadores de virus.
La cantidad de virus que circula en la actualidad no puede llegar a ser precisada pero para tener una idea los últimos antivirus pueden identificar alrededor de cincuenta mil virus (claro que en este valor están incluidos los clones de un mismo virus).
Es importante señalar que la palabra "Virus" es un vocablo latín y su equivalencia a nuestro lenguaje actual es "veneno"La Teoría y Organización de un Autómata Complicado (1949) de John Von Neumann, uno de los primeros miembros de la comunidad informática y padre del modelo actual de computadoras, presentó con esta teoría el modelo de programa de un virus, explicando que los programas de los computadores se podían multiplicar, nadie pensó en ese momento la repercusión que tendría esta teoría en un futuro no muy lejano.
Diez años más tarde, en la atmósfera enrarecida de los laboratorios AT&T Bell, tres jóvenes programadores desarrollaron un juego denominado "Core-Wars". Estos jóvenes genios, Douglas McIlroy, Victor Vysottsky y Robert Morris, comprendieron magníficamente el funcionamiento interno de los computadores.
"Core-Wars", consistía en una batalla mano a mano entre los códigos de dos programadores, cada programador desarrollaba un conjunto de programas que se reproducían, llamados Organismos. Tras el tiro de salida, cada jugador soltaba sus Organismos en la memoria del computador. Los Organismos de cada uno trataban de destruir a los del oponente y el jugador que mantuviera mayor número de supervivientes al finalizar el juego era declarado ganador. Los jóvenes genios como buenos empleados, al finalizar borraban los juegos y se iban a casa. El concepto de juego se difundió por otros centros de alta tecnología, como el Instituto de Tecnología de Massachusetts (MIT) o el Centro de Investigación de Xerox en Palo Alto, California.
Cuando se jugaba al Core-Wars en una sola máquina, podía pararse y no se corría el riesgo de que se propagara. Esto se realizó no mucho antes de que el fenómeno que hoy conocemos como "conectividad" facilitara las comunicaciones entre computadoras. El fantasma de un juego divertido que se volviera perjudicial y se multiplicara entre las máquinas interconectadas rondó por sus cabezas.
El juego Core-Wars fue un secreto guardado por sus jugadores hasta 1983. Ken Thompson, el brillante programador que escribió la versión original en UNIX, lo develo a la opinión pública. Cuando Thompson recibió uno de los más altos honores de la industria, el premio A.M. Turing, su discurso de aceptación contenía una receta para desarrollar virus. Thompson contó todo sobre Core-Wars y animó a su audiencia a intentar practicar el concepto.
El número de Mayo de 1984 de la revista Scientific American (Científico Americano), incluyó un artículo describiendo Core-Wars y ofreció a los lectores la oportunidad de solicitar un conjunto de instrucciones para diversión y juegos en el hogar o la oficina.
En ese mismo año 1984, Fred Cohen expuso por primera vez por escrito, el concepto de virus informático, durante el desarrollo de una conferencia sobre seguridad.
El primer contagio masivo de microordenadores se dio en 1987 a través del MacMag Virus también llamado Peace Virus sobre ordenadores Macintosh. La historia, se describe a continuación:
Dos programadores, uno de Montreal, Richard Brandow, y el otro de Tucson, Drew Davison, crearon un virus y lo incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y contaminó su ordenador. Al realizar pruebas del paquete Aldus Freehand, contaminó el disco maestro el cual posteriormente devolvió a la empresa fabricante; allí la epidemia se extendió y el programa se comercializó con el virus incluido. El virus era bastante benigno, el 2 de Marzo de 1988 (primer aniversario de la aparición del Macintosh II) hizo público en la pantalla un mensaje pidiendo la paz entre los pueblos, y se destruyó a sí mismo. Existe una versión de este virus detectada en alguna red de correo electrónico de IBM y al que se denomina IBM Christmas Card o Xmas, el cual felicita al usuario cada 25 de Diciembre.
Pero no todo fue felicitaciones y buenos deseos. El conocido virus Viernes 13 fue detectado por primera vez en la Universidad Hebrea de Jerusalén "casualmente" el primer Viernes 13 (13 de Mayo de 1988), era el cuarenta aniversario de la fundación del Estado Judío. El virus se difundió por la red de la Universidad e infectó ordenadores del ejército israelí, Ministerio de Educación, etc.
Aquí hay un caso más reciente. En 1987 un periodista de los Estados Unidos perdió la información de 6 meses de trabajo guardada en un disco, cuando trató de recuperarla se dio cuenta que era obra de un sabotaje. En el disco se encontraba el número telefónico de una tienda de computación pakistaní y el siguiente mensaje: Bienvenidos al calabozo... llámenos para la vacuna.
La información había sido presa de un virus maligno. Investigando el caso se encontró que dicha tienda era Brain Computer Services y que vendía copias ilegales de algunos programas con un costo de cientos de dólares a sólo $1.50 cada una (aproximadamente unos 1000 pesos chilenos). Durante 1986 y 1987, algunos de sus clientes fueron estudiantes estadounidenses atraídos por su bajo costo. Sin embargo, escondido en el disco había un virus; cada vez que el programa se ejecutaba, el virus contaminaba a la computadora y ésta a su vez, infectaba a los discos de otros usuarios. Los diseñadores son los hermanos Amjad y Basit Farooq Alvi, dueños de Brain Computer Services. En 1985, se decidieron a hacer software, y para su desdicha, éste fue copiado y usado sin permiso. Así fue como a Amjad se le ocurrió hacer un programa que se autoduplicara, cuyo objetivo fuera infectar la computadora de un usuario desautorizado, forzándolo así a llamarles para reparar los daños. Al poco tiempo, tenían un virus que incluían en sus copias ilegales. Cuando un pakistaní deseaba una copia de un paquete se le vendía libre de virus, pero a los extranjeros se les vendían copias contaminadas.
Según declaraciones de los hermanos Alvi, en Pakistán, las leyes de derecho de autor no abarcan el software, por lo que vender software pirata no es ilegal. En cambio en EU, como en la mayor parte del mundo, es una práctica ilícita. Ellos aseguran que dejaron de vender copias ilegales en 1987, pensando que los piratas ya debían haber tenido una lección.
Muy difundido también fue el caso de Robert Tappan Morris en Noviembre de 1988, el joven que contaminó (quizá sin ser suintención) la Red del Pentágono ARPAnet, paralizando gran número de computadoras estatales; los daños causados se calculaban en unos 80 millones de dólares.
Actualmente los virus son una de las principales causas de la pérdida de información en computadores. Sus propietarios deben estar invirtiendo cada vez más en los antivirus para la eliminación y erradicación de éstos, los antivirus no son nada más que programas especialmente diseñados para que batallen contra los virus, los identifiquen y posteriormente los eliminen.
Existe un incesante riesgo que corren hoy en día todos aquellos que se hacen participe de la red de redes (INTERNET), así sea por el mal uso que le dan algunos inescrupulosos al popular correo electrónico mediante el mail-bombing o sino por el solicitar de aquella red archivos, programas, fotos o todo lo que se pueda almacenar en nuestro disco maestro. El primero consiste en recibir falsos correos electrónicos saludando o promocionando ciertos productos desconocidos, del cual el lector se hace participe sin saber que tras esto se oculta una verdadera amenaza de contagio para sus computadores. Y el segundo es adjuntar a los archivos de la INTERNET, programas especialmente diseñados para provocar errores en el huésped, es decir, añadirle un virus para que éste haga de las suyas con el computador que lo recibe.
3. ¿Qué es un virus informático?
Un virus informático es un programa de computadora que tiene la capacidad de causar daño y su característica más relevante es que puede replicarse a sí mismo y propagarse a otras computadoras. Infecta "entidades ejecutables": cualquier archivo o sector de las unidades de almacenamiento que contenga códigos de instrucción que el procesador valla a ejecutar. Se programa en lenguaje ensamblador y por lo tanto, requiere algunos conocimientos del funcionamiento interno de la computadora.
4. Cómo se producen las infecciones
Los virus informáticos se difunden cuando las instrucciones —o código ejecutable— que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legítimo. Cuando se ejecuta dicho programa, lo mismo ocurre con el virus. Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema
5. Cómo proceder ante una infección
Cuando el antivirus logra confirmar la presencia de un virus, lo primero que siente el usuario es pánico. Luego pensará qué hacer y se dará cuenta que no tiene idea cómo enfrentarse a un virus informático. Educar a los usuarios sobre estas cuestiones es tan importante como mantenerlos actualizados de los últimos virus que aparecen.
No intentaremos describir paso a paso la solución cuando se tiene un antivirus actualizado que posiblemente haga todo por nosotros y solo nos solicita que tomemos una decisión. En su lugar, nos posicionaremos desde la perspectiva del antivirus para determinar qué debemos hacer contra un virus una vez que reconocemos un accionar virósico en el sistema. En algunas oportunidades no tendremos otra salida más que utilizar una extracción manual realizada por nosotros mismos. Es muy común este tipo de cosas con los virus de última horneada que no les dan tiempo a los fabricantes de antivirus a actualizar sus definiciones de virus. La página de ViruScan presenta información sobre los últimos virus aparecidos y la forma de extraerlos manualmente.
Cuando uno mismo se va a hacer cargo de la eliminación de un virus es importante contar con el disquete de inicio del sistema operativo limpio de virus para poder arrancar la computadora.
Identificar un virus supone, primero, lograr su detección y luego poder determinar de qué virus se trata exactamente. A esta técnica se la conoce con el nombre de scanning o –en Argentina- escaneo. Es muy sencilla de entender. El programa antivirus posee una base de datos con ciertas strings propias de cada virus. Estas strings no son más que las firmas que mencionamos más atrás en el texto, o sea cadenas de caracteres que el scanner del antivirus utilizará como huella digital para identificar de qué virus se trata. El scanner comienza a revisar uno por uno el código de los archivos almacenados intentando encontrar alguno de estos fragmentos representativos de los virus que tiene registrados. Con cada una de las verificaciones no se revisa la base de datos completa ya que resultaría bastante trabajoso y en una pérdida de tiempo considerable, aunque de hecho el hacer un escaneo de nuestra unidad de disco rígido lleva algún tiempo. Entonces, cada antivirus utilizará diferentes técnicas algorítmicas para agilizar un poco este paso de comparar el código contra su base de datos.
Hoy en día la producción de virus se ve masificada e Internet colabora enormemente en la dispersión de virus de muchos tipos, incluyendo los "virus caseros". Muchos de estos virus son creados por usuarios inexpertos con pocos conocimientos de programación y, en muchos casos, por simples usuarios que bajan de Internet programas que crean virus genéricos. Ante tantos "desarrolladores" al servicio de la producción de virus la técnica de scanning se ve altamente superada. Las empresas antivirus están constantemente trabajando en la búsqueda y documentación de cada nuevo virus que aparece. Muchas de estas empresas actualizan sus bases de datos todos los meses, otras lo hacen quincenalmente, y algunas pocas llegan a hacerlo todas las semanas (cosa más que importante para empresas que necesitan una alta protección en este campo o para usuarios fanáticos de obtener lo último en seguridad y protección).
La debilidad de la técnica de scanning es inherente al modelo. Esto es debido a que un virus debería alcanzar una dispersión adecuada para que algún usuario lo capture y lo envíe a un grupo de especialistas en virus que luego se encargarán de determinar que parte del código será representativa para ese virus y finalmente lo incluirán en la base de datos del antivirus. Todo este proceso puede llevar varias semanas, tiempo suficiente para que un virus eficaz haga de las suyas. En la actualidad, Internet proporciona el canal de bajada de las definiciones antivirus que nos permitirán identificar decenas de miles de virus que andan acechando. Estas decenas de miles de virus, como dijimos, también influirán en el tamaño de la base de datos. Como ejemplo concreto podemos mencionar que la base de datos de Norton Antivirus de Symantec Corp. pesa alrededor de 2MB y es actualizada cada quince o veinte días.
La técnica de scanning no resulta ser la solución definitiva, ni tampoco la más eficiente, pero continúa siendo la más utilizada debido a que permite identificar con cierta rapidez los virus más conocidos, que en definitiva son los que lograron adquirir mayor dispersión.
Virus Propios De Internet Virus Falsos o HoaxesLos virus falsos son simplemente mensajes que circulan por e-mail que advierten sobre algún virus inexistente. Estos virus falsos no infectan el sistema ni mucho menos, solo son advertencias, que se multiplican y se mandan por Internet con una gran velocidad. No tienen ningún código oculto ni instrucciones para ejecutar. Funciona de manera muy sencilla: un usuario recibe un e-mail con la advertencia de algún virus raro, estos usuarios lo reenvían a otros usuarios para advertirlos, entonces se genera un tráfico de e-mail sobre una amenaza inexistente.
Virus Falsos conocidos:Irina. El virus falso Irina empezó como un método de publicidad electrónica creada por una compañía que creó un libro interactivo con el mismo nombre. No pensaron tener tanta repercusión, y terminaron pidiendo perdón por este hecho.Good Time: Esta advertencia circuló y circula en Internet hace muchos años. El mensaje creado en 1994, decía que un virus que rondaba por AOL podía infectar su máquina y borrar el disco rígido con solo leer el mensaje y que debía ser borrado inmediatamente si este llegaba a alguna casilla.Penpal Greetings!. Esta advertencia decía que un virus del tipo gusano se iniciaba a él mismo con solo leer un mensaje, borraba el disco rígido y se reenviaba a todas las personas de nuestra Cuenta de correo.
6. ¿Qué son los antivirus?
Los AntivirusLos programas antivirus son una herramienta específica para combatir el problema virus, pero es muy importante saber como funcionan y conocer bien sus limitaciones para obtener eficiencia en el combate contra los virus.
Cuando se piensa en comprar un antivirus, no debe perderse de vista que, como todo programa, para funcionar correctamente, debe esta bien configurado. Además, un antivirus es una solución para minimizar los riesgos y nunca será una solución definitiva, lo principal es mantenerlo actualizado. La única forma de mantener su sistema seguro es mantener su antivirus actualizado y estar constantemente leyendo sobre los virus y las nuevas tecnologías. La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Éste es el aspecto más importante de un antivirus, pero, las empresas deben buscar identificar también las características administrativas que el antivirus ofrece. La instalación y administración de un antivirus en una red es una función muy compleja si el producto no lo hace automáticamente. Es importante tener en claro la diferencia entre "detectar" e "identificar" un virus en una computadora. La detección es la determinación de la presencia de un virus, la identificación es la determinación de qué virus es. Aunque parezca contradictorio, lo mejor que debe tener un antivirus es su capacidad de detección, pues las capacidades de identificación están expuestas a muchos errores y sólo funcionan con virus conocidos.
7. Bibliografía
Enciclopedia Microsof Encarta 2000Panda Antivirus
www.monografías.com
www.symantec.com
www.antivirus.com
www.pandasoftware.com


Virus informático
De Wikipedia, la enciclopedia libre.
Saltar a navegación, búsqueda
Existe cierta controversia sobre la definición de virus informático. Quizás la más aceptada pertenece a Fred B. Cohen, quien en 1984 escribió su tesis doctoral acerca de los virus, definiéndolos como «un programa de ordenador que puede infectar otros programas modificándolos para incluir una copia de sí mismo».
Los virus informáticos tienen básicamente la función de propagarse, replicándose, pero algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple: ejecutando un programa infectado (normalmente por desconocimiento del usuario) el código del virus queda almacenado (residente) en la memoria RAM del ordenador, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando los posteriores ficheros ejecutables que sean abiertos o ejecutados, añadiendo su propio código al del programa infectado y grabándolo en disco, con lo cual el proceso de replicado se completa.

Clasificación
[editar]

Según lo infectado
Según algunos autores, fundamentalmente existen dos tipos de virus:
Aquellos que infectan archivos. A su vez, estos se clasifican en:
Virus de acción directa. En el momento en el que se ejecutan, infectan a otros programas.
Virus residentes. Al ser ejecutados, se instalan en la memoria del ordenador. Infectan a los demás programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados.
Los que infectan el sector de arranque (virus de boot). Recordemos que el sector de arranque es el primero leído por el ordenador cuando es encendido. Estos virus son residentes en memoria.
Existe una tercera categoría llamada multipartite, pero corresponde a los virus que infectan archivos y al sector de arranque, por lo que se puede decir que es la suma de las dos categorías anteriores.
Para otros autores, la clasificación de los virus también se divide en dos categorías, pero el método de clasificación utilizado es diferente:
Virus de archivos, que modifican archivos o entradas de las tablas que indican el lugar donde se guardan los directorios o los archivos.
Virus de sistema operativo, cuyo objetivo consiste en infectar aquellos archivos que gobiernan el ordenador.
Existe una tercera clasificación, promovida por CARO, para unificar la forma de nombrar a los virus. En esta clasificación se atiende a la plataforma en la que actúa el virus y a algunas de sus características más importantes.
Por ejemplo, el W32/Hybris.A-mm es un virus que funciona en la plataforma win32 en su variante A (primera) que tiene capacidad mass mailing o de envío masivo de correo electrónico infectado.
[editar]

Según su comportamiento
En función de su comportamiento, todos los virus anteriores pueden a su vez clasificarse en otros subgrupos:
Virus uniformes, que producen una replicación idéntica a sí mismos.
Virus encriptados, que cifran parte de su código para que sea más complicado su análisis. A su vez pueden emplear:
Encriptación fija, empleando la misma clave.
Encriptación variable, haciendo que cada copia de sí mismo esté encriptada con una clave distinta. De esta forma reducen el tamaño del código fijo empleable para su detección.
Virus oligomórficos, que poseen un conjunto reducido de funciones de encriptación y eligen una de ellas aleatoriamente. Requieren distintos patrones para su detección.
Virus polimórficos, que en su replicación producen una rutina de encriptación completamente variable, tanto en la fórmula como en la forma del algoritmo. Con polimorfismos fuertes se requiere de emulación, patrones múltiples y otras técnicas antivirus avanzadas.
Virus metamórficos, que reconstruyen todo su cuerpo en cada generación, haciendo que varíe por completo. De esta forma se llevan las técnicas avanzadas de detección al límite. Por fortuna, esta categoría es muy rara y sólo se encuentran en laboratorio.
Sobreescritura, cuando el virus sobreescribe a los programas infectados con su propio cuerpo.
Stealth o silencioso, cuando el virus oculta síntomas de la infección.
Existen más clasificaciones según su comportamiento, siendo las citadas parte de las más significativas y reconocidas por la mayoría de los fabricantes de antivirus.
[editar]

Historia
El primer virus que atacó a una máquina IBM 360 (y reconocido como tal), fue llamado Creeper, creado en 1972 por Robert Thomas Morris. Este programa emitía periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora).
Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde antes. Sus inicios fueron en los laboratorios de Bell Computers, tres programadores desarrollaron un juego llamado Code Wars, el cual consistía en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible.
Después de 1984, los virus han tenido una gran expansión, desde atacando los sectores de arranque de diskettes hasta siendo adjuntado en un correo electrónico y escondido en una imagen de formato JPG.
[editar]

Referencias
Casi todo el contenido inicial de esta página fue reproducido de
www.derecho-internet.org, de acuerdo con la nota en cumplimiento de la licencia de la página web.
[editar]

Enlaces externos
alerta-antivirus.es Servicio ofrecido por Red.es.
Panda ActiveScan Antivirus On-line gratuito.
Obtenido de "http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico"

Trasladado desde Discusión:Portada el 18:33 6 jun, 2005 (CEST)
LOS VIRUS INFORMATICOS
Un virus es un programa diseñado para realizar distintos clases de tareas de tipo malicioso (aunque el concepto de bueno o malo es mas una discusión filosófica, podemos decir, que para el equipo infectado, es malo)como puede ser: usar nuestros recursos para multiplicarse (conexión, disco, procesador), permitir a que nos controlen remotamente el equipo, mostrarnos paginas a las que no queremos acceder, robar información, usuarios, claves, etc, contenida en nuestro disco o usada para identificarnos ante un sistema, usar nuestro equipo para atacar a otros equipos y así esconder la IP del atacante, etc.
Según la forma de propagarse y las acciones que realiza en nuestro equipo, un virus puede clasificarse en distintos tipo:
Gusano: Normalmente aprovecha vulnerabilidades de distintas aplicaciones que están conectadas a Internet incluyendo nuestro sistema operativo, el envió masivo de correos también puede ser una de sus características.
Troyano: Tipo de virus que permite controlar a la equipo remotamente total o parcialmente e instalarse de forma que no nos demos cuenta (este tipo de virus generalmente viene dentro de archivos que parecen inofensivos).
Virus/Script: Son programas que realizan tareas simples como cambiarnos la pagina predeterminada bajarnos ejecutables desde Internet, etc. Normalmente este tipo de virus se encuentra relacionado con vulnerabilidades del el navegador que usemos.
Para minimizar los riesgos de ser infectados por un virus se aconseja:
Enviar y recibir email de personas de confianza (aunque existen nuevos virus que falsifican el origen de los mails).
Acceder a direcciones URL de confianza.
Tener un buen antivirus que debemos de actualizar frecuentemente y escanear nuestras unidades.
No instalar programas de disquettes o cd-rom de dudosa procedencia.
No hacer download en internet en direcciones URL de dudosa procedencia.
Tener nuestro sistema operativo actualizado con los últimos parches de seguridad y también actualizar todos los programas que interactúan con Internet que tengamos instalados.
Nunca esta de mas tener un firewall personal y saber usarlo, por que de nada sirve tener un firewall que este configurado para permitir cualquier cosa
Aún tomando estas precauciones, podemos ser infectados pero el riesgo es mínimo. Entre los programas antivirus mas populares y mejores tenemos el panda antivirus y el scan antivirus. Es bastante importante tener actualizada la versión constantemente. Si hemos sido infectados por un virus, ejecutamos el programa de antivirus y sencillamente lo borramos. Este es el proceso normal, pero si dicho virus nos ha contagiado otros ficheros y programas, el problema se vuelve duro de resolver y posiblemente lo mas adecuado sea, formatear el disco duro y volver a reinstalar Windows 95, 98 y los programas de aplicación.
Las siguientes direcciones contienen mayor información:
PUF/FAQ sobre virus en es.comp.virus almacenada en google Este documento es de dominio público, aunque creo que hay alguna pequeña parte traducida de la FAQ en inglés de Nick FitzGerald, pero también es libre.
Enciclopedia de virus de Avp: http://www.viruslist.com/index.htm
Página de Network Associates: http://www.nai.com
Panda Software en: http://www.pandasoftware.es










Este curso en video te permitirá identificar si tu equipo de cómputo está infectado y las medidas correctivas básicas que debes tomar para evitar la pérdida de información, el daño a los programas o sistema operativo de tu computadora.
Temas:
Comportamiento y tipos de virus informáticos.
Principales fallas por ataques de virus.
Medidas de prevención y corrección.
Medidas de seguridad contra los virus.
Revisión de la computadora.
Limpieza de las áreas del sistema, disco duro y archivos especiales.
Identificación de daños posteriores a la limpieza e instalación de aplicaciones en caso necesario.
Duración: 5 sesiones de 30 min. c/uFechas: P R O X I M A M E N T E Transmisión: Canal 16 de la Red Edusat o Canal 22 Televisión MetropolitanaHMateriales del curso: Manual y Cuaderno de Prácticas(archivos en formato PDF que requieren Acrobat)
regreso a Página Principal




¿Qué es un virus informático?No son más que programas, ¡Sí, simples programas de computación elaborados por programadores¡ Estos son programas similares a un procesador de texto o una hoja de cálculo, o un programa de base de datos o un programa de control de inventarios. Es decir, programas que contienen instrucciones para que las ejecuten las computadoras.Como dichos programas, los virus informáticos sólo realizarán las tareas que le fueron programadas en su código, ni más ni menos. Estos programas tienen algunas características especiales: son muy pequeños en muy pocas líneas contienen instrucciones, parámetros contadores de tiempo o del número de copias, mensajes, etc.; casi nunca incluyen el nombre del autor, ni el registro de Copyright, ni la fecha de creación; Se reproducen así mismos y toman el control de la computadora o modifican otros programas. Están escritos generalmente en lenguaje ensamblador, pero muchos de ellos han sido elaborados utilizando algunos lenguajes más populares como C++, Pascal, Turbo.Los sistemas más expuestos a los ataques vírales son IBM o compatibles, por dos razones: una, que es el tipo de computadoras -y por ende su sistema operativo - más extendido a través de todo el mundo y -, porque el sistema operativo que utilizan -MS DOS o PC-DOS-, no incluyen métodos de seguridad adecuada. Hoy en los reportes acerca de los virus informáticos conocidos y sus variantes, de algunas empresas que se dedican a fabricar antivirus o a ofrecer asesoría al respecto, se anuncia más de 4.000 diferentes y cada día crece este número en alrededor de seis nuevos virus.Si desea ampliar el tema, lo invitamos a consultar el siguiente libro en las instalaciones de la Biblioteca, o si prefiere, consulte el catálogo en línea de la BLAA por Internet, buscando por autor, título, o materia.El PC por la imagen.-sinopsis divulgativa del PC / Christoph DonkerBarcelona: Marcombo, Boixareu Editores, 1995. p. 60-61Núm. Top 001.64 D65pEstantería de la sala de Ciencia y Tecnología.



¿que son los virus informaticos?
Enviado por admin2005/02/11 14:23:39
Pero sabemos que son, lo primero que haremos será diferenciar algunos términos que nos pueden conducir a error.
Así comprenderemos mejor el temario expuesto en este SITE.
Gusano o WormSon programas que tratan de reproducirse a si mismo, no produciendo efectos destructivos sino el fin de dicho programa es el de colapsar el sistema o ancho de banda, replicándose a si mismo.
Caballo de Troya (troyanos) o CamaleonesSon programas que permanecen en el sistema, no ocasionando acciones destructivas sino todo lo contrario suele capturar datos generalmente password enviándolos a otro sitio, o dejar indefenso el ordenador donde se ejecuta, abriendo agujeros en la seguridad del sistema, con la siguiente profanación de nuestros datos.
El caballo de troya incluye el código maligno en el programa benigno, mientras que los camaleones crean uno nuevo programa y se añade el código maligno.
Joke ProgramSimplemente tienen un payload (imagen o sucesión de estas) y suelen destruir datos.
Bombas Lógicas o de TiempoProgramas que se activan al producirse un acontecimiento determinado. la condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o un estilo técnico Bombas Lógicas), etc...
Si no se produce la condición permanece oculto al usuario.
Retro VirusEste programa busca cualquier antivirus, localiza un bug (fallo) dentro del antivirus y normalmente lo destruye.
SpywareLos programas espía o spyware son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en círculos legales para recopilar información contra sospechosos de delitos.
Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de un programa aparentemente inocuo.
Los programas de recolección de datos instalados con el conocimiento del usuario no son realmente programas espías si el usuario comprende plenamente qué datos están siendo recopilados y a quién se distribuyen.
Los cookies son un conocido mecanismo que almacena información sobre un usuario de Internet en su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de Internet un número de identificación individual para su reconocimiento subsiguiente. Sin embargo, la existencia de los cookies y su uso generalmente no están ocultos al usuario, quien puede desactivar el acceso a la información de los cookies. Sin embargo, dado que un sitio Web puede emplear un identificador cookie para construir un perfil del usuario y éste no conoce la información que se añade a este perfil, se puede considerar a los cookies una forma de spyware.
Por ejemplo, una página con motor de búsqueda puede asignar un número de identificación individual al usuario la primera vez que visita la página, y puede almacenar todos sus términos de búsqueda en una base de datos con su número de identificación como clave en todas sus visitas subsiguientes (hasta que el cookie expira o se borra).
Estos datos pueden ser empleados para seleccionar los anuncios publicitarios que se mostrarán al usuario, o pueden ser transmitidos (legal o ilegalmente) a otros sitios u organizaciones
VirusSon una combinación de gusanos, caballos de troya, joke programs, retros y bombas lógicas.
Suelen ser muy DESTRUCTIVOSAquí tenemos otras definiciones de lo que son los virus. Por personas relacionadas del sector. Como vemos todas las definiciones pueden ser correctas, aun así la mejor definición seria una mezcla entre todas las aquí expuestas.
Es un segmento de código de programación que se implanta a si mismo en un archivo ejecutable y se multiplica sistemáticamente de un archivo a otro.
Pequeño segmento de código ejecutable escrito en ensamblador o lenguaje de macro, capaz de tomar el control de la maquina o aplicación en algún momento y auto replicarse, alojándose en un soporte diferente al que se encontraba originalmente. Javier Cáceres
Programa que puede infectar otros programas modificándolos para incluir una versión de si mismo. Fred Cohen
Son programas de ordenador. Su principal cualidad es la de poder auto replicarse o auto reproducirse. Intentan ocultar su presencia hasta el momento de su explosión y alteran el comportamiento y rendimiento del ordenador. Roberto Ferrero
Los virus son programas capaces de auto reproducirse copiándose en otro programa al que infectan, todo ello sin conocimiento del usuario. Los virus tienen la misión que le ha encomendado su programador, con lo que seria difícil decir que los virus tienen una misión común. Lo único que tienen de parecido es que deben pasar desapercibidos el máximo tiempo posible para poder cumplir su misión. Si son detectado el usuario puede eliminar el virus y controlar el contagio. RECUERDA: Si sabes lo que hace puedes pararle los pies. La Torre de Hechicería
Pequeño programa cuyo objetivo es perjudicar el funcionamiento de una computadora por medio de las instrucciones con que fue programado. Por lo general se adhiere a un programa benigno y de allá se activa y reproduce a otros programas.
Los Virus Informáticos o Electrónicos o Computacionales son aquellos programas que se esconden en los dispositivos de almacenamiento y si en estos se encuentran otros programas o datos son contaminados en ese momento por aquellos. Ningún programa de Virus puede funcionar por si sólo, requiere de otros programas para poderlos corromper. Su otra característica es la capacidad que tienen de auto duplicación, haciendo copias iguales de sí mismos, entrando furtivamente y provocando anomalías en las computadoras al desarrollar su función destructora. Se les ha dado el nombre de Virus por la analogía que tiene su comportamiento con el de los Virus Biológicos.
Un Virus Informático no es mas que un programa parásito auto reproductor, generalmente de efectos destructivos, que necesita de otros programas para su reproducción. Su nombre es totalmente correcto, ya que su funcionamiento es similar al de los virus orgánicos, de 1 pasa a 2, de 2 a 4, de 4 a 8 y así hasta llegar a la epidemia. Al contrario que los Virus orgánicos, los Virus Informáticos no sufren mutaciones en su comportamiento por si solos, aunque si pueden cambiar su código en cada infección, sin alterar su funcionamiento, para evitar su fácil detección. A estos virus, debido a su técnica de ocultación, se les denomina Virus Polimórficos y cambian según un código de Encriptación variable. KSNet
Un virus informático es simplemente un programa, al igual que los utilizados en un ordenador, como WordPerfect, Lotus, o Windows. La gran diferencia es que los programas mencionados son invocados explícitamente por el usuario, para ejecutar una tarea como escribir una carta o efectuar cálculos, mientras que los virus se ejecutan solos, sin pedirle permiso al usuario. Su propósito no es ayudar al usuario en la resolución de una tarea. Un Virus es un programa que en poco más de uno o dos Kbytes consiguen realizar acciones inimaginables; desde mostrar diversos mensajes o gráficos en pantalla hasta formatear el disco duro o hacernos perder todos los datos en él guardados.
Un virus de computadora, por definición, es un programa -o código- que se replica añadiendo una copia de si mismo a otro archivo ejecutable. Un virus es particularmente da debido a que, sin detección o protección antivirus, el usuario no se percata que su sistema esta siendo invadido hasta que ve los resultados que pueden ir desde anuncios inocuos hasta la perdida total del sistema.

"Darby" es un nuevo virus informático que se propagaba a través de servicios de mensajería instantánea como MSN Messenger, AOL Instant Messenger, Yahoo Messenger o ICQ, según ha alertado la Asociación de Internautas (AI).
Este código malicioso tiene características que le convierten en "extraordinario" en el mundo de los virus, porque utiliza las redes de mensajería instantánea para reproducirse y crea textos en castellano para incitar a los internautas a abrir los archivos adjuntos, asegura la AI.
Aparece como un mensaje en los cuadros de diálogo de los programas cliente, con el que incita a visitar un enlace determinado con una estructura que suele ser "Mira esta foto [...]".
La dirección URL contenida en el mensaje apunta a distintos servidores que descargan el ejecutable de forma silenciosa, y aprovecha puntos vulnerables del explorador de Microsoft.
El archivo descargado contiene un virus troyano que será guardado con los nombres "gedbot.exe" o "svhost.exe" en el directorio de sistema de Windows.


Virus
Que son
Es un pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este. Decimos que es un programa parásito porque el programa ataca a los archivos o sector de "booteo" y se replica a sí mismo para continuar su esparcimiento. Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas.

Como afectan al usuario
Los virus pueden afectar el ordenador (computador) del usuario de diferentes formas:
Contaminando archivos tipo Word o Excel provocando un comportamiento indeseado
Borrando desde un simple archivo hasta el contenido completo del disco duro, perdiendo así toda la información.
Corromper el área de arranque (Boot) del sistema, inhabilitando la máquina hasta que pueda ser recuperada dicha área.
Destrucción del Bios del computador, dañando de manera irrecuperable el computador
Uitlizar el computador del usuario como medio de propagación del virus, a través de la conexión con internet. El virus se apodera de la agenda de correos electronicos enviando correos contaminados a nombre del usuario propietario de la máquina a todas las direcciones existentes en la agenda, iniciando de este modo una larga cadena de contaminación Como se puede observar las formas en que un virus puede afectar nuestro computador son muy variadas y la mejor manera de atacarlos es utilizando buenos y actualizados programas antivirus y en el caso de los virus que se transmiten por la red a través del correo electronico, el sentido común es la mejor herramienta para combatirlos y evitar su propagación.

Como afectan a la red
A medida que la utilización de las redes aumenta en los medios informáticos y el auge de internet se incrementa, igualmente lo hacen los virus, provocando daño, destrucción e incontables dolores de cabeza a su paso. El principal problema que afrontan las redes informáticas en la actualidad es la demora en la atención de las peticiones realizadas por los usuarios de la red, estas demoras en muy buena parte se debe a los virus informáticos al ser propagados, los virus que utilizan al correo elelctronico como medio de propagación en ocaciones pueden hacer colapsar los servicios de una red.

Algunos Antivirus disponibles en la red
AVG Antivirus
FreeSite.com [Antivirus freeware]
FreeByte.com [Programas antivirus]

POLITICA DE VIRUS:

Todo correo entrante o saliente será revisado por un programa antivirus instalado en los servidores de correo de la Universidad.
Cualquier correo del cual se tenga certeza está contaminado por uno de esos virus que están plenamente identificados tales como amateurs, anniv, anti-terrorismo, aol4free, enano, girl, etc. serán automáticamente eliminados y por tanto no llegaran al destinatario.
Todo archivo adjunto (attachment) de los tipos considerados potencialmente peligrosos pero que son frecuentemente enviados vía correo electrónico tales como: archivos word (.doc y .dot), archivos excel (.xls y xlt), archivos PowerPoint (.ppt), archivos html (.htm y .html), etc., serán renombrados de manera de evitar que el usuario los abra en forma desprevenida (doble click en el correspondiente attachment). El contenido de los archivos adjuntos se deja intacto. Ver instrucciones de como "recuperar" attachments renombrados por el antivirus.
Todo correo que contenga adjuntos archivos de los catalogados de altísima peligrosidad serán removidos de la cola de envios. Los archivos considerados actualmente de alta peligrosidad son: *.asd, *.bat, *.chm, *.com, *.exe, *.cil, *.dll, *.eml, *.hlp, *.hta, *.js, *.lnk, *.nws, *.ock, *.pif, *.reg, *.vbe, *.vbs, *.wsc, *wsf y *.wsh. Ver recomendaciones para el envio de archivos de alta peligrosidad
En el caso de que el programa antivirus tome alguna de las acciones correctivas mencionadas anteriormente se intentará hacerle llegar al remitente y/o al destinatario información indicando el correctivo aplicado.

Sí desea ayuda o información adicional por favor escriba a: reduc@uc.edu.ve


Recomendaciones

Virus?, Yo!... Usted puede haber llegado a esta página por dos razones. La primera puede ser el resultado de su interés sobre las políticas antivirus implantadas por la Universidad de Carabobo y buscó el enlace respectivo. La segunda puede ser que decidió seguir un enlace (link) recibido en un correo con un mensaje como SECURITY WARNING y así fue como llegó hasta aquí
En resumen, el administrador del servicio de correo al cual envió el mensaje ha puesto en funcionamiento ciertas políticas de seguridad con respecto a los tipos de attachments que son aceptados, y se están rechazando aquellos considerados potencialmente peligrosos.
Usted puede argumentar "No he enviado tal mensaje ". Bien es muy posible que usted esté infectado con algún tipo de virus y que el mismo esté atacando a otros sin su conocimiento . El virus toma su identidad, en la espera que gente que le conozca confíe en el mensaje "enviado " por usted y de este modo infecte sus computadoras al abrir el archivo adjunto que usted supuestamente enviara. Tenga siempre presente lo siguiente en referencia a los attachments:
Si alguna vez recibe un mensaje que indica portar una actualización del sistema operativo o de algún programa de aplicación NO CONFIE en el attachment. Las compañías vendedoras de software no distribuyen parches o actualizaciones vía correo electrónico
Sí recibe algún mensaje que dice "Tengo un virus, aquí está la copia de la herramienta para eliminarlo", NO CONFIE en el attachment. Esto es exactamente lo que haría un virus para autopropagarse con la finalidad de obtener su confianza y que usted ejecute el attachment para infectar su equipo.
Usted puede preguntarse "Porque no puedo abrir mis attachments?". Bien si el nombre del attachment tiene la palabra "DEFANGUE" en el mismo, entonces su administrador de correos está forzando una política de seguridad para protegerlo a usted de este tipo de ataques. El contenido del attachment no ha sido alterado en ninguna forma. Lo que ha ocurrido es que el nombre del archivo adjunto ha sido cambiado para protegerlo del acto reflejo de hacer doble-click en el nombre aprovechando las "facilidades y ventajas" que le dan las interfaces gráficas para lectura de correos (como por ejemplo Outlook o Netscape).
Este es el modo en que los gusanos (forma de virus) se propagan. Aprovechan el acto reflejo del doble-click. Uno dice -- Ah! un attachment -- /{click-click}/ y ya está ... contaminado. Si usted se detiene a pensar primero, se daría cuenta por ejemplo que ese mensaje es de un extraño que no tiene una buena razón para enviarle un archivo. Esta es una de las razones para cambiar el nombre del archivo: hacer que usted pare y piense si es que debería hacer doble-click allí.
La segunda razón es que, si usted posee un programa antivirus, el acto de guardarlo en su disco le da una oportunidad al antivirus de poder escanear el archivo. Si lo abre directamente desde el programa de correos podría no hacerlo.

Recuperar Attachments

Envío de archivos de alta peligrosidad

Sí desea ayuda o información adicional por favor escriba a: reduc@uc.edu.ve


Programa para comprimir
Para ilustrar el ejemplo de compresión de archivos utilizaremos ejemplos e imágenes aplicados al WinZip. Winzip es un programa para comprimir archivos de una manera fácil y eficiente este programa es de tipo shareware que podemos bajar fácilmente de Internet en la dirección www.winzip.com. Ademas de este programa existen otros como el Gzip que ademas de realizar las mismas funciones es protegido por una licencia de tipo GPL la cual no exige ningun tipo de pago por el uso del programa. Si desea bajar este programa haga click aqui, sí desea más información sobre el uso del mismo este manual puede ser util


Bajar e instalar Winzip
Existen al menos dos maneras fáciles de conseguir una copia del winzip. La primera es a través del sitio web de los fabricantes del programa www.winzip.com y hacer click en la opción "Download Evaluation Version". La segunda manera es a través de los CD'S encartados en la mayoría de las revistas especializadas de computación como PC Magazine, entre otras. Tabién puede hacer click aquí para comenzar a bajarlo sin ningún otro paso previoInstalaciónDespues de haber obtenido el programa winzip el proceso de instalación es muy sencillo, solo debe hacer doble click sobre el icono del programa que acaba de bajar y el solo se encargará del proceso de instalación y configuración a menos que usted decida intervenir en el proceso cambiando los parametros de configuración.Nota: Recomendamos dejar que el programa se instale y configure por si mismo, no cambie los parametros de configuracion a menos que sepa lo que esta haciendo. Comprimiendo archivos

Circular 139 - Responsabilidad por virus
El análisis de la responsabilidad derivada de la difusión de un virus merece especial atención en estos momentos en que el uso intensivo de redes telemáticas permite un mayor alcance de sus efectos. Prueba de ello la tenemos en la reciente difusión por correo electrónico del virus "I love you".
Para analizar los diferentes supuestos que generan responsabilidad, debemos tener en cuenta los canales de difusión que contribuyen a potenciar el efecto pirámide en el que los virus basan su efectividad. En todos ellos es aplicable el régimen de responsabilidad extracontractual establecido en el artículo 1902 del Código Civil, que obliga a reparar los daños a quien, por acción u omisión, causa un perjuicio a otro, interviniendo culpa o negligencia.
- Creación: La mera creación de un virus puede obedecer a una intención distinta a la puesta en circulación: participar en un concurso, competir con otros virus, crear armas de guerra electrónica, etc.
- Puesta en circulación: Es difícil obtener una identificación plena del responsable de la puesta en circulación del virus. Aunque en el caso de redes telemáticas es posible encontrar rastros de la primera aparición del virus, es posible alterar esa información.
En cualquier caso, la responsabilidad de la persona que inicia la cadena de efectos nocivos de un virus, planificando la difusión intencionada del mismo a través de un medio de transmisión está clara, pues el daño es perfectamente previsible y seguro.
- Introducción intencionada en un sistema específico:
Por su tipificación como delito de daños, los actos de sabotaje informático pueden generar responsabilidad civil y penal. Pueden tener su origen en personas del interior de la empresa que por un motivo como la ruptura de la relación laboral, deciden causar un daño, o en personas del exterior de la empresa, que acceden al sistema informático por medios telemáticos. En ambos casos se cumplen los requisitos para reclamar una indemnización.
El artículo 264.2 del Código Penal castiga con la pena de prisión de uno a tres años al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.
- Difusión de virus entre usuarios: La difusión involuntaria de un virus entre usuarios de sistemas informáticos puede tener dos niveles:
- La difusión debida a una conducta negligente
- La difusión de virus no catalogados
La diligencia debida en el tratamiento de la información obliga a realizar copias de seguridad y a instalar sistemas de detección de virus. En el caso de archivos que se envían a otros usuarios, la ausencia de control previo puede ser calificado como negligente, puesto que el riesgo de destrucción de datos se está traspasando a otros colectivos y ello podía haberse evitado de una manera sencilla y económica. Pero también puede alegarse que el usuario receptor del archivo afectado podría haber evitado el daño pasando el correspondiente anti-virus, a lo que cabe replicar que este trámite se obvió por tratarse de un remitente que ofrecía confianza.
En cualquier caso, el Reglamento de seguridad de la LORTAD establece la obligación de realizar copias de seguridad, al menos una vez a la semana, cuando el sistema informático contiene datos personales de tipo básico.
Cuando el virus que afecta al archivo transmitido no está incluido en el catálogo de virus del programa de detección utilizado, por tratarse de una clase de reciente aparición, la conducta diligente del usuario debería ser suficiente para enervar la responsabilidad.
Para ello, el usuario deberá mantener actualizado el programa anti-virus con los archivos suministrados periódicamente por el fabricante.
Un detalle paradójico lo constituye el artículo 96.3 del Texto Refundido de la Ley de Propiedad Intelectual, al establecer la exclusión de los virus de las creaciones protegidas por el derecho de autor. El objetivo de este precepto es facilitar las actividades de análisis necesarias para la creación de un antivirus, pero resulta innecesario por la sencilla razón de que el creador de un virus no acostumbra a reclamar la titularidad del mismo de forma pública.
RECOMENDACIONES
- Adquiera siempre programas originales.
- No acepte ni transmita copias no autorizadas de programas de ordenador
- No instale programas obtenidos en fuentes no fiables.
- No ejecute ningún fichero sospechoso que reciba por correo electrónico, aunque provenga de un amigo.
- Instale y mantenga actualizado un programa anti-virus.
- Suscriba un servicio de alerta de virus en Internet.


1. Historia
Es importante señalar que la palabra "Virus" es un vocablo latín y su equivalencia a nuestro lenguaje actual es "veneno"La Teoría y Organización de un Autómata Complicado (1949) de John Von Neumann, uno de los primeros miembros de la comunidad informática y padre del modelo actual de computadoras, presentó con esta teoría el modelo de programa de un virus, explicando que los programas de los computadores se podían multiplicar, nadie pensó en ese momento la repercusión que tendría esta teoría en un futuro no muy lejano.Diez años más tarde, en la atmósfera enrarecida de los laboratorios AT&T Bell, tres jóvenes programadores desarrollaron un juego denominado "Core-Wars". Estos jóvenes genios, Douglas McIlroy, Victor Vysottsky y Robert Morris, comprendieron magníficamente el funcionamiento interno de los computadores. "Core-Wars", consistía en una batalla mano a mano entre los códigos de dos programadores, cada programador desarrollaba un conjunto de programas que se reproducían, llamados Organismos. Tras el tiro de salida, cada jugador soltaba sus Organismos en la memoria del computador. Los Organismos de cada uno trataban de destruir a los del oponente y el jugador que mantuviera mayor número de supervivientes al finalizar el juego era declarado ganador. Los jóvenes genios como buenos empleados, al finalizar borraban los juegos y se iban a casa. El concepto de juego se difundió por otros centros de alta tecnología, como el Instituto de Tecnología de Massachusetts (MIT) o el Centro de Investigación de Xerox en Palo Alto, California. Cuando se jugaba al Core-Wars en una sola máquina, podía pararse y no se corría el riesgo de que se propagara. Esto se realizó no mucho antes de que el fenómeno que hoy conocemos como "conectividad" facilitara las comunicaciones entre computadoras. El fantasma de un juego divertido que se volviera perjudicial y se multiplicara entre las máquinas interconectadas rondó por sus cabezas. El juego Core-Wars fue un secreto guardado por sus jugadores hasta 1983. Ken Thompson, el brillante programador que escribió la versión original en UNIX, lo develo a la opinión pública. Cuando Thompson recibió uno de los más altos honores de la industria, el premio A.M. Turing, su discurso de aceptación contenía una receta para desarrollar virus. Thompson contó todo sobre Core-Wars y animó a su audiencia a intentar practicar el concepto.El número de Mayo de 1984 de la revista Scientific American (Científico Americano), incluyó un artículo describiendo Core-Wars y ofreció a los lectores la oportunidad de solicitar un conjunto de instrucciones para diversión y juegos en el hogar o la oficina. En ese mismo año 1984, Fred Cohen expuso por primera vez por escrito, el concepto de virus informático, durante el desarrollo de una conferencia sobre seguridad. El primer contagio masivo de microordenadores se dio en 1987 a través del MacMag Virus también llamado Peace Virus sobre ordenadores Macintosh. La historia, se describe a continuación: Dos programadores, uno de Montreal, Richard Brandow, y el otro de Tucson, Drew Davison, crearon un virus y lo incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y contaminó su ordenador. Al realizar pruebas del paquete Aldus Freehand, contaminó el disco maestro el cual posteriormente devolvió a la empresa fabricante; allí la epidemia se extendió y el programa se comercializó con el virus incluido. El virus era bastante benigno, el 2 de Marzo de 1988 (primer aniversario de la aparición del Macintosh II) hizo público en la pantalla un mensaje pidiendo la paz entre los pueblos, y se destruyó a sí mismo. Existe una versión de este virus detectada en alguna red de correo electrónico de IBM y al que se denomina IBM Christmas Card o Xmas, el cual felicita al usuario cada 25 de Diciembre. Pero no todo fue felicitaciones y buenos deseos. El conocido virus Viernes 13 fue detectado por primera vez en la Universidad Hebrea de Jerusalén "casualmente" el primer Viernes 13 (13 de Mayo de 1988), era el cuarenta aniversario de la fundación del Estado Judío. El virus se difundió por la red de la Universidad e infectó ordenadores del ejército israelí, Ministerio de Educación, etc. Este mismo virus fue difundido en España por el disco de la revista Tu ordenador Amstrad (Mayo de 1989). Aquí hay un caso más reciente. En 1987 un periodista de los Estados Unidos perdió la información de 6 meses de trabajo guardada en un disco, cuando trató de recuperarla se dio cuenta que era obra de un sabotaje. En el disco se encontraba el número telefónico de una tienda de computación pakistaní y el siguiente mensaje: Bienvenidos al calabozo... llámenos para la vacuna. La información había sido presa de un virus maligno. Investigando el caso se encontró que dicha tienda era Brain Computer Services y que vendía copias ilegales de algunos programas con un costo de cientos de dólares a sólo $1.50 cada una (aproximadamente unos 1000 pesos chilenos). Durante 1986 y 1987, algunos de sus clientes fueron estudiantes estadounidenses atraídos por su bajo costo. Sin embargo, escondido en el disco había un virus; cada vez que el programa se ejecutaba, el virus contaminaba a la computadora y ésta a su vez, infectaba a los discos de otros usuarios. Los diseñadores son los hermanos Amjad y Basit Farooq Alvi, dueños de Brain Computer Services. En 1985, se decidieron a hacer software, y para su desdicha, éste fue copiado y usado sin permiso. Así fue como a Amjad se le ocurrió hacer un programa que se autoduplicara, cuyo objetivo fuera infectar la computadora de un usuario desautorizado, forzándolo así a llamarles para reparar los daños. Al poco tiempo, tenían un virus que incluían en sus copias ilegales. Cuando un pakistaní deseaba una copia de un paquete se le vendía libre de virus, pero a los extranjeros se les vendían copias contaminadas. Según declaraciones de los hermanos Alvi, en Pakistán, las leyes de derecho de autor no abarcan el software, por lo que vender software pirata no es ilegal. En cambio en EU, como en la mayor parte del mundo, es una práctica ilícita. Ellos aseguran que dejaron de vender copias ilegales en 1987, pensando que los piratas ya debían haber tenido una lección. Muy difundido también fue el caso de Robert Tappan Morris en Noviembre de 1988, el joven que contaminó (quizá sin ser suintención) la Red del Pentágono ARPAnet, paralizando gran número de computadoras estatales; los daños causados se calculaban en unos 80 millones de dólares. Actualmente los virus son una de las principales causas de la pérdida de información en computadores. Sus propietarios deben estar invirtiendo cada vez más en los antivirus para la eliminación y erradicación de éstos, los antivirus no son nada más que programas especialmente diseñados para que batallen contra los virus, los identifiquen y posteriormente los eliminen. Existe un incesante riesgo que corren hoy en día todos aquellos que se hacen participe de la red de redes (INTERNET), así sea por el mal uso que le dan algunos inescrupulosos al popular correo electrónico mediante el mail-bombing o sino por el solicitar de aquella red archivos, programas, fotos o todo lo que se pueda almacenar en nuestro disco maestro. El primero consiste en recibir falsos correos electrónicos saludando o promocionando ciertos productos desconocidos, del cual el lector se hace participe sin saber que tras esto se oculta una verdadera amenaza de contagio para sus computadores. Y el segundo es adjuntar a los archivos de la INTERNET, programas especialmente diseñados para provocar errores en el huésped, es decir, añadirle un virus para que éste haga de las suyas con el computador que lo recibe.
2. Concepto de virus informático.
Al hablar de virus en la red informática, existen muchas preguntas sin respuestas, dentro de las que se encuentran las siguientes opiniones:
Son Programas de Computadoras
Su principal característica es la de poder autorreplicarse.
Intentan ocultar su presencia, hasta el momento de la explosión.
Producen efectos dañinos en el Huésped.
Si obviamos el primer punto y observamos los restantes, nos podremos dar cuenta que estas características son muy semejantes a las de un virus biológico, de ahí el nombre adoptado. Así como el cuerpo humano puede ser atacado por agentes infecciosos, también los computadores, con emisarios infecciosos capaces de alterar el correcto funcionamiento de este e incluso provocar daños irreparables en ciertas ocasiones, es así como esta puede borrar toda la información de su disco duro, destruir su "boot sector" o cambiar su formato de trabajo de Word o Excel. También puede hacer que su sistema quede bloqueado o crear algunos "efectos especiales" interesantes de ver, como letras que caen de la pantalla del micro.Hablando más profundamente del tema, y refiriéndonos al punto uno, Un virus informático es un programa de computadora, tal y como podría ser un procesador de textos, una hoja de cálculo o un juego. Obviamente ahí termina todo su parecido con estos típicos programas que casi todo el mundo tiene instalados en sus computadoras. Un virus informático ocupa una cantidad mínima de espacio en disco (el tamaño es vital para poder pasar desapercibido), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de sí mismo e infecta archivos, tablas de partición o sectores de arranque de los discos duros y disquetes para poder expandirse lo más rápidamente posible. Ya se ha dicho antes que los virus informáticos guardan cierto parecido con los biológicos y es que mientras los segundos infectan células para poder replicarse los primeros usan archivos para la misma función. En ciertos aspectos es una especie de "burla tecnológica" hacia la Naturaleza. Mientras el virus se replica intenta pasar lo más desapercibido que puede, intenta evitar que el "huésped" se dé cuenta de su presencia... hasta que llega el momento de la "explosión". Es el momento culminante que marca el final de la infección y cuando llega suele venir acompañado del formateo del disco duro, borrado de archivos o mensajes de protesta. No obstante el daño se ha estado ejerciendo durante todo el proceso de infección, ya que el virus ha estado ocupando memoria en el computador, ha ralentizado los procesos y ha "engordado" los archivos que ha infectado.La propagación de estos a través de las maquinas, se puede realizar de diversas formas, por medio de disquetes o a través de las redes de comunicación que unen una serie de computadoras. Se realizan regularmente en lenguaje ensamblador (ASM); sin embargo no todos los programas hechos en ASM pueden considerarse virus, debido a que existen unos programas del sistema operativo escritos en este lenguaje.
3. Clasificación
Dependiendo del lugar donde se alojan, la técnica de replicación o la plataforma en la cual trabajan, podemos clasificarlos en distintos tipos de virus:
Virus de Sector de Arranque (boot)
Virus de archivos
Virus de acción directa
Virus de sobreescritura
Virus de compañía
Virus de Macro
Virus BAT
Virus del MIRC
Virus Mutantes
Bombas de Tiempo
Infectores de Programas Ejecutables
Virus De Sector De Arranque (BOOT)Utilizan el sector de arranque, el cual contiene la información sobre el tipo de disco, es decir, número de pistas, sectores, caras, tamaño de la FAT, sector de comienzo, etc. A todo esto hay que sumarle un pequeño programa de arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de los discos duros, pueden utilizar también la tabla de particiones como ubicación. Suelen quedar residentes en memoria al hacer cualquier operación en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el Brain.
Virus De ArchivosInfectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es estos momentos son los archivos DOC y XLS los que están en boga gracias a los virus de macro. Normalmente lo que realizan es insertar el código del virus al principio o al final del archivo, manteniendo intacto el programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al programa original para que se continúe de modo normal. Un ejemplo de estos virus es "El Viernes 13", el cual es un ejemplar representativo de este grupo.Dentro de la categoría de virus de archivos podemos encontrar mas subdivisiones, como los siguientes:
Virus de acción directa. Son aquellos que no quedan residentes en memoria y que se replican en el momento de ejecutarse un archivo infectado.
Virus de sobreescritura. Corrompen el archivo donde se ubican al sobrescribirlo.
Virus de compañía. Aprovechan una característica del DOS, gracias a la cual si llamamos un archivo para ejecutarlo sin indicar la extensión, el sistema operativo buscará en primer lugar el tipo COM. Este tipo de virus no modifica el programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo el virus con extensión COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente éste pasará el control a la aplicación original.
Virus De MacroEs una familia de virus de reciente aparición y gran expansión. Estos programas están usando el lenguaje de macros WordBasic, gracias al cual pueden infectar y replicarse a través de archivos MS-Word (DOC). En la actualidad esta técnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el caso de los archivos SAM del procesador de textos de Lotus. Se ha detectado, de este tipo de virus, que son multiplataformas en cuanto a sistemas operativos, ya que dependen únicamente de la aplicación. Hoy en día son el tipo de virus que están teniendo un mayor auge debido a que son fáciles de programar y de distribuir a través de Internet. Aún no existe una concienciación del peligro que puede representar un simple documento de texto. Porción de código de un típico virus Macro: Sub MAIN DIM dlg As FileSaveAs GetCurValues dlg ToolsOptionsSave.GlobalDotPrompt=0 Ifcheckit(0)=0 Then MacroCopy FileName$() + ":autoopen", "global;autoopen" End If
Virus BATEste tipo de virus emplea ordenes DOS en archivos de proceso por lotes, y consiguen replicarse y efectuar efectos dañinos como cualquier otro tipo virus. En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian igualmente como archivos COM y se ejecutan.
Virus Del MIRCVienen a formar parte de la nueva generación Internet y demuestra que la Red abre nuevas forma de infección. Consiste en un script para el cliente de IRC MIRC. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini", infectando así el computador.
Virus MutantesSon los que al infectar realizan modificaciones a su código, para evitar ser detectados o eliminados (Satán, Miguel Ángel, por mencionar algunos).
Bombas De TiempoSon los programas ocultos en la memoria del sistema o en los discos, o en los archivos de programas ejecutables con tipo COM o EXE. En espera de una fecha o una hora determinadas para "explotar". Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la "explosión". Llegado el momento, se activan cuando se ejecuta el programa que las contiene.
Infectores De Programas EjecutablesEstos son los virus mas peligrosos, porque se diseminan fácilmente hacia cualquier programa (como hojas de cálculo, juegos, procesadores de palabras).
4. Tipos de virus informáticos
El "Melissa", es un Virus bastante conocido, utiliza los libros de direcciones de Microsoft Outlook para inundar a las computadoras de mensajes de correo electrónico, debutó en marzo de 1999. Fue uno de los virus de más rápida propagación que se conocen. Melissa destruye archivos en los discos duros de los usuarios y en las computadoras conectadas a una misma red.El virus "Anna Kournikova", fue potencialmente tan devastador como el virus del amor y llevaba casi el mismo código. Sin embargo, la gente recibía una "carta de amor" en su buzón y la abría. La diferencia es la curiosidad, debido a que no mucha gente estuvo interesada en saber quién era "Anna Kournikova". La idea de tener un admirador o admiradora pica la curiosidad de muchos, pero la atracción de la hermosa tenista rusa está confinada a cierto grupo de personas.El virus "Pindonga", es un Virus Polimórfico residente en memoria que se activa los días 25 de febrero, 21 de marzo, 27 de agosto y 16 de septiembre, cuando ataca, borra toda la información contenida en el Disco Duro.El virus "Leproso", creado en 1993, en Rosario, provincia de Santa Fé, se activa el día 12 de Enero (cumpleaños del autor), y hace aparecer un mensaje que dice: "Felicitaciones, su máquina está infectada por el virus leproso creado por J. P.. Hoy es mi cumpleaños y lo voy a festejar formateando su rígido.
FuncionamientoHay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos dejar a un lado las histerias y los miedos infundados que ellos producen y al mismo tiempo ser conscientes del daño real que pueden causarnos. Para ello, lo mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente.
Proceso de infeccion. El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último archivo descargado de Internet.Dependiendo del tipo de virus el proceso de infección varia sensiblemente. Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario introduce el disco en la computadora ( por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus desfasado ) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un ejecutable. Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son leídas por el computadora y procesadas, pero también procesa otras instrucciones que no deberían estar ahí. El virus comprueba si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa a esta y puede que se quede residente en ella. A partir de ese momento todo programa que se ejecute será contaminado. El virus ejecutará todos los programas, pero después se copiará a sí mismo y se "pegará" al programa ejecutado "engordándolo" unos cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan esos bytes de más para que parezca que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de sistema, aquellos que están en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. Así, cuando el usuario vuelva a arrancar la computadora el virus se volverá a cargar en la memoria cuando se ejecuten los archivos de arranque del sistema contaminados y tomará otra vez el control del mismo, contaminando todos los archivos que se encuentre a su paso. Puede que el virus sea también de "Sector de arranque", es decir, actúe cuando el computador se esté iniciando . En ese caso el código del virus se copiará en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobreescriba el sector original o que se quede una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si el usuario arranca la computadora con un disquete "limpio" el virus no podrá cargarse en memoria y no tendrá el control. Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de sector de arranque sólo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de arranque, etc., etc. ,etc. Cualquiera sea el caso que se nos presente, deberá obviamente ser combatido por un buen antivirus, de está manera se conseguirá eliminar este programa maligno que nos puede costar un trabajo, o mejor dicho, una fortuna.
5. Técnicas de programación para un virus
Técnicas Stealth Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus ocultan el tamaño real de los archivos que han contaminado, de forma que si hacemos un DIR la información del tamaño de los archivos puede ser falsa. Los virus de tabla de partición guardan una copia de la FAT original en otro lugar del disco que marcan como sectores defectuosos para mostrársela al usuario cuando haga por ejemplo un FDISK. Incluso hay virus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de su propio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda.
Tunneling Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupción y tener así un control directo sobre esta. Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.
Antidebuggers Un debugger es un programa que permite descompilar programas ejecutables y mostrar parte de su código en lenguaje original. Los virus usan técnicas para evitar ser desensamblados y así impedir su análisis para la fabricación del antivirus correspondiente.
Polimorfismo o automutaciónEs una técnica que consiste en variar el código vírico en cada infección (más o menos lo que hace el virus del SIDA en los humanos con su capa proteica). Esto obliga a los antivirus a usar técnicas heurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código. Esto se consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus. La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es reversible: 7 XOR 9 = 2 2 XOR 9 = 7
En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obtiene una codificación también distinta. Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico. TSR Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecución. Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendida. Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando se vuelva a arrancar la computadora este vuelva a ser cargado en la memoria del computador.
6. Antivirus
¿Qué son los Antivirus?Los AntivirusLos programas antivirus son una herramienta específica para combatir el problema virus, pero es muy importante saber como funcionan y conocer bien sus limitaciones para obtener eficiencia en el combate contra los virus. Cuando se piensa en comprar un antivirus, no debe perderse de vista que, como todo programa, para funcionar correctamente, debe esta bien configurado. Además, un antivirus es una solución para minimizar los riesgos y nunca será una solución definitiva, lo principal es mantenerlo actualizado. La única forma de mantener su sistema seguro es mantener su antivirus actualizado y estar constantemente leyendo sobre los virus y las nuevas tecnologías. La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Éste es el aspecto más importante de un antivirus, pero, las empresas deben buscar identificar también las características administrativas que el antivirus ofrece. La instalación y administración de un antivirus en una red es una función muy compleja si el producto no lo hace automáticamente. Es importante tener en claro la diferencia entre "detectar" e "identificar" un virus en una computadora. La detección es la determinación de la presencia de un virus, la identificación es la determinación de qué virus es. Aunque parezca contradictorio, lo mejor que debe tener un antivirus es su capacidad de detección, pues las capacidades de identificación están expuestas a muchos errores y sólo funcionan con virus conocidos.
IdentificaciónEl modelo más primario de las funciones de un programa antivirus es la detección de la presencia de un virus y, en lo posible, su identificación. La primera técnica que se popularizó en los productos antivirus fue la técnica de rastreo (scanning). Los rastreadores antivirus representan la mayoría de los productos de actualidad. La desventaja de los rastreadores es que éstos no consiguen reconocer los virus "desconocidos"; o sea, todo nuevo virus necesita ser descubierto y analizado antes de que un rastreador pueda reconocerlo. La velocidad de actualización de un rastreador depende en mucho de los laboratorios de cada fabricante; cuantos más laboratorios haya en el mundo, más Ingenieros Investigadores locales estarán trabajando en la localización de un virus, haciendo así un trabajo más rápido y eficiente para la solución del antivirus. Rastrear es el método conocido para localizar un virus después de que éste haya infectado un sistema. Cabe mencionar que los rastreadores también pueden identificar los virus por nombre, mientras otros métodos no pueden.
DetecciónDebido a las limitaciones de la técnica de rastreo, los productores de programas antivirus han desarrollado otros métodos para detección de virus informáticos. Estas técnicas buscan identificar los virus por funciones básicas comunes, reconociendo el virus por su comportamiento y no por una pequeña porción de código como lo hacen los rastreadores. De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, instrucciones potencialmente dañinas pertenecientes a un virus informático. El método de monitoreo del sistema (también conocido como rule-based) es la mejor alternativa de protección en tiempo real para PC´s individuales o para estaciones de trabajo. Estos sistemas antivirus permanecen residentes en la memoria y quedan a la expectativa en caso de actividades virulentas. Por ejemplo, si un programa en memoria intentara infectar un archivo en el disco, un producto antivirus de monitoreo de sistema percibirá dicho intento y alertará al usuario.
Características De Un Buen AntivirusLa configuración mas adecuada para proteger su computadora, es la combinación de un sistema de monitoreo del sistema mismo, acompañado de un rastreador de alta tecnología apoyado por un soporte técnico de ingenieros especializados en combatir virus con un reconocimiento y concepción de actualizaciones lo más rápidas y eficientes posibles. Algunas característica operacionales son muy importantes:
Monitor En "Real Time" (Tiempo Real)El monitor "real time" examina automáticamente todos los archivos que entren y salgan antes que sean abierto o ejecutados. Si encuentra un archivo infectado, podrá limpiarlo automáticamente. El monitor "real time" esta constantemente examinando su sistema mientras usted trabaja normalmente, para detener cualquier virus que se ejecute antes de que pueda producir algún daño.
LimpiezaEl antivirus debe ofrecer la opción de mantener una copia del archivo infectado durante la limpieza. La limpieza de un virus de un archivo puede causar algún daño y la recuperación puede no ser bien sucedida, con una copia se puede intentar una nueva limpieza o enviar el archivo para un "virus hospital" para ser limpiado por "virus doctors" (www.antivirus.com)
Rastreo De Archivos CompactadosCuando busquen un antivirus identifiquen cuantos procesos de compactación conoce, es muy importante que el producto conozca el mayor número de métodos posibles.
ActualizacionesEl programa antivirus debe permitir una actualización automática por Internet, cuando hablo de actualización yo no estoy hablando solamente de los padrones de virus que permiten la identificación del virus por el nombre, pero es importante que el programa antivirus permita también la actualización del ejecutable de detección. Se debe verificar también cual es el período de actualización, hay virus nuevos todos los días, si la actualización tardara mucho, el sistema antivirus no podrá ser eficiente.
7. Protección para virus de Internet
Los virus de Internet deben ser una de las principales preocupaciones del usuario. El antivirus debe tener una protección activa cuando esta navegando por la Internet. Esta protección debe impedir el usuario de ejecutar un Java applet o controles ActiveX que pueden causar daños en su sistema. A continuación se mostrarán algunos ejemplos de los mejores Antivirus que existen hoy en día; y su dirección en la web, para que puedas bajar una versión de prueba.
El legendario Norton Antivirus, uno de los mejores softwares, para la eliminación de virus informáticos.Puedes conseguir una versión de prueba en: www.symantec.comPanda Antivirus, de la compañía Panda Software, catalogado por muchos como "el mejor", posee una excelente interfaz grafica, fácil de usar, y se puede actualizar gratis por Internet.
Puedes bajar un antivirus de prueba en: www.pandasoftware.comY por último hemos dejado, a uno de los más conocidos softwares antivirus, el Dr. Solomon Antivirus Toolkit; ahora en su presentación para windows95 y windows98, también posee protección para Internet y correo electrónico, sin olvidar la protección bajo modo MS-DOS.Puedes bajar una versión de prueba en: www.DrSolomon.com


¿Que son?
Pero sabemos que son, lo primero que haremos será diferenciar algunos términos que nos pueden conducir a error.
Para ver el gráfico seleccione la opción ¨Bajar trabajo¨ del menú superior
Así comprenderemos mejor el temario expuesto en este WEB.
Términos
Gusano o Worm Son programas que tratan de reproducirse a si mismo, no produciendo efectos destructivos sino el fin de dicho programa es el de colapsar el sistema o ancho de banda, replicándose a si mismo.
Caballo de Troya o Camaleones Son programas que permanecen en el sistema, no ocasionando acciones destructivas sino todo lo contrario suele capturar datos generalmente password enviándolos a otro sitio, o dejar indefenso el ordenador donde se ejecuta, abriendo agujeros en la seguridad del sistema, con la siguiente profanación de nuestros datos.
El caballo de troya incluye el código maligno en el programa benigno, mientras que los camaleones crean uno nuevo programa y se añade el código maligno.
Joke Program Simplemente tienen un payload (imagen o sucesión de estas) y suelen destruir datos.
Bombas Lógicas o de Tiempo Programas que se activan al producirse un acontecimiento determinado. la condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o un estilo técnico Bombas Lógicas), etc... Si no se produce la condición permanece oculto al usuario.
Retro Virus Este programa busca cualquier antivirus, localiza un bug (fallo) dentro del antivirus y normalmente lo destruye
Para ver el gráfico seleccione la opción ¨Bajar trabajo¨ del menú superior
Virus
Son una combinación de gusanos, caballos de troya, joke programs, retros y bombas lógicas. Suelen ser muy DESTRUCTIVOS."La vida de un virus"
Otras definiciones
Aquí tenemos otras definiciones de lo que son los virus. Por personas relacionadas del sector. Como vemos todas las definiciones pueden ser correctas, aun así la mejor definición seria una mezcla entre todas las aquí expuestas.
Es un segmento de código de programación que se implanta a si mismo en un archivo ejecutable y se multiplica sistemáticamente de un archivo a otro.
Pequeño segmento de código ejecutable escrito en ensamblador o lenguaje de macro, capaz de tomar el control de la maquina o aplicación en algún momento y auto replicarse, alojándose en un soporte diferente al que se encontraba originalmente.
Programa que puede infectar otros programas modificándolos para incluir una versión de si mismo.
Son programas de ordenador. Su principal cualidad es la de poder auto replicarse o auto reproducirse. Intentan ocultar su presencia hasta el momento de su explosión y alteran el comportamiento y rendimiento del ordenador.
Los virus son programas capaces de auto reproducirse copiándose en otro programa al que infectan, todo ello sin conocimiento del usuario.Los virus tienen la misión que le ha encomendado su programador, con lo que seria difícil decir que los virus tienen una misión común. Lo único que tienen de parecido es que deben pasar desapercibidos el máximo tiempo posible para poder cumplir su misión. Si son detectado el usuario puede eliminar el virus y controlar el contagio.
Pequeño programa cuyo objetivo es perjudicar el funcionamiento de una computadora por medio de las instrucciones con que fue programado. Por lo general se adhiere a un programa benigno y de allá se activa y reproduce a otros programas.
Los Virus Informáticos o Electrónicos o Computacionales son aquellos programas que se esconden en los dispositivos de almacenamiento y si en estos se encuentran otros programas o datos son contaminados en ese momento por aquellos. Ningún programa de Virus puede funcionar por si sólo, requiere de otros programas para poderlos corromper. Su otra característica es la capacidad que tienen de auto duplicación, haciendo copias iguales de sí mismos, entrando furtivamente y provocando anomalías en las computadoras al desarrollar su función destructora. Se les ha dado el nombre de Virus por la analogía que tiene su comportamiento con el de los Virus Biológicos.
Un Virus Informático no es mas que un programa parásito auto reproductor, generalmente de efectos destructivos, que necesita de otros programas para su reproducción. Su nombre es totalmente correcto, ya que su funcionamiento es similar al de los virus orgánicos, de 1 pasa a 2, de 2 a 4, de 4 a 8 y así hasta llegar a la epidemia. Al contrario que los Virus orgánicos, los Virus Informáticos no sufren mutaciones en su comportamiento por si solos, aunque si pueden cambiar su código en cada infección, sin alterar su funcionamiento, para evitar su fácil detección. A estos virus, debido a su técnica de ocultación, se les denomina Virus Polimórficos y cambian según un código de Encriptación variable.
Un virus informático es simplemente un programa, al igual que los utilizados en un ordenador, como WordPerfect, Lotus, o Windows. La gran diferencia es que los programas mencionados son invocados explícitamente por el usuario, para ejecutar una tarea como escribir una carta o efectuar cálculos, mientras que los virus se ejecutan solos, sin pedirle permiso al usuario. Su propósito no es ayudar al usuario en la resolución de una tarea.
Un Virus es un programa que en poco más de uno o dos Kbytes consiguen realizar acciones inimaginables; desde mostrar diversos mensajes o gráficos en pantalla hasta formatear el disco duro o hacernos perder todos los datos en él guardados.
Un virus de computadora, por definición, es un programa -o código- que se replica añadiendo una copia de si mismo a otro archivo ejecutable. Un virus es particularmente da debido a que, sin detección o protección antivirus, el usuario no se percata que su sistema esta siendo invadido hasta que ve los resultados que pueden ir desde anuncios inocuos hasta la perdida total del sistema.
Tipos de virus
Existen una variedad de virus en función de su forma de actuar o de su forma de infectar clasificados de la siguiente manera.
Acompañante
Estos virus basan su principio en que MS-DOS, ejecuta el primer archivo COM y EXE del mismo directorio. El virus crea un archivo COM con el mismo nombre y en el mismo lugar que el EXE a infectar.
Después de ejecutar el nuevo archivo COM creado por el virus y cede el control al archivo EXE.
Archivo
Los virus que infectan archivos del tipo *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e incluso BAT. Este tipo de virus se añade al principio o al final del archivo. Estos se activan cada vez que el archivo infectado es ejecutado, ejecutando primero su código vírico y luego devuelve el control al programa infectado pudiendo permanecer residente en la memoria durante mucho tiempo después de que hayan sido activados.
Este tipo de virus de dividen el dos:Virus de Acción Directa que son aquellos que no se quedan residentes en memoria y se replican en el momento de ejecutar el fichero infectado y los virus de Sobrescritura que corrompen el fichero donde se ubican al sobrescribirlo.
Bug-Ware
Bug-ware es el termino dado a programas informáticos legales diseñados para realizar funciones concretas. Debido a una inadecuada comprobación de errores o a una programación confusa causan daños al hardware o al software del sistema.
Muchas veces los usuarios finales aducen esos daños a la actividad de virus informáticos. Los programas bug-ware no son en absoluto virus informáticos, simplemente son fragmentos de código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan los datos del computador
El término "bug" fue asociado a interferencias y malfuncionamiento desde mucho tiempo antes de que existieran los ordenadores modernos, siendo Thomas Edison uno de los primeros en acuñar este significado. Si bien fue una mujer, Grace Murray Hopper, quién en 1945 documentó el primer "bug" informático.
"bug", traducido literalmente del inglés como "bicho", adquiere otro significado cuando hablamos de informática. Esta otra acepción se refiere a elementos y circunstancias en el software o hardware, involuntarios e indeseados, que provocan un malfuncionamiento. A lo largo de los años este término se ha popularizado y hoy día se utiliza comúnmente para referirse a los errores en los programas informáticos. La relación con la seguridad informática es directa, ya que muchas de las vulnerabilidades que día a día vemos en Hispasec están asociadas a "bugs".
Grace Murray Hopper (1906-1992), graduada en matemáticas y física por el Vassar College, y doctora en matemáticas por la universidad de Yale, ha pasado a la historia por ser una innovadora programadora durante las primeras generaciones de ordenadores.
En 1943, durante la segunda guerra mundial, decidió incorporarse a la marina estadounidense. Fue destinada al laboratorio de cálculo Howard Aiken en la Universidad de Harvard, donde trabajó como programadora en el Mark I.
El 9 de septiembre de 1945 el grupo de trabajo de Aiken y Grace se encontraba en la sala del Mark II intentando averiguar porqué el ordenador no funcionaba adecuadamente. Tras un examen concienzudo lograron detectar que la culpable era una polilla de dos pulgadas que se había colado entre los contactos de unos de los relés del Mark II. Más tarde, Grace registraría el incidente en el cuaderno de bitácoras, pegó la polilla que causó el problema y anotó debajo la frase "First actual case of bug being found".
Puede verse una foto de la anotación original del primer "bug"
Para ver el gráfico seleccione la opción ¨Bajar trabajo¨ del menú superior
A partir de entonces, cada vez que algún ordenador daba problemas ellos decían que tenía "bugs" (bichos o insectos). Años más tarde Grace también acuñaría el término "debug" para referirse a la depuración de programas.
Además de los fines militares, única razón de ser de los primeros ordenadores, cuentan que Grace fue de las primeras personas en buscar utilidades civiles a la informática. Entre sus muchos méritos destaca la creación del lenguaje Flowmatic, el desarrollo del primer compilador, o su trabajo en la primera versión del lenguaje COBOL.
Grace continuó con sus avances en computación y tuvo numerosos reconocimientos a lo largo de su carrera. Entre otros, recibió el premio Hombre del Año en las Ciencias de Cómputos por la Data Processing Management Association. Fue la primera mujer nombrada Distinguished fellow of the British Computer Society, y la primera y única mujer almirante en la marina de los Estados Unidos hasta la fecha.
Macro
De acuerdo con la Internacional Security Association, los virus macro forman el 80% de todos los virus y son los que más rápidamente han crecido en toda la historia de los ordenadores en los últimos 5 años. A diferencia de otros tipos de virus, los virus macro no son exclusivos de ningún sistema operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes, bajadas de Internet, transferencia de archivos y aplicaciones compartidas.
Para ver el gráfico seleccione la opción ¨Bajar trabajo¨ del menú superior
Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro que acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que un Word virus macro puede infectar un documento Excel y viceversa.
En cambio, los virus macro viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de archivos.
Los virus macro son escritos en Visual Basic y son muy fáciles de crear. Pueden infectar diferentes puntos de un archivo en uso, por ejemplo, cuando éste se abre, se graba, se cierra o se borra. Lo primero que hacen es modificar la plantilla maestra (normal.dot) para ejecutar varias macros insertadas por el virus, así cada documento que abramos o creemos, se incluirán las macros "víricas".
Con la posibilidad de contener un virus convencional, cambiar un ejecutable o DLL e insertarlo en el sistema.MailBomb Casi virus ¿o no? Esta clase de virus todavía no esta catalogado como tal pero, os voy a poner un ejemplo de lo que hacen, y haber que opinarías del este tipo de programas si son o no.
Por lo general todos son iguales, escribes un texto que quieras una dirección de e-mail (victima) introduces el numero de copias y ya esta.
El programa crea tantos mensajes como el numero de copias indicado antes, seguidamente empezara a enviar mensajes hasta saturar el correo de la victima.Mirc No se considera virus tal cual, pero son idénticos y tienen muchas características comunes.
Virus del MircSon la nueva generación de infección, aprovechan la ventajas proporcionadas por la Red y de los millones de usuarios conectados a cualquier IRC a través del Mirc. Consiste en un script para el cliente de IRC Mirc. Cuando se accede a un canal de IRC, recibe por DCC un archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobrescrito por el "script.ini" maligno.
Bueno después de lo dicho nos preguntaremos ¿y para en que nos afecta a nosotros? Pues muy fácil, los autores pueden desconectarte del IRC o acceder a información privada,(archivo de claves o el "etc/passwd" de Linux).Multi-Partes Los virus multi-parte pueden infectar tanto el sector de arranque como los archivos ejecutables, suelen ser una combinación de todos los tipos existentes de virus, su poder de destrucción es muy superior a los demás y de alto riesgo para nuestros datos, su tamaño es mas grande a cambio de tener muchas mas opciones de propagarse e infección de cualquier sistema.Sector de Arranque Este tipo de virus infecta el sector de arranque de un disquete y se esparce en el disco duro del usuario, el cual también puede infectar el sector de arranque del disco duro (MBR). Una vez que el MBR o sector de arranque esté infectado, el virus intenta infectar cada disquete que se inserte en el sistema ,ya sea una CD-R, una unidad ZIP o cualquier sistema de almacenamiento de datos.
Los virus de arranque trabajan de la siguiente manera: se ocultan en el primer sector de un disco y se cargan en la memoria antes de que los archivos del sistema se carguen. Esto les permite tomar total control de las interrupciones del DOS y así, pueden diseminarse y causar daño.
Estos virus, generalmente reemplazan los contenidos del MBR o sector de arranque con su propio contenido y mueven el sector a otra área en el disco. La erradicación de un virus de arranque puede hacerse inicializando la máquina desde un disquete sin infectar, o encontrando el sector de arranque original y reemplazándolo en el lugar correcto del disco.
VBSDebido al auge de Internet los creadores de virus han encontrado una forma de propagación masiva y espectacular de sus creaciones a través mensajes de correo electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión .VBS
El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT/Me/2000/XP, este tipo de archivos dejó de ser empleado y fue reemplazado por los Visual Basic Scripts.
Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas secuencialmente para realizar una determinada acción al iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicación, almacenadas bajo un nombre de archivo y extensión adecuada.
Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows, Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.
Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como medios de propagación. Asimismo, un VBS puede contener instrucciones que afecten a los sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la extensión .VBS.
Actualmente existen 2 medios de mayor difusión de virus en VBS:
1. Infección de canales IRC (el chat convoca a una enorme cantidad de "victimas")
El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación entre usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados "clientes IRC" (tales como el mIRC, pIRCh, Microsoft Chat).
Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC, pero es necesario que primero se conecte a un servidor chat, el cual a su vez, está conectado a otros servidores similares, los cuales conforman una red IRC. Los programas "clientes IRC" facilitan al usuario las operaciones de conexión, haciendo uso del comando /JOIN, para poder conectarse a uno o mas canales.
Las conversaciones pueden ser públicas (todo el canal visualiza lo que el usuario digita) o privadas (comunicación entre 2 personas).
Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado "bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico amigable.
Como atacan los gusanos (VBS/Worms)
Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat, además de otras instrucciones dentro de un Visual Basic Script. Este script que contiene el código viral sobre-escribe al original, en el sistema remoto del usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez, en ese mismo canal.
Este tipo de propagación de archivos infectados, se debe a la vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de PIRCH98.
2. Re-envío de mensajes de la libreta de direcciones Microsoft Outlook.
Office 95/97/2000/XP, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que permiten invocar la ejecución de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque también pueden editar instrucciones y comandos con el NotePad y archivarlo con la extensión .VBS
Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for Aplications, tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe la orden de re-enviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones del sistema de usuario infectado.
Estas infecciones también se reproducen entre todos los usuarios de una red, una vez que uno de sus usuarios ha sido infectado.
Web
Los applets de JAVA y los controles Active X, son unos lenguajes nuevos orientados a Internet, pero las nuevas tecnologías abren un mundo nuevo a explotar por los creadores de virus.
De momento no son muy utilizados pero a partir del 2000, superaran en numero a los virus de macro.
ACTIVE X vs JAVA
Síntomas
¿Cuales son los síntomas mas comunes cuando tenemos un virus?
Reducción del espacio libre en la memoria o disco duro. Un virus, cuando entra en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por ello ocupa una porción de ella. Por tanto, el tamaño útil operativo de la memoria se reduce en la misma cuantía que tiene el código del virus.
Aparición de mensajes de error no comunes.
Fallos en la ejecución de programas.
Frecuentes caídas del sistema
Tiempos de carga mayores.
Las operaciones rutinarias se realizan con mas lentitud.
Aparición de programas residentes en memoria desconocidos.
Actividad y comportamientos inusuales de la pantalla. Muchos de los virus eligen el sistema de vídeo para notificar al usuario su presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de un virus.
El disco duro aparece con sectores en mal estado Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como dañados o inoperativos.
Cambios en las características de los ficheros ejecutables Casi todos los virus de fichero, aumentan el tamaño de un fichero ejecutable cuando lo infectan. También puede pasar, si el virus no ha sido programado por un experto, que cambien la fecha del fichero a la fecha de infección.
Aparición de anomalías en el teclado Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan acciones perniciosas en el ordenador. También suele ser común el cambio de la configuración de las teclas, por la del país donde se programo el virus.
Técnicas
Detallamos las técnicas mas utilizadas por los virus para ocultarse, reproducirse y camuflarse de los antivirus.
OCULTACIÓNMecanismos de Stealth Éste es el nombre genérico con el que se conoce a las técnicas de ocultar un virus. Varios son los grados de stealth, y en ellos se engloban argucias tan diversas como la originalidad y nivel del autor permiten. A un nivel básico basta saber que en general capturan determinadas interrupciones del PC para ocultar la presencia de un virus, como mantener la fecha original del archivo, evitar que se muestren los errores de escritura cuando el virus escribe en discos protegidos, restar el tamaño del virus a los archivos infectados cuando se hace un DIR o modificar directamente la FAT, etc.
Mantener la fecha original del archivo
Restaura el tamaño original de los archivos infectados
Modifica directamente la FAT
Modifican la tabla de Vectores de Interrupcion
Se instalan en los buffers del DOS
Soportan la reinicializacion del sistema por teclado
Se instalan por encima de los 649 KB normales del DOS
Evita que se muestren mensajes de error, cuando el virus intenta escriir sobre discos protegidos.
Técnicas de stealth avanzadas pretenden incluso hacer invisible al virus frente a un antivirus. En esta categoría encontramos los virus que modifican la tabla de vectores de interrupción (IVT), los que se instalan en alguno de los buffers de DOS, los que se instalan por encima de los 640KB e incluso los hay que soportan la reinicialización del sistema por teclado.
Técnicas de auto encriptación
Esta técnica muy utilizada, consigue que el virus se encripte de manera diferente cada vez que se infecta el fichero, para intentar pasar desapercibido ante los antivirusPROTECCIÓN ANTIVIRUSAnti-debuggers
Un debugger es un programa que permite descompilar programas ejecutables y mostrar parte de su código en lenguaje original.
Los virus usan técnicas para evitar ser desensamblados y así impedir su análisis para la fabricación del antivirus correspondiente.ArmouringMediante esta técnica el virus impide que se examinen los archivos que él mismo ha infectado. Para conocer más datos sobre cada uno de ellos, éstos deben ser abiertos (para su estudio) como ficheros que son, utilizando programas especiales (Debuger) que permiten descubrir cada una de las líneas del código (lenguaje de programación en el que están escritos). Pues bien, en un virus que utilice la técnica de Armouring no se podrá leer el código.
CAMUFLAJE
Mecanismos PolimorficosEs una técnica para impedir ser detectados, es la de variar el método de encriptación de copia en copia. Esto obliga a los antivirus a usar técnicas heurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscándolo por cadenas de código. Esto se consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus.
La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es reversible:
2 XOR 5 = 3 3 XOR 2 = 5
En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obtiene una codificación también distinta.
Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico.
EVASIÓNTécnica de Tunneling
Con esta técnica, intentar burlar los módulos residentes de los antivirus mediante punteros directos a los vectores de interrupción.
Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1.
Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.RESIDENTESTSR
Los virus utilizan esta técnica para permanecer residente en memoria y así mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso.
El virus permanece en memoria mientras el ordenador permanezca encendido.
Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los ficheros de arranque del sistema para asegurarse de que cuando se vuelva a arrancar el ordenador volverá a ser cargado en memoria.

Tipos de virus.
Los virus se pueden clasificar en función de múltiples características y criterios: según su origen, las técnicas que utilizan para infectar, los tipos de ficheros que infectan, los lugares donde se esconden, los daños que causan, el Sistema Operativoo la plataforma tecnológica que atacan, etc.Todas estas clasificaciones tienen muchos puntos en común, por lo que un mismo virus puede pertenecer a varias categorías al mismo tiempo.Por otro lado, continuamente surgen nuevos virus que por su reciente aparición o por sus peculiares características no pueden ser incluidos inicialmente en ninguna categoría, aunque esto no es lo habitual.
Residentes
Accion Directa
Sobreescritura
Boot
Macro
Enlace o Directorio
Encriptados
Polimorficos
Multipartites
Fichero
Compañia
Fat
Gusanos
Troyanos
Bombas Logicas
Virus Falsos



Virus residentes.
La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados, etc.
Estos virus sólo atacan cuando se cumplen ciertas condiciones definidas previamente por su creador (por ejemplo, una fecha y hora determinada). Mientras tanto, permanecen ocultos en una zona de la memoria principal, ocupando un espacio de la misma, hasta que son detectados y eliminados.

Algunos ejemplos de este tipo de virus son:

CMJ, MEVE


Virus de Macro:

El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones que contengan macros: documentos de Word (ficheros con extension DOC), hojas de cálculo de Excel (ficheros con extensión XLS), bases de datos de Access (ficheros con extensión MDB), presentaciones de PowerPoint (ficheros con extensión PPS), ficheros de Corel Draw, etc.
Las macros son micro-programas asociados a un fichero, que sirven para automatizar complejos conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas.
Cuando se abre un fichero que contenga un virus de este tipo, las macros se cargarán de forma automática, produciéndose la infección. La mayoría de las aplicaciones que utilizan macros cuentan con una protección antivirus y de seguridad específica, pero muchos virus de macro sortean fácilmente dicha protección.

Virus de Multipartites:


Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc.
Se consideran muy peligrosos por su capacidad de combinar muchas técnicas de infección y por los dañinos efectos de sus acciones.
Algunos ejemplos de estos virus son:
Ywinz.
Existe un tipo diferente de virus de macro según la herramienta usada: de Word, de Excel, de Access, de PowerPoint, multiprograma o de archivos RTF. Sin embargo, no todos los programas o herramientas con macros pueden ser afectadas por estos virus.

Virus de Gusanos.


De un modo estricto, los gusanos no se consideran virus porque no necesitan infectar otros ficheros para reproducirse. A efectos prácticos, son tratados como virus y son detectados y eliminados por los antivirus.
Básicamente, los gusanos se limitan a realizar copias de sí mismos a la máxima velocidad posible, sin tocar ni dañar ningún otro fichero. Sin embargo, se reproducen a tal velocidad que pueden colapsar por saturación las redes en las que se infiltran.
Las infecciones producidas por estos virus casi siempre se realizan a través del correo electrónico, las redes informáticas y los canales de Chat (tipo IRC o ICQ) de Internet. También pueden propagrase dentro de la memoria del ordenador.
Estos son algunos ejemplos de gusanos:
Trile.C

Virus de accion directa.

Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos.
Además, también realizan sus acciones en los directorios especificados dentro de la línea PATH (camino o ruta de directorios), dentro del fichero AUTOEXEC.BAT (fichero que siempre se encuentra en el directorio raiz del disco duro).

Virus de Enlace/Directorio.

Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que el Sistema Operativo conoce para poder localizarlos y trabajar con ellos.
Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión EXE o COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya que éste habrá modificado la dirección donde se encontraba originalmente el programa, colocándose en su lugar.
Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros originales.

Virus de Fichero.



Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos.
La mayoría de los virus existentes son de este tipo

Virus de Troyanos o Caballos de Troya.

Técnicamente, los Troyanos tampoco se consideran virus, ya que no se reproducen infectando otros ficheros. Tampoco se propagan haciendo copias de sí mismo como hacen los gusanos. A efectos prácticos, son tratados como virus y son detectados y eliminados por los antivirus.
El objetivo básico de estos virus es la introducción e instalación de otros programas en el ordenador, para permitir su control remoto desde otros equipos.
Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitología: llegan al ordenador como un programa aparentemente inofensivo. Sin embargo, al ejecutarlo instalará en nuestro ordenador un segundo programa, el troyano.
Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus, tienen la capacidad de eliminar ficheros o destruir la información del disco duro. Pero además pueden capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones con otros ordenadores, permitiendo que un posible intruso controle nuestro ordenador de forma remota.
Estos son algunos ejemplos de Troyanos
Netbus , backorifice

Virus de Sobreescritura.


Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles.
También se diferencian porque los ficheros infectados no aumentan de tamaño, a no ser que el virus ocupe más espacio que el propio fichero (esto se debe a que se colocan encima del fichero infectado, en vez de ocultarse dentro del mismo).
La única forma de limpiar un fichero infectado por un virus de sobreescritura es borrarlo, perdiéndose su contenido.

Algunos ejemplos de este tipo de virus son:
Way, Trj.reboot

Virus de Compañia.


Son virus de fichero que al mismo tiempo pueden ser residentes o de acción directa. Su nombre deriva de que "acompañan" a otros ficheros existentes en el sistema antes de su llegada, sin modificarlos como hacen los virus de sobreescritura o los residentes.
Para efectuar las infecciones, los virus de compañía pueden esperar ocultos en la memoria hasta que se lleve a cabo la ejecución de algún programa, o actuar directamente haciendo copias de sí mismos.
Algunos ejemplos de este tipo de virus son:
Statox , Terrax1069

Virus de Bombas logicas.


Tampoco se consideran estrictamente virus, ya que no se reproducen. Ni siquiera son programas independientes, sino un segmento camuflado dentro de otro programa.
Tienen por objetivo destruir los datos de un ordenador o causar otros daños de consideración en él cuando se cumplen ciertas condiciones. Mientras este hecho no ocurre, nadie se percata de la presencia de la bomba lógica. Su acción puede llegar a ser tremendamente destructiva

Virus de Boot/Arranque.

Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco (tanto un disquete como un disco duro respectivamente). En ella se guarda la información esencial sobre las características del disco y se encuentra un programa que permite arrancar el ordenador.
Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actúan infectando en primer lugar el sector de arranque de los disquetes. Cuando un ordenador se pone en marcha con un disquete infectado, el virus de boot infectará a su vez el disco duro.

Virus de Polimorficos.

Son virus que en cada infección que realizan se cifran o encriptan de una forma distinta (utilizando diferentes aloritmos y claves de cifrado).
De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.

Virus de Fat.


La Tabla de Asignación de Ficheros o FAT es la sección de un disco utilizada para enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema.
Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas partes del disco, donde se almacenan los ficheros críticos para el normal funcionamiento del ordenador. Los daños causados a la FAT se traducirán en pérdidas de la información contenida en ficheros individuales y en directorios completos.

Virus Falsos.


Al margen de las divisiones anteriores, existen ciertos tipos de mensajes o programas que en ciertos casos son confundidos con virus, pero que no son virus en ningún sentido.
El principal componente de este grupo son los hoaxes o bulos. Los hoaxes no son virus, sino mensajes de correo electrónico engañosos, que se difunden masivamente por Internet sembrando la alarma sobre supuestas infecciones víricas y amenazas contra los usuarios.
Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos que parecen ciertos y proponiendo una serie de acciones a realizar para librarse de la supuesta infección.
Si se recibe un hoax, no hay que hacer caso de sus advertencias e instrucciones: lo más aconsejable es borrarlo sin prestarle la más mínima atención y no reenviarlo a otras personas.


Consejos para evitar que los virus afecten a su ordenador.
Utilice correctamente su Software Antivirus y tengalo constantemente actualizado.
Instale un Firewall sencillo.
Realice copias de seguridad constantemente.
Actualice su Software con los parches de los fabricantes.
Sea prudente , si algo no lo sabe hacer , no lo haga.
El mejor consejo es que sea inteligente y no abra lo que no sabe que es.


Virus InformáticosEn los último años ha aparecido en los medios de comuncación un verdadero alud de información sobre el fenómeno de virus informáticos, que ha creado un ambiente de cierta confusión.Por otra parte, informaciones que aparecen en la televisión, referentes a estos programas, en muchos casos ha sido deficientes. Como consecuencia de ello, la opinión pública se ha formado una idea no muy acertada respecto a este tema.El origen de los virus informáticosM. Douglas Mclleoy diseño un programa llamdo Darwin. En él, cada jugador presenta cierto número de programas en lueguaje ensamblador que se les dio el nombre de organismos, que conviven en la memoria del ordenador con los organismos de los demás partcipantes. Los programas de cada jugador tratan de aniquilar a los organismos oponentes, ganando el juego el participante que conserve más organismos al acabar el tiempo de combate.A pesar de todos estos antecedentes el verdadero origen de los virus informáticos es muy confuso, pero muy probablemente, una serie de artículos publicados en 1984 por A. K. Dewdney en la revista Scientific American. En estos artículos Dewney desarrolla un juego de ordenador llamado Core Wars o guerra de núcleos. En él dos programas hostiles se enzarzan en una lucha por el control de la memoria, atacando abiertamente al contrario. Los dos programas se ponen en marcha mediante otro programa que se encarga de ejecutar alternativamente las instrucciones de que consta los dos programas, llamado GEmini, producía una copia de sí mismo en otra casilla de la memoria y transfería el control a la nueva copia, que así podía repetir la operación.Jamás podría haber imaginado el autor lo que iba a suceder. Algunas personas con ideas destructivas extrajeron del inocente y crativo juego de Dewdney las pautas necesarias para crear todo tipo de programas con capacidad para dañar los sistemas informáticos. En el mismo año de 1984, Fred Cohen define por primera vez el término virus de ordenador como un software maligno capaz de reproducirse a sí mismo.DefiniciónUn virus informático es un programa de ordenador, cuyo autor generalmente prefiere guardar el anonimato y que se caracterisa porque:1.- Puede generar copias de sí mismo en un ordenador distinto del que se ocupa.2.- Modifica los programas ejecutables, entre cuyas instrucciones se introduce, bien sean programas de aplicación o programas del sistema operativo, aunque estos últimos constituyen el principal objetivo del virus3.-Puede ser activado involuntariamente por el usuario cuando éste ejecute el programa que porta el virus.4.-Para que un virus pueda llevar a cabo acciones nocivas, es necesarios que se active y que permanezca en memoria para obtener permanentemente el control de la unidad central del ordenador.¿Por qué los nombran así?La denominación de virus informáticos se debe a ciertas semejanzas entre el funcionamiento de estos programas y de los virus biológicos en los organismos vivos. El funcionamiento de un virus informático se puede dividir en dos etapas muy diferentes.En lo que se refiere a la primera etapa el virus tiene la tarea de permanecer oculto en el programa que fue infectado con el mismo para que la victima no se percate de su presencia, la segunda fase es cuando el virus entra en ejecución, pero ¿cual es la orden con que se ejecuta?, este programa automato se ejecuta cuando el programa que esta infectado es ejecutado o iniciado por el usuario. Esto desencadena en la multipliación e infección del virus por todo el sitema del ordenador.Tipos de VirusExisten muchos diferentes tipos de virus y todos varian en la forma de infección y hasta el daño que puedan llegan a causar:a)Caballo de Troya o comunmente llamdo Troyanob)Gusanoc)Bomba Lógica d)Virus puro.A continuación se da una explicación de cada uno de estos tipos de virus informáticos.Un gusano es un programa informático que se reproduce a sí mismo en otras zonas de la memoria del ordenador diferentes a la que ocupa hasta que desborda la capacidad de almacenamiento de la memoria. La diferencia entre el gusano y el virus consiste en que el gusano se reproduce por sus propios meios, y en cambio el virus necesita adherirse a otros programas.Un caballo de troya es un programa legítimo en el que se han introduccido, camufladas, unas instrucciones malignas que pueden destruir la información almacenada en los discos. En otros casos, las instrucciones malignas consiguen desviar pequeñas cantidades de dinero de las cuentas bancarias hacia otra cuenta, a la que tiene acceso la persona que ha introduccido el caballo de Troya.Una Bomba lógica es un programa nocivo que se oculta, ocupando una pequeña parte de la memoria y que actúa en una determina fecha.Para finalizar este pequeño manual el virus se adhiere a un programa que el programador quiera y este es liberado cuando la victima sin saberlo ejecuta el programa enfermo.


INTRODUCCIÓN (ARRIBA)
El virus se puede destacar como un programa el cual es una serie de instrucciones que evita el buen funcionamiento de un sistema y a la ves alterarlo.
El virus también se propaga o ingresa por medio del diskettes, Internet versiones gratuitas de un programa, nunca se puede asumir que un virus es inofensivo y dejarlo flotando en el sistema.
Esta investigación nos sirve para ampliar nuestro conocimiento y realzar el interés por la computación y la información del virus como lo informamos en este trabajo.
HISTORIA DE LOS VIRUS (ARRIBA)
Hacia finales de los años 60, Douglas McIlory, Víctor Vysottsky y Robert Morís idearon un juego al que llamaron Core War (Guerra en lo Central, aludiendo a la memoria de la computadora), que se convirtió en el pasatiempo de algunos de los programadores de los laboratorios Bell de AT&T.
El juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo, cuyo hábitat fuera la memoria de la computadora. A partir de una señal, cada programa intentaba forzar al otro a efectuar una instrucción inválida, ganando el primero que lo consiguiera.
Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del día siguiente. De esta manera surgieron los programas destinados a dañar en la escena de la computación.
Históricamente los virus informáticos fueron descubiertos por la prensa el 12 de octubre de 1985, con una publicación del New York Times que hablaba de un virus que fue se distribuyo desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta gráfica EGA, pero al ejecutarlo salía la presentación pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que decía "Caíste".
Bueno en realidad este fue el nacimiento de su nombre, ya que los programas con código integrado, diseñados para hacer cosas inesperadas han existido desde que existen las computadoras. Y ha sido siempre la obra de algún programador delgado de ojos de loco.Pero las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) empleó una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco.
Uno de los primeros registros que se tienen de una infección data del año 1987, cuando en la Universidad estadounidense de Delaware notaron que tenían un virus porque comenzaron a ver "© Brain" como etiqueta de los disquetes.
La causa de ello era Brain Computer Services, una casa de computación paquistaní que, desde 1986, vendía copias ilegales de software comercial infectadas para, según los responsables de la firma, dar una lección a los piratas.
Ellos habían notado que el sector de booteo de un disquete contenía código ejecutable, y que dicho código se ejecutaba cada vez que la máquina se inicializaba desde un disquete.
Lograron reemplazar ese código por su propio programa, residente, y que este instalara una réplica de sí mismo en cada disquete que fuera utilizado de ahí en más.
También en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo podía ser creado para copiarse a sí mismo, adosando una copia de él a otros archivos. Escribió una demostración de este efecto a la que llamó VIRDEM, que podía infectar cualquier archivo con extensión .COM.
Esto atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él desconocía lo que estaba ocurriendo en Paquistán, no mencionó a los virus de sector de arranque (boot sector). Para ese entonces, ya se había empezado a diseminar el virus Vienna.
Actualmente, los virus son producidos en cantidades extraordinarias por muchisima gente alrededor del planeta. Algunos de ellos dicen hacerlo por divercion, otros quizás para probar sus habilidades. De cualquier manera, hasta se ha llegado a notar un cierto grado de competitividad entre los autores de estos programas.Con relación a la motivación de los autores de virus para llevar a cabo su obra, existe en Internet un documento escrito por un escritor freelance Markus Salo, en el cual, entre otros, se exponen los siguientes conceptos:
Algunos de los programadores de virus, especialmente los mejores, sostienen que su interés por el tema es puramente científico, que desean averiguar todo lo que se pueda sobre virus y sus usos.
A diferencia de las compañías de software, que son organizaciones relativamente aisladas unas de otras (todas tienen secretos que no querrían que sus competidores averiguaran) y cuentan entre sus filas con mayoría de estudiantes graduados, las agrupaciones de programadores de virus están abiertas a cualquiera que se interese en ellas, ofrecen consejos, camaradería y pocas limitaciones. Además, son libres de seguir cualquier objetivo que les parezca, sin temer por la pérdida de respaldo económico.
El hecho de escribir programas vírales da al programador cierta fuerza coercitiva, lo pone fuera de las reglas convencionales de comportamiento. Este factor es uno de los más importantes, pues el sentimiento de pertenencia es algo necesario para todo ser humano, y es probado que dicho sentimiento pareciera verse reforzado en situaciones marginales.
Por otro lado, ciertos programadores parecen intentar legalizar sus actos poniendo sus creaciones al alcance de mucha gente, (vía Internet, BBS especializadas, etc.) haciendo la salvedad de que el material es peligroso, por lo cual el usuario debería tomar las precauciones del caso.
Existen programadores, de los cuales, generalmente, provienen los virus más destructivos, que alegan que sus programas son creados para hacer notoria la falta de protección de que sufren la mayoría de los usuarios de computadoras.
La gran mayoría de estos individuos son del mismo tipo de gente que es reclutada por los grupos terroristas: hombres, adolescentes, inteligentes.3
¿QUIEN CREA LOS VIRUS INFORMATICOS? (ARRIBA)
Normalmente son programadores de empresas que en sus ratos libres se dedican a programar virus. El objetivo de estos programadores es que el programa se propague al mayor número posible de computadoras, obteniendo así reconocimiento de otros programadores de virus. Para no ser reconocidos por las autoridades, estos programadores utilizan nombres falsos para firmar sus programas, que sólo otros programadores de virus pueden identificar.
QUÉ NO ES UN VIRUS (ARRIBA)
Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario. Estos no-virus carecen de por lo menos una de las tres características que identifican a un virus (dañino, auto reproductor y subrepticio). Veamos un ejemplo de estos no - virus: "Hace algunos años, la red de I. B. M., encargada de conectar más de 130 países, fue virtualmente paralizada por haberse saturado con un correo electrónico que contenía un mensaje de felicitación navideña que, una vez leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas de distribución de correo del usuario. Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser leídos por sus destinatarios que el tráfico se volvió demasiado alto, lo que ocasionó la caída de la red".Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una computadora es necesariamente un virus. Por ello, daré algunas de las pautas principales para diferenciar entre qué debe preocuparnos y qué no:
a) BUGS (Errores en programas)
Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo puede comenzar a ir mal dentro del programa, y este a negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desde la última grabación. Esto, en muchos casos, se debe a ERRORES del programa. Todos los programas lo suficientemente complejos tienen bugs.
b) FALSA ALARMA
Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de verificaciones, llegamos a la conclusión de que se trata de un virus, pero nos encontramos con una FALSA ALARMA luego de correr nuestro programa antivirus.Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes preguntas puede ser de ayuda:
¿Es sólo un archivo el que reporta la falsa alarma (o quizás varios, pero copias del mismo)?.
¿Solamente un producto antivirus reporta la alarma? (Otros productos dicen que el sistema está limpio).
¿Se indica una falsa alarma después de correr múltiples productos, pero no después de bootear, sin ejecutar ningún programa?.Si al menos una de nuestras respuestas fue afirmativa, es muy factible que efectivamente se trate de una falsa alarma.
c) PROGRAMAS CORRUPTOS
A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto quiere decir que no siempre que encontremos daños en archivos deberemos estar seguros de estar infectados.
QUÉ ES UN VIRUS (ARRIBA)
Un virus es simplemente un programa, elaborado accidental o intencionadamente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este.Podríamos decir que es una secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa mayoría de los casos, corromper o destruir parte o la totalidad de los datos almacenados en el disco. De todas formas, dentro del término "virus informático" se suelen englobar varios tipos de programas.
Todos estos programas tienen en común la creación de efectos perniciosos; sin embargo, no todos pueden ser considerados como virus propiamente dichos.Decimos además que es un programa parásito porque el programa ataca a los archivos o sector es de "booteo" o arranque y se reproduce a sí mismo para continuar su esparcimiento.
Algunos se limitan solamente a multiplicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. Nunca se puede asumir que un virus es inofensivo y dejarlo "flotando" en el sistema.
Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los primeros son agentes externos que invaden células para alterar su información genética y reproducirse, los segundos son programas-rutinas, en un sentido más estricto, capaces de infectar archivos de computadoras, reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando la información existente en la memoria o alguno de los dispositivos de almacenamiento del ordenador.Tienen diferentes finalidades: Algunos sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE.
Es importante destacar que el potencial de daño de un virus informático no depende de su complejidad sino del entorno donde actúa.La definición más simple y completa que hay de los virus corresponde al modelo D. A. S., y se fundamenta en tres características, que se refuerzan y dependen mutuamente. Según ella, un virus es un programa que cumple las siguientes pautas:Es dañinoEs auto reproductorEs subrepticio u oculto
El hecho de que la definición imponga que los virus son programas no admite ningún tipo de observación; está extremadamente claro que son programas, realizados por personas. Además de ser programas tienen el fin ineludible de causar daño en cualquiera de sus formas.Asimismo, se pueden distinguir tres módulos principales de un virus informático:Módulo de ReproducciónMódulo de AtaqueMódulo de Defensa
TIPOS DE VIRUS (ARRIBA) Los virus se clasifican por el modo en que actúan infectando la computadora:
Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin
Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.
Múltiples: Infectan programas y sectores de "booteo".
Bios: Atacan al Bios para desde allí reescribir los discos duros.
Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido común. Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los novatos especialmente en la Internet a pesar que los rumores lo muestran como algo muy serio y a veces la información es tomada por la prensa especializada.Por lo general, como ya se expresó, la difusión se hace por cadenas de e-mail con terribles e inopinadas advertencias. En realidad el único virus es el mensaje.
A continuación se da un pequeño repaso a cada uno de ellos poniendo de manifiesto sus diferencias. La clasificación es la siguiente:
Virus 'Puro'Caballo de TroyaBomba LógicaGusano o WormY Otros
Todos estos programas tienen en común la creación de efectos perniciosos; sin embargo, no todos pueden ser considerados como virus propiamente dichos.
a) Virus Puro
Un verdadero virus tiene como características más importantes la capacidad de copiarse a sí mismo en soportes diferentes al que se encontraba originalmente, y por supuesto hacerlo con el mayor sigilo posible y de forma transparente al usuario; a este proceso de auto réplica se le conoce como "infección", de ahí que en todo este tema se utilice la terminología propia de la medicina: "vacuna", "tiempo de incubación", etc. Como soporte entendemos el lugar donde el virus se oculta, ya sea fichero, sector de arranque, partición, etc.Un virus puro también debe modificar el código original del programa o soporte objeto de la infección, para poder activarse durante la ejecución de dicho código; al mismo tiempo, una vez activado, el virus suele quedar residente en memoria para poder infectar así, insistimos, de forma trasparente al usuario.
b) Caballo de Troya
Al contrario que el virus puro, un Caballo de Troya es un programa maligno que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.
c) Bomba Lógica
Se trata simplemente de un programa maligno que permanece oculto en memoria y que solo se activa cuando se produce una acción concreta, predeterminada por su creador: cuando se llega a una fecha en concreto ( Viernes 13 ), cuando se ejecuta cierto programa o cierta combinación de teclas, etc.
d) Gusano o Worm
Por último, un gusano es un programa cuya única finalidad es la de ir consumiendo la memoria del sistema, mediante la realización de copias sucesivas de sí mismo, hasta desbordar la RAM, siendo ésta su única acción maligna.La barrera entre virus puros y el resto de programas malignos es muy difusa, prácticamente invisible, puesto que ya casi todos los virus incorporan características propias de uno o de varios de estos programas: por ejemplo, los virus como el Viernes 13 son capaces de infectar otros archivos, siendo así virus puro, pero también realizan su efecto destructivo cuando se da una condición concreta, la fecha Viernes 13, característica propia de una bomba lógica; por último, se oculta en programas ejecutables teniendo así una cualidad de Caballo de Troya. De ahí la gran confusión existente a este respecto.
e) Virus De Macro
Esta entre las novedades surgidas últimamente en el mundo de los virus, aunque no son totalmente nuevos, parece que han esperado hasta 1995 para convertirse en una peligrosa realidad. Por desgracia, ya existe un número importante de virus de este tipo catalogados, que han sido escritos en WordBasic, el potente lenguaje incluido en Microsoft Word.
Los macro virus tiene 3 características básicas:
1) Infectan documentos de MS-Word o Ami Pro, hojas de cálculo de MS-Excel y archivos de bases de datos en MS-Access
2) Poseen la capacidad de infectar y auto-copiarse en un mismo sistema, a otros sistemas o en unidades de red a las cuales estén conectadas.
3) Haciendo uso de las funciones de la interfaz de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado se envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express.
A pesar de que los macro virus son escritos en los lenguajes macro de MS-Word o MS-Excel y por consiguiente deberían infectar únicamente a documentos y hojas de cálculo, es posible desarrollar macro virus que ejecuten llamadas al sistema operativo, dando órdenes de borrar archivos o hasta de reformatear al disco duro.
Tal es el caso del macro virus MDMA que borra archivos específicos de Windows 95/98, haciendo uso de la macro AutoClose, o el FORMAT.C que dentro de la macro AutoOpen ordena formatear al disco duro.
Uno de los síntomas que acusan la presencia de un macro virus, en el caso de MS-Word, es la aparición de extrañas macros: AAAZAO, AAAZFS, AutoOpen, PayLoad, SaveFileAs, etc. instaladas en la plantilla global del archivo Normal.dot. Al abrir o usar un documento infectado, estas macros se enlazarán automáticamente a todos los documentos que se abran a partir de ese momento.
Otra característica de los macro virus es que sus acciones están destinadas exclusivamente a un tipo de documento, hoja de cálculo o archivo de base de datos, creados en MS-Word, Ami Pro, MS-Excel y MS-Access. Un documento creado en otro procesador de texto, como Word Perfect o Ami Pro, no será contagiado al leer o cargar un documento infectado de MS-Word, debido a que éstos no pueden ejecutar las macros que son propias de MS-Word.
Lo mismo sucederá al cargar o leer un documento infectado de MS-Excel en MS-Word. Este último no puede ejecutar las macros del primero y por lo tanto el documento no será contagiado. (Texto original de PerAntivirus)
f) Virus Mutantes
Son los que al infectar realizan modificaciones a su código, para evitar ser detectados o eliminados (NATAS o SATÁN, Miguel Angel, por mencionar algunos).
g) Bombas de Tiempo
Son los programas ocultos en la memoria del sistema o en los discos, o en los archivos de programas ejecutables con tipo COM o EXE. En espera de una fecha o una hora determinadas para "explotar". Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la "explosión". Llegado el momento, se activan cuando se ejecuta el programa que las contiene.
h) Auto reproducción
Son los virus que realizan las funciones mas parecidas a los virus biológicos, ya que se auto reproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programadas o cada determinado tiempo, contado a partir de su última ejecución, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el virus del Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas infectados), evitando así ser detectado.
i) Infecciones del área de carga inicial
Infectan los diskettes o el disco duro, alojándose inmediatamente en el área de carga (MBR). Toman el control cuando se enciende la computadora y lo conservan todo el tiempo.
j) Infecciones del sistema
Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del Sistema Operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el Sistema Operativo y es así como el virus adquiere el control para infectar todo disco que sea introducido a la unidad con la finalidad de copiarlo o simplemente para ver sus carpetas (también llamadas: folders, subdirectorios, directorios).
k) Infecciones de programas ejecutables
Estos son los virus mas peligrosos, porque se diseminan fácilmente hacia cualquier programa (como hojas de cálculo, juegos, procesadores de palabras).La infección se realiza al ejecutar el programa que contiene al virus, que en ese momento se posiciona en la memoria de la computadora y a partir de entonces infectará todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos autocopiándose en ellos. Aunque la mayoría de estos virus ejecutables "marca" con un byte especial los programas infectados --para no volver a realizar el proceso en el mismo disco--, algunos de ellos (como el de Jerusalén) se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a saturar su capacidad de almacenamiento.
CARACTERÍSTICAS DE LOS VIRUS (ARRIBA)
El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y más difícil de detectar), que permanece inactivo hasta que un hecho externo hace que el programa sea ejecutado o el sector de "booteo" sea leído. De esa forma el programa del virus es activado y se carga en la memoria de la computadora, desde donde puede esperar un evento que dispare su sistema de destrucción o se duplique a sí mismo.Los más comunes son los residentes en la memoria que pueden replicarse fácilmente en los programas del sector de "booteo", menos comunes son los no-residentes que no permanecen en la memoria después que el programa-huesped es cerrado.Los virus pueden llegar a "camuflarse" y esconderse para evitar la detección y reparación. Como lo hacen:
El virus re-orienta la lectura del disco para evitar ser detectado; Los datos sobre el tamaño del directorio infectado son modificados en la FAT, para evitar que se descubran bytes extra que aporta el virus; Los virus se transportan a través de programas tomados de BBS (Bulletin Boards) o copias de software no original, infectadas a propósito o accidentalmente. También cualquier archivo que contenga "ejecutables" o "macros" puede ser portador de un virus: downloads de programas de lugares inseguros; e-mail con "attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existen virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o Html NO PUEDEN contener virus, aunque pueden ser dañados por estos. Los virus de sectores de "booteo" se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el sector o sobreescribirlo. Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M. (No crean vamos a caer en el chiste fácil de decir que el más extendido de los virus de este tipo se llama MS Windows 98).En cambio los virus de programa, se manifiestan cuando la aplicación infectada es ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier programa que se ejecute a continuación. Puede solaparse infecciones de diversos virus que pueden ser destructivos o permanecer inactivos por largos periodos de tiempo. Asimismo, se pueden distinguir tres módulos principales de un virus informático:
Módulo de Reproducción Módulo de Ataque Módulo de Defensa
a) El módulo de reproducción
se encarga de manejar las rutinas de "parasitación" de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a través de algunos de estos archivos.
b) El módulo de ataque
es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de producir los daños que se detallarán más adelante, tiene un módulo de ataque que se activa cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable.
c) El módulo de defensa
Tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la remoción del virus y retardar, en todo lo posible, su detección.
EFECTOS Y DAÑOS (ARRIBA)
a) DAÑOS DE LOS VIRUS
Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.
b) DAÑOS TRIVIALES
Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.
c) DAÑOS MENORES
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.
d) DAÑOS MODERADOS
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobreescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.
e) DAÑOS MAYORES.
Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo). Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último backup notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese.Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.
f) DAÑOS SEVEROS
Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ...).
g) DAÑOS ILIMITADOS
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.
h) SOFTWARE
Modificación de programas para que dejen de funcionar. Modificación de programas para que funcionen erróneamente. Modificación sobre los datos. Eliminación de programas y/o datos. Acabar con el espacio libre en el disco rígido. Hacer que el sistema funcione mas lentamente. Robo de información confidencial.
i) HARDWARE
Borrado del BIOS Quemado del procesador por falsa información del sensor de temperatura Rotura del disco rígido al hacerlo leer repetidamente sectores específicos que fuercen su funcionamiento mecánico.
SÍNTOMAS TÍPICOS DE UNA INFECCIÓN (ARRIBA)
El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente. El tamaño del programa cambia sin razón aparente. El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente así. Si se corre el CHKDSK no muestra "655360 bytes available". En Windows aparece "32 bit error". La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado, porque no siempre es así). No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate. Aparecen archivos de la nada o con nombres y extensiones extrañas. Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido). Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS). Síntomas que indican la presencia de Virus Cambios en la longitud de los programas Cambios en la fecha y / u hora de los archivos Retardos al cargar un programa Operación más lenta del sistema Reducción de la capacidad en memoria y / o disco rígido Sectores defectuosos en los disquetes Mensajes de error inusuales Actividad extraña en la pantalla Fallas en la ejecución de los programas Fallas al bootear el equipo Escrituras fuera de tiempo en el disco En la pantalla del monitor pueden aparecen mensajes absurdos tales como
"Tengo hambre. Introduce un Big Mac en el Drive A". ESTRATEGIAS DE INFECCIÓN USADAS POR LOS VIRUS (ARRIBA)
a) Cómo se propagan los virus
Disquetes u otro medio de almacenamiento removible Software pirata en disquetes o CDs Redes de computadoras Mensajes de correo electrónico Software bajado de Internet Discos de demostración y pruebas gratuitos
b) Añadidura o empalme:
El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección.
c) Inserción:
El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método.
d) Reorientación:
Es una variante del anterior. Se introduce el código principal del virus en zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con rescribir los sectores marcados como defectuosos.
e) Polimorfismo:
Este es el método mas avanzado de contagio. La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el programa infectado, actúa primero el código del virus descompactando en memoria las porciones necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para evitar ser detectados por los antivirus.
f) Sustitución:
Es el método mas tosco. Consiste en sustituir el código original del archivo por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema es del archivo.
Ejemplos de virus y sus acciones
Happy99: Programa enviado por mail, abre una ventana con fuegos artificiales. Manipula la conectividad con Internet.
Melissa: Macrovirus de Word. Se envía a sí mismo por mail. Daña todos los archivos .doc
Chernobyl (W95.CIH): Borra el primer Mb del HD, donde se encuentra la FAT. Obliga a formatear el HD. Además intenta rescribir el BIOS de la PC lo que obliga a cambiar el mother. Se activa el 26 de abril.
Michelangelo: Virus de boot sector. Se activa el 6 de marzo. Sobre escribe la FAT, dejando el disco inutilizable.
WinWord.Concept: Macrovirus que infecta la plantilla Normal.dot. Hace aparecer mensajes en la pantalla y mal funcionamiento del Word.
FormatC: Troyano que infecta el Word, al abrir un archivo infectado formatea el disco rígido.
Back Orifice2000 (BO2K): Funcionalmente es un virus y sirve para el robo de información. Permite tomar control remoto de la PC o del servidor infectados, con la posibilidad de robar información y alterar datos.
VBS/Bubbleboy: Troyano que se ejecuta sin necesidad de abrir un attachment, y se activa inmediatamente después de que el usuario abra el mail. No genera problemas serios.
FORMAS DE OCULTAMIENTO (ARRIBA)
Un virus puede considerarse efectivo si, además de extenderse lo más ampliamente posible, es capaz de permanecer oculto al usuario el mayor tiempo posible; para ello se han desarrollado varias técnicas de ocultamiento o sigilo. Para que estas técnicas sean efectivas, el virus debe estar residente en memoria, puesto que debe monitorizar el funcionamiento del sistema operativo. La base principal del funcionamiento de los virus y de las técnicas de ocultamiento, además de la condición de programas residentes, la intercepción de interrupciones. El DOS y los programas de aplicación se comunican entre sí mediante el servicio de interrupciones, que son como subrutinas del sistema operativo que proporcionan una gran variedad de funciones a los programas. Las interrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco, abrir ficheros, fijar la hora del sistema, etc. Y es aquí donde el virus entra en acción, ya que puede sustituir alguna interrupción del DOS por una suya propia y así, cuando un programa solicite un servicio de esa interrupción, recibirá el resultado que el virus determine.Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que esconde los posibles signos de infección del sistema. Los síntomas más claros del ataque de un virus los encontramos en el cambio de tamaño de los ficheros, de la fecha en que se crearon y de sus atributos, y en la disminución de la memoria disponible.Estos problemas son indicadores de la posible presencia de un virus, pero mediante la técnica stealth es muy fácil (siempre que se encuentre residente el virus) devolver al sistema la información solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo es fundamental que cuando vayamos a realizar un chequeo del disco duro arranquemos el ordenador con un disco de sistema totalmente limpio.
a) El módulo de reproducciónSe encarga de manejar las rutinas de "parasitación" de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a través de algunos de estos archivos.
b) El módulo de ataquees optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de producir los daños que se detallarán más adelante, tiene un módulo de ataque que se activa cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable.
c) El módulo de defensatiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la remoción del virus y retardar, en todo lo posible, su detección.
d) Formas De InfecciónAntes de nada, hay que recordar que un virus no puede ejecutarse por si solo, necesita un programa portador para poder cargarse en memoria e infectar; asimismo, para poder unirse a un programa portador necesita modificar la estructura de este, para que durante su ejecución pueda realizar una llamada al código del virus.Las partes del sistema más susceptibles de ser infectadas son el sector de arranque de los disquetes, la tabla de partición y el sector de arranque del disco duro, y los ficheros ejecutables (*.EXE y *.COM). Para cada una de estas partes tenemos un tipo de virus, aunque muchos son capaces de infectar por sí solos estos tres componentes del sistema.En los disquetes, el sector de arranque es una zona situada al principio del disco, que contiene datos relativos a la estructura del mismo y un pequeño programa, que se ejecuta cada vez que arrancamos desde disquete.En este caso, al arrancar con un disco contaminado, el virus se queda residente en memoria RAM, y a partir de ahí, infectara el sector de arranque de todos los disquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco, dependiendo de cómo esté programado el virus).El proceso de infección consiste en sustituir el código de arranque original del disco por una versión propia del virus, guardando el original en otra parte del disco; a menudo el virus marca los sectores donde guarda el boot original como en mal estado, protegiéndolos así de posibles accesos, esto suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de arranque, por lo que una vez residentes en memoria, efectúan una llamada al código de arranque original, para iniciar el sistema y así aparentar que se ha iniciado el sistema como siempre, con normalidad. Segundo, este procedimiento puede ser usado como técnica de ocultamiento.Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser sobrescritos y así dejar de funcionar el virus.La tabla de partición esta situada en el primer sector del disco duro, y contiene una serie de bytes de información de cómo se divide el disco y un pequeño programa de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus de partición suplanta el código de arranque original por el suyo propio; así, al arrancar desde disco duro, el virus se instala en memoria para efectuar sus acciones. También en este caso el virus guarda la tabla de partición original en otra parte del disco, aunque algunos la marcan como defectuosa y otros no. Muchos virus guardan la tabla de partición y a ellos mismos en los últimos sectores de disco, y para proteger esta zona, modifican el contenido de la tabla para reducir el tamaño lógico del disco. De esta forma el DOS no tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.Casi todos los virus que afectan la partición también son capaces de hacerlo en el boot de los disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de disco duro tendría un campo de trabajo limitado, por lo que suelen combinar sus habilidades.Con todo, el tipo de virus que más abunda es el de fichero; en este caso usan como vehículo de expansión los archivos de programa o ejecutables, sobre todo .EXE y . COM, aunque también a veces .OVL, .BIN y .OVR. AL ejecutarse un programa infectado, el virus se instala residente en memoria, y a partir de ahí permanece al acecho; al ejecutar otros programas, comprueba si ya se encuentran infectados. Si no es así, se adhiere al archivo ejecutable, añadiendo su código al principio y al final de éste, y modificando su estructura de forma que al ejecutarse dicho programa primero llame al código del virus devolviendo después el control al programa portador y permitiendo su ejecución normal.Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya que éste aumenta de tamaño al tener que albergar en su interior al virus, siendo esta circunstancia muy útil para su detección. De ahí que la inmensa mayoría de los virus sean programados en lenguaje ensamblador, por ser el que genera el código más compacto, veloz y de menor consumo de memoria; un virus no seria efectivo si fuera fácilmente detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de los archivos infectados. No todos los virus de fichero quedan residentes en memoria, si no que al ejecutarse se portador, éstos infectan a otro archivo, elegido de forma aleatoria de ese directorio o de otros.
La autoencriptación o self-encryption es una de las técnicas víricas más extendidas. En la actualidad casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que infectan un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su búsqueda. No obstante, todo virus encriptado posee una rutina de desencriptación, rutina que es aprovechada por los antivirus para remotoizar el origen de la infección. El mayor avance en técnicas de encriptación viene dado por el polimorfismo. Gracias a él un virus no sólo es capaz de encriptarse sino que además varía la rutina empleada cada vez que infecta un fichero. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del mismo virus, y ante esta técnica el tradicional método de búsqueda de cadenas características se muestra inútil. Otra técnica básica de ocultamiento es la intercepción de mensajes de error del sistema. Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar escribir en el obtendríamos el mensaje: "Error de protección contra escritura leyendo unidad A Anular, Reintentar, Fallo?", por lo que descubriríamos el anormal funcionamiento de nuestro equipo. Por eso, al virus le basta con redireccionar la interrupción a una rutina propia que evita la salida de estos mensajes, consiguiendo así pasar desapercibido.
e) Virus en Internet
En ocasiones se propagan rumores que dan por cierto noticias de dudosa procedencia. Más o menos esto es lo que ha sucedido de un tiempo a esta parte con el virus por correo electrónico de Internet conocido por Good Times. Lógicamente las primeras noticias de esta maligna creación aparecieron en la «red de redes», en un mensaje alarmante que decía que si algún usuario recibía un mensaje con el tema «Good Times» no debía abrirlo o grabarlo si no quería perder todos los datos de su disco duro. Posteriormente el mensaje recomendaba que se informara a todo el mundo y se copiara el aviso en otros lugares. En esta ocasión el rumor es totalmente falso, aunque todavía sigue existiendo gente que se lo cree y no es raro encontrar en algún medio de comunicación electrónica nuevo reenvíos del mensaje original. De hecho, es totalmente inviable la posibilidad de una infección vía correo electrónico.El riesgo de contraer un virus en la Internet es menor que de cualquier otra manera, tanto los mensajes de correo, como las página WEB transfieren datos. Sólo si se trae un software por la red y lo instala en su máquina puede contraer un virusUna infección se soluciona con las llamadas "vacunas" (que impiden la infección) o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados. Hay cierto tipo de virus que no son desactivables ni removibles, por lo que se debe destruir el archivo infectado.
PREVENCIÓN, DETECCIÓN Y ELIMINACIÓN (ARRIBA)
Una buena política de prevención y detección nos puede ahorrar sustos y desgracias. Las medidas de prevención pasan por el control, en todo momento, del software ya introducido o que se va a introducir en nuestro ordenador, comprobando la fiabilidad de su fuente. Esto implica la actitud de no aceptar software no original, ya que el pirateo es una de las principales fuentes de contagio de un virus, siendo también una practica ilegal y que hace mucho daño a la industria del software.Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software más importante del ordenador, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa que ejecutemos resultara también contaminado. Por eso, es imprescindible contar con una copia en disquetes del sistema operativo, protegidos éstos contra escritura; esto ultimo es muy importante, no solo con el S.O. sino con el resto de disquetes que poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no puede escribir en un disco protegido de esta forma. Por último es también imprescindible poseer un buen software antivirus, que detecte y elimine cualquier tipo de intrusión en el sistema.
Debido a que los virus informáticos son cada vez más sofisticados, hoy en día es difícil sospechar su presencia a través de síntomas frecuentes. De todas maneras la siguiente es una lista de síntomas que pueden observarse en una computadora de la que se sospeche esté infectada por alguno de los virus más comunes:
Operaciones de procesamiento más lentas. Los programas tardan más tiempo en cargarse.Los programas comienzan a acceder por momentos a las disqueteras y/o al disco rígido. Disminución no justificada del espacio disponible en el disco rígido y de la memoria RAM disponible, en forma constante o repentina. Aparición de programas residentes en memoria desconocidos. La primera medida de prevención a ser tenida en cuenta es, como se dijo anteriormente, contar con un sistema antivirus y utilizarlo correctamente. Por lo tanto, la única forma de que se constituya un bloqueo eficaz para un virus es que se utilice con determinadas normas y procedimientos. Estas normas tienden a controlar la entrada de archivos al disco rígido de la computadora, lo cual se logra revisando con el antivirus todos los disquetes o medios de almacenamiento en general y, por supuesto, disminuyendo al mínimo posible todo tipo de tráfico. Además de utilizar un sistema antivirus y controlar el tráfico de archivos al disco rígido, una forma bastante eficaz de proteger los archivos ejecutables es utilizar un programa chequeador de integridad que verifique que estos archivos no sean modificados, es decir, que mantengan su estructura. De esta manera, antes que puedan ser infectados por un virus convencional, se impediría su accionar. Para prevenir la infección con un virus de sector de arranque, lo más indicado es no dejar disquetes olvidados en la disquetera de arranque y contar con un antivirus. Pero, además, puede aprovecharse una característica que incorpora el setup de las computadoras más modernas: variar la secuencia de arranque de la PC a "primero disco rígido y luego disquetera" (C, A). De esta manera, la computadora no intentará leer la disquetera en el arranque aunque tenga cargado un disquete.
Algunos distribuidores o representantes de programas antivirus envían muestras de los nuevos virus argentinos a los desarrolladores del producto para que los estudien o incluyan en sus nuevas versiones o upgrades, con la demora que esto implica.
En consecuencia, la detección alternativa a la de scanning y las de chequeo de actividad e integridad resultan importantes, ya que pueden detectar la presencia de un virus informático sin la necesidad de identificarlo. Y esta es la única forma disponible para el usuario de detectar virus nuevos, sean nacionales o extranjeros. De todas maneras, existe una forma de actualizar la técnica de scanning. La misma consiste en incorporarle al antivirus un archivo conteniendo cadenas de caracteres ASCII que sean trozos de código (strings) significativos del sector vital de cada nuevo virus que todavía no esté incorporado en la base de datos del programa.
De todas formas, esta solución será parcial: la nueva cadena introducida sólo identificará al virus, pero no será capaz de erradicarlo. Es muy importante que los "strings" que se vayan a incorporar al antivirus provengan de una fuente confiable ya que, de lo contrario, pueden producirse falsas alarmas o ser ineficaces.
Algunos de los antivirus que soportan esta cualidad de agregar strings son Viruscan, F-Prot y Thunderbyte. La NCSA (National Computer Security Association, Asociación Nacional de Seguridad de Computadoras) es la encargada de certificar productor antivirus. Para obtener dicha certificación los productos deben pasar una serie de rigurosas pruebas diseñadas para asegurar la adecuada protección del usuario. Antiguamente el esquema de certificación requería que se detectara (incluyendo el número de versión) el 90 % de la librería de virus del NCSA, y fue diseñado para asegurar óptimas capacidades de detección. Pero esta metodología no era completamente eficiente.
Actualmente, el esquema de certificación enfoca la amenaza a las computadoras empresariales. Para ser certificado, el producto debe pasar las siguientes pruebas:Debe detectar el 100% de los virus encontrados comúnmente. La lista de virus comunes es actualizada periódicamente, a medida que nuevos virus son descubiertos.
Deben detectar, como mínimo, el 90% de la librería de virus del NCSA (más de 6.000 virus) Estas pruebas son realizadas con el producto ejecutándose con su configuración "por defecto".
Una vez que un producto ha sido certificado, la NCSA tratará de recertificar el producto un mínimo de cuatro veces. Cada intento es realizado sin previo aviso al desarrollador del programa. Esta es una buena manera de asegurar que el producto satisface el criterio de certificación. Si un producto no pasa la primera o segunda prueba, su distribuidor tendrá siete días para proveer de la corrección. Si este límite de tiempo es excedido, el producto será eliminado de la lista de productos certificados. Una vez que se ha retirado la certificación a un producto la única forma de recuperarla es que el distribuidor envíe una nueva versión completa y certificable (no se aceptará sólo una reparación de la falla. Acerca de la lista de virus de la NCSA, aclaremos que ningún desarrollador de antivirus puede obtener una copia. Cuando un antivirus falla en la detección de algún virus incluido en la lista, una cadena identificatoria del virus le es enviada al productor del antivirus para su inclusión en futuras versiones. En el caso de los virus polimórficos, se incluyen múltiples copias del virus para asegurar que el producto testeado lo detecta perfectamente. Para pasar esta prueba el antivirus debe detectar cada mutación del virus. La A. V. P. D. (Antivirus Product Developers, Desarrolladores de Productos Antivirus) es una asociación formada por las principales empresas informáticas del sector, entre las que se cuentan:
Cheyenne Software I. B. M. Intel McAfee Associates ON Tecnology Stiller Research Inc. S&S International Symantec Corp. ThunderByte
entre otras...
SOFTWARE DETECTOR (ARRIBA)
a. ¿Mi computadora puede contraer una infección cuando navego por internet?
Por el simple hecho de estar conectado a Internet no se transfiere ningun tipo de virus informático. Existe quizá algún peligro, examinando páginas web o "bajando" archivos de la red.Las páginas web que utilizan objetos ActiveX pueden contener virus, puesto que ellos son realmente ficheros ejecutables, recogidos por nuestro navegador y ejecutados en nuestras PC. Podrían eventualmente ser utilizados inescrupulosamente para propagar un virus.La "seguridad" de los objetos ActiveX consiste simplemente en un certificado digital de autenticidad, "firmado" por quien ha creado el objeto. Pero un simple certificado de autenticidad no puede garantizar que no esté un virus presente. También podemos recibir páginas que utilizan Applets de Java. Estos programas no llegan a ser descargados por nuestro navegador, se ejecutan en un entorno muy restringido, y no hay acceso a la PC, o al disco duro, con lo que resulta prácticamente imposible infectarnos con applets (al menos hoy por hoy).Durante el proceso de descarga de ficheros, también es muy difícil recoger un virus, tenemos las mismas condiciones que con los applets de java, pero una vez que el fichero ha llegado completamente a nuestro PC, debe ser chequeado antes de ejecutarse, ya que podria contener un virus.
b. ¿Qué hacer con los virus del correo electrónico?
Con estos podemos estar tranquilos, ya que un virus no puede copiarse ni romper nuestro disco duro tan solo por leer un correo electrónico, porque se trata simplemente de un archivo de texto (no ejecutable).
Una cosa muy diferente, son los ficheros adjuntos (attachments), ya que podemos recibir un fichero ejecutable que podria contener un virus. Lo mejor es no ejecutar directamente los archivos desde nuestro navegador, sino almacenarlos en nuestro disco duro y antes de ejecutarlos, chequearlos con un anti-virus confiable.
Es recomendable por lo mismo, abstenerse en lo posible de enviar archivos adjuntos, por idéntico riesgo que representa para nuestros corresponsales.Si su programa de correo electrónico esta configurado para leer los mensajes automáticamente con Microsoft Word, es posible recibir un virus-macro e infectar a nuestro Ms-Word. Si tiene esta opción activada; desactívala, y chequea los ficheros recibidos antes de ejecutarlos.Finalmente, y por si quedara alguna duda, lo mejor es tomar por norma eliminar los ficheros recibidos por corresponsales desconocidos, aquellos que no hemos solicitado. No exponga sus datos a un riesgo innecesario por abrir (o ejecutar) un archivo desconocido.
¿QUE ES UN ANTIVIRUS? (ARRIBA)
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existentes. Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
El modelo más primario de las funciones de un programa antivirus es la detección de su presencia y, en lo posible, su identificación. La primera técnica que se popularizó para la detección de virus informáticos, y que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la técnica de scanning. Esta técnica consiste en revisar el código de todos los archivos contenidos en la unidad de almacenamiento -fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de código que puedan pertenecer a un virus informático. Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de búsqueda.
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos, cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de identificación como una solución antivirus completa se encontró en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori: es necesario que un virus informático alcance un grado de dispersión considerable para que sea enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identificará, y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual puede causar graves daños sin que pueda ser identificado.
Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus.
En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de mayor dispersión, permite una importante gama de posibilidades.
Un ejemplo típico de un antivirus de esta clase es el Viruscan de McAfee, que se verá más adelante.
En virtud del pronto agotamiento técnico de la técnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones de métodos para búsquedas de virus informáticos (y de sus actividades), que no identifican específicamente al virus sino a algunas de sus características generales y comportamientos universalizados.
Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades de almacenamiento (master boot record, boot sector, FAT, entre otras), etc.
Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos.
De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, códigos de instrucciones potencialmente pertenecientes a un virus informático. Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchisimas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminación de cualquier falsa alarma generada por un método heurístico.
Algunos de los antivirus de esta clase son F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit.
Ahora bien, otra forma de detectar la presencia de un virus informático en un sistema consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad.Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus -que siempre esté residente en memoria- y un programa que verifique la integridad de los sectores críticos del disco rígido y sus archivos ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.



Número de documento:20010921095248905Ultima modificación:17/01/2005
Diferencias entre virus, gusanos y caballos de Troya
Situación:Desea obtener más información sobre los virus informáticos y sobre la diferencia que existe entre ellos y los caballos de Troya, los gusanos y las falsas alarmas.Solución:El término virus se utiliza a menudo de forma genérica para referirse a cualquier tipo de código dañino aunque, de hecho, no se trate de un verdadero virus informático. Este documento trata sobre los virus, los caballos de Troya, los gusanos y las falsas alarmas, así como sobre las formas de evitarlos.¿Qué es un virus?Un virus informático es un pequeño programa creado para alterar la forma en que funciona un equipo sin el permiso o el conocimiento del usuario. Un virus debe presentar dos características:
Debe ser capaz de ejecutarse a sí mismo. A menudo coloca su propio código en la ruta de ejecución de otro programa.
Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos ejecutables con una copia del archivo infectado. Los virus pueden infectar tanto equipos de escritorio como servidores de red.Algunos virus están programados para atacar el equipo dañando programas, eliminando archivos o reformateando el disco duro. Otros no están creados para causar daño alguno, sino para replicarse y dar a conocer su presencia mediante la presentación de mensajes de texto, vídeo o sonido. Incluso estos virus benignos pueden crear problemas al usuario informático. Normalmente hacen uso de la memoria correspondiente a los programas legítimos. Como resultado, pueden provocar a menudo un comportamiento irregular en el equipo e incluso hacer que el sistema deje de responder. Además, muchos virus contienen errores que pueden ocasionar pérdidas de datos y bloqueos del sistema.NAExisten cinco tipos de virus conocidos
Virus que infectan archivos: este tipo de virus ataca a los archivos de programa. Normalmente infectan el código ejecutable, contenido en archivos .com y .exe, por ejemplo. También pueden infectar otros archivos cuando se ejecuta un programa infectado desde un disquete, una unidad de disco duro o una red. Muchos de estos virus están residentes en memoria. Una vez que la memoria se infecta, cualquier archivo ejecutable que no esté infectado pasará a estarlo. Algunos ejemplos conocidos de virus de este tipo son Jerusalem y Cascade.
Virus del sector de arranque: estos virus infectan el área de sistema de un disco, es decir, el registro de arranque de los disquetes y los discos duros. Todos los disquetes y discos duros (incluidos los que sólo contienen datos) tienen un pequeño programa en el registro de arranque que se ejecuta cuando se inicia el equipo. Los virus del sector de arranque se copian en esta parte del disco y se activan cuando el usuario intenta iniciar el sistema desde el disco infectado. Estos virus están residentes en memoria por naturaleza. La mayoría se crearon para DOS, pero todos los equipos, independientemente del sistema operativo, son objetivos potenciales para este tipo de virus. Para que se produzca la infección basta con intentar iniciar el equipo con un disquete infectado. Posteriormente, mientras el virus permanezca en memoria, todos los disquetes que no estén protegidos contra escritura quedarán infectados al acceder a ellos. Algunos ejemplos de virus del sector de arranque son Form, Disk Killer, Michelangelo y Stoned.
Virus del sector de arranque maestro: estos virus están residentes en memoria e infectan los discos de la misma forma que los virus del sector de arranque. La diferencia entre ambos tipos de virus es el lugar en que se encuentra el código vírico. Los virus del sector de arranque maestro normalmente guardan una copia legítima del sector de arranque maestro en otra ubicación. Los equipos con Windows NT infectados por virus del sector de arranque o del sector de arranque maestro no podrán arrancar. Esto se debe a la diferencia en la forma en que el sistema operativo accede a la información de arranque, en comparación con Windows 95/98. Si el sistema con Windows NT está formateado con particiones FAT, normalmente se puede eliminar el virus arrancando desde DOS y utilizando un programa antivirus. Si la partición de arranque es NTFS, el sistema deberá recuperarse utilizando los tres discos de instalación de Windows NT. Algunos ejemplos de virus del sector de arranque maestro son NYB, AntiExe y Unashamed.
Virus múltiples: estos virus infectan tanto los registros de arranque como los archivos de programa. Son especialmente difíciles de eliminar. Si se limpia el área de arranque, pero no los archivos, el área de arranque volverá a infectarse. Ocurre lo mismo a la inversa. Si el virus no se elimina del área de arranque, los archivos que hayan sido limpiados volverán a infectarse. Algunos ejemplos de virus múltiples son One_Half, Emperor, Anthrax y Tequilla.
Virus de macro: estos virus infectan los archivos de datos. Son los más comunes y han costado a empresas importantes gran cantidad de tiempo y dinero para eliminarlos. Con la llegada de Visual Basic en Microsoft Office 97, se puede crear un virus de macro que no sólo infecte los archivos de datos, sino también otros archivos. Los virus de macro infectan archivos de Microsoft Office: Word, Excel, PowerPoint y Access. Actualmente están surgiendo también nuevos derivados en otros programas. Todos estos virus utilizan el lenguaje de programación interno de otro programa, creado para permitir a los usuarios automatizar ciertas tareas dentro del programa. Debido a la facilidad con que se pueden crear estos virus, existen actualmente miles de ellos en circulación. Algunos ejemplos de virus de macro son W97M.Melissa, WM.NiceDay y W97M.Groov.¿Qué es un caballo de Troya?Los caballos de Troya son impostores, es decir, archivos que pretenden ser benignos pero que, de hecho, son perjudiciales. Una diferencia muy importante con respecto a los virus reales es que no se replican a sí mismos. Los caballos de Troya contienen código dañino que, cuando se activa, provoca pérdidas o incluso robo de datos. Para que un caballo de Troya se extienda es necesario dejarlo entrar en el sistema, por ejemplo abriendo un archivo adjunto de correo. Un ejemplo de caballo de Troya es PWSteal.Trojan.¿Qué es un gusano? Los gusanos son programas que se replican a sí mismos de sistema a sistema sin utilizar un archivo para hacerlo. En esto se diferencian de los virus, que necesitan extenderse mediante un archivo infectado. Aunque los gusanos generalmente se encuentran dentro de otros archivos, a menudo documentos de Word o Excel, existe una diferencia en la forma en que los gusanos y los virus utilizan el archivo que los alberga. Normalmente el gusano generará un documento que ya contendrá la macro del gusano dentro. Todo el documento viajará de un equipo a otro, de forma que el documento completo debe considerarse como gusano. PrettyPark.Worm es un buen ejemplo de gusano.¿Qué es una falsa alarma de virus (Hoax)?Las falsas alarmas de virus son mensajes, casi siempre enviados por correo electrónico, que se asemejan a las cartas en cadena. Algunas de las expresiones utilizadas a menudo en estas falsas alarmas son:
Si recibe un mensaje de correo electrónico titulado [nombre de la falsa alarma de virus], no lo abra.
Bórrelo inmediatamente.
Contiene el virus [nombre de la falsa alarma].
Borrará el contenido del disco duro y [aquí se especifica un peligro extremo e improbable].
Nombre de una empresa famosa] ha informado hoy de la existencia de este virus.
Remita este aviso a todos sus conocidos.Muchos de los avisos de falsas alarmas de virus no se alejan mucho de este patrón. Si no está seguro de si un aviso de virus es legítimo o si se trata de una falsa alarma, podrá encontrar más información en:http://www.symantec.com/avcenter/hoax.html. (Este recurso se encuentra en inglés.)¿Qué no es un virus?Debido a la publicidad que han recibido los virus, es fácil culparlos de cualquier problema informático. Los siguientes problemas normalmente no están causados por virus ni otro tipo de código dañino:
Problemas de hardware. No existen virus que puedan dañar físicamente el hardware, como por ejemplo chips, placas o monitores.
El equipo emite un pitido durante el inicio y no aparece nada en la pantalla. Normalmente esto se debe a un problema de hardware durante el proceso de arranque. Consulte la documentación del equipo para comprobar el significado de los pitidos.
El equipo no registra 640 k de memoria convencional. Esto puede ser un síntoma de virus, pero no es definitivo. Algunos controladores de hardware, como los correspondientes al monitor o a la tarjeta SCSI, pueden hacer uso de parte de esta memoria. Consulte con el fabricante del equipo o con el proveedor de hardware para averiguar si es el caso.
Tiene dos programas antivirus instalados y uno de ellos informa de la existencia de un virus. Aunque podría tratarse de un virus, también puede ser que uno de los programas antivirus detecte la firma del otro programa en la memoria. Si desea obtener más información, consulte el documento ¿Debería ejecutar más de un programa antivirus a la vez?
Se está usando Microsoft Word y este programa le avisa de que un documento contiene macros. Esto no significa que la macro sea un virus.
No es posible abrir un documento concreto. Esto no indica la presencia de un virus necesariamente. Intente abrir otro documento o una copia de respaldo del documento en cuestión. Si otros documentos se abren sin problemas, puede que el documento esté dañado.
Ha cambiado la etiqueta de un disco duro. Todos los discos pueden tener una etiqueta. Se puede asignar una etiqueta a un disco mediante el comando Label de DOS o desde Windows.
Cuando se ejecuta ScanDisk, la función Auto-Protect de NAV informa de la existencia de actividad vírica. A continuación se ofrecen dos posibles soluciones.
Desactivación de Auto-Protect
Inicie NAV y desactive temporalmente la función Auto-Protect.
Ejecute ScanDisk y deje que corrija los errores.
Vuelva a activar Auto-Protect.
Modificación de una opción de ScanDisk
Inicie ScanDisk y elija la opción Completa.
Haga clic en Opciones.
Desactive la opción No realizar prueba de escritura.
Ejecute ScanDisk de nuevo.Información adicionalSi desea acceder a la información más reciente sobre virus, visite el sitio Web del Centro de investigación antivirus de Symantec (SARC, Symantec AntiVirus Research Center) en la dirección:http://www.symantec.com/region/mx/avcenter/Para enviar un archivo o un disco sospechoso de estar infectado por un virus, consulte los siguientes documentos:
Cómo enviar un archivo al SARC por Internet o en un disquete.
Cómo enviar un archivo al SARC mediante Analizar y enviar (Scan and Deliver).Protección de los equipos informáticosCon toda la publicidad que se les ha dado, es fácil creer que los virus acechan en todos los archivos, mensajes de correo electrónico o sitios Web. Sin embargo, con unas pocas precauciones básicas se puede minimizar el riesgo de infección. Mantenga su equipo protegido y anime a todos sus conocidos a hacer lo mismo.Precauciones generales
No deje un disquete en la disquetera al apagar o encender el equipo.
Proteja contra escritura los disquetes después de escribir en ellos.
Sospeche de los datos adjuntos recibidos en mensajes de fuentes desconocidas.
Compruebe que los archivos adjuntos hayan sido enviados por el autor del mensaje. Los virus recientes pueden enviar mensajes de correo electrónico que parezcan proceder de conocidos.
No configure el programa de correo electrónico para que ejecute automáticamente los datos adjuntos.
Hágase con todas las actualizaciones de seguridad de Microsoft.
Realice una copia de respaldo de sus datos con frecuencia. Guarde los soportes (protegidos contra escritura) en un lugar seguro, preferentemente en un lugar distinto al del equipo.Precauciones específicas para NAV
Asegúrese de contar con las definiciones de virus más recientes. Se recomienda ejecutar LiveUpdate al menos una vez por semana. El SARC actualiza las definiciones de virus como respuesta a las nuevas amenazas de virus. Si desea obtener más información, consulte el documento Cómo ejecutar LiveUpdate.
Asegúrese de haber configurado NAV para analizar los disquetes al acceder a ellos y al apagar el equipo. Consulte la Guía del usuario si desea obtener información sobre cómo hacerlo en su versión de NAV.
Mantenga siempre activa la función Auto-Protect de NAV. El SARC recomienda encarecidamente configurar NAV para que analice todos los archivos, no sólo los de programa.
Analice el nuevo software antes de instalarlo. Ya que los virus del sector de arranque se extienden mediante disquetes y CD de arranque, todos ellos deben analizarse en busca de virus. El software con su embalaje original, los discos de demostración de los proveedores y el software de prueba no están exentos de esta regla. Se han encontrado virus incluso en software distribuido comercialmente.
Analice todos los soportes que le proporcionen otras personas.
Tenga cuidado al abrir datos adjuntos de correo. Los datos adjuntos son uno de los focos más importantes de infección vírica. Los datos adjuntos de Microsoft Word, Excel y Access pueden estar infectados con virus de macro. Otros tipos de datos adjuntos también pueden contener virus que infectan archivos. La función Auto-Protect de NAV analizará estos datos adjuntos en busca de virus al abrirlos o extraerlos. Si tiene instalado NAV 2000, se recomienda activar la protección del correo electrónico, lo que permitirá analizar los datos adjuntos de correo antes de que el mensaje sea enviado a su programa de correo electrónico.Producto: General, Virus InformationSistema operativo: Fecha de creación: 21/09/2001



CÓMO DETECTAR LA PRESENCIA DE UN VIRUS
Principales Síntomas:
Cambio de longitud en archivos.
Modificación de la fecha original de los archivos.
Aparición de archivos o directorios extraños.
Dificultad para arrancar el PC o no conseguir inicializarlo.
Bloqueo del teclado.
El PC no reconoce el disco duro.
Ralentización en la velocidad de ejecución de los programas.
Archivos que se ejecutan mal.
El PC no reconoce las disqueteras.
Se borran archivos inexplicablemente.
Aparecen nuevas macros en documentos de Word.
La opción "ver macros" se desactiva.
Pide passwords no configurados por el usuario.
O, por supuesto, con un software anti-virus ADECUADO que detecte su presencia.
Índice
MÉTODOS DE DETECCIÓN DE LOS ANTI-VIRUS
ESCÁNER: Detecta virus conocidos y se utiliza para chequear disquetes y CD's.
ESCÁNER HEURÍSTICO: Detecta virus desconocidos utilizando métodos de inteligencia artificial.
DRIVER VIRTUAL (VXD), la nueva concepción del escáner en background: Constituye hoy en día el principal elemento de todo buen anti-virus.
Índice
QUÉ HACER ANTE LA PRESENCIA DE UN VIRUS
Informar a los responsables de seguridad informática.
Si se trata de una red, comprobar primero el servidor y después las estaciones de trabajo.
Aislar el PC y EVITAR el intercambio de disquetes y CD's con otros PC's.
No enviar mensajes ni archivos a través de la red o de Internet.
Comprobar que existen backups actualizados y, si no es así, hacerlos inmediatamente, aunque el PC ya esté infectado.
Comprobar que está instalada (o instalar) la versión más actualizada que exista del software anti-virus adecuado.
… Y, lo más importante, solicitar el asesoramiento de los Expertos.
Índice
CÓMO ELEGIR EL MEJOR ANTI-VIRUS
Debe ofrecer:
Máximo índice de detección y eliminación de virus avalado por las principales certificaciones internacionales.
Actualizaciones permanentes vía Internet y otros soportes.
Gestión centralizada y versiones específicas para todas las plataformas.
Alcance y capacidad para incorporar con rapidez todos los nuevos virus a nivel mundial.
Respaldo de un equipo de profesionales con experiencia que proporcione solución inmediata a los nuevos virus.
Índice
VIRUS DE ESTE SIGLO
Busca envíos masivos
Motores propios de difusión
•Aprovechan vulnerabilidades del S.O., firewalls, programas de correo, navegadores, etc...
•Amenazan la privacidad
•"Secuestran" equipos (zombies)
•Organizan redes clandestinas de miles y miles de equipos comprometidos
•Lanzan ataques de Denegación de Servicio (DoS)
•Velocidad propagación infinitamente superior
•Utilizan técnicas de spoofing
•Introducen backdoors (puertas traseras)
•Anonimato = Impunidad
•Warspamming
Índice
EQUIPOS ZOMBIES (COMPROMETIDOS)
Funciones:
Enviar correos masivos (spam)
Actuar como proxy para ocultar el ruteo de los mensajes
Robar la identidad del dueño para traspasar "listas negras"
Lanzar ataques DoS para tirar sitios web
Atacar a sitios web anti-spam
Hosting temporal de sitios web de spam
Conseguir listas de e-mails para uso de spam .


Tipos de Vírus Informáticos
Todos los virus tiene en comun una caracteristica, y es que crean efectos perniciosos. A continuación te presentamos la clasificacion de los virus informaticos, basada en el daño que causan y efectos que provocan.
Caballo de Troya:
Es un programa dañino que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.
Gusano o Worm:
Es un programa cuya única finalidad es la de ir consumiendo la memoria del sistema, se copia asi mismo sucesivamente, hasta que desborda la RAM, siendo ésta su única acción maligna.
Virus de macros:
Un macro es una secuencia de oredenes de teclado y mouse asignadas a una sola tecla, símbolo o comando. Son muy utiles cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen, haciendose pasar por una macro y actuaran hasta que el archivo se abra o utilice.
Virus de sobreescritura:
Sobreescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.
Virus de Programa:
Comúnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos primeros son atacados más frecuentemente por que se utilizan mas.
Virus de Boot:
Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y el sector de arranque maestro (Master Boot Record) de los discos duros; también pueden infectar las tablas de particiones de los discos.
Virus Residentes:
Se colocan automáticamente en la memoria de la computadora y desde ella esperan la ejecución de algún programa o la utilización de algún archivo.
Virus de enlace o directorio:
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y como consecuencia no es posible localizarlos y trabajar con ellos.
Virus mutantes o polimórficos:
Son virus que mutan, es decir cambian ciertas partes de su código fuente haciendo uso de procesos de encriptación y de la misma tecnología que utilizan los antivirus. Debido a estas mutaciones, cada generación de virus es diferente a la versión anterior, dificultando así su detección y eliminación.
Virus falso o Hoax:
Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes distribuídas a través del correo electrónico y las redes. Estos mensajes normalmente informan acerca de peligros de infección de virus, los cuales mayormente son falsos y cuyo único objetivo es sobrecargar el flujo de información a través de las redes y el correo electrónico de todo el mundo.
Virus Múltiples:
Son virus que infectan archivos ejecutables y sectores de booteo simultáneamente, combinando en ellos la acción de los virus de programa y de los virus de sector de arranque.
Para obtener informacion de antivirus para eleminar los diferentes tipo de virus presentados anteriormente visita software antivirus



VIRUS INFORMÀTICOS
INTRODUCCION
Los virus informáticos son una de los principales riesgos de seguridad para los sistemas, ya sea que estemos hablando de un usuario hogareño que utiliza su máquina para trabajar y conectarse a Internet o una empresa con un sistema informático importante que debe mantener bajo constante vigilancia para evitar pérdidas causadas por los virus.
Un virus se valdrá de cualquier técnica conocida –o poco conocida- para lograr su cometido. Así, encontraremos virus muy simples que sólo se dedican a presentar mensajes en pantalla y algunos otros mucho más complejos que intentan ocultar su presencia y atacar en el momento justo.
A lo largo de este trabajo haremos referencia a qué es exactamente un virus, cómo trabaja, algunos tipos de virus y también cómo combatirlos. Nos proponemos a dar una visión general de los tipos de virus existentes para poder enfocarnos más en cómo proteger un sistema informático de estos atacantes y cómo erradicarlos una vez que lograron penetrar.
Conceptos básicos sobre virus informáticos
Índice_general Índice_general

¿Qué es un virus informático?
Un virus informático es un programa de computadora que tiene la capacidad de causar daño y su característica más relevante es que puede replicarse a sí mismo y propagarse a otras computadoras. Infecta "entidades ejecutables": cualquier archivo o sector de las unidades de almacenamiento que contenga códigos de instrucción que el procesador valla a ejecutar. Se programa en lenguaje ensamblador y por lo tanto, requiere algunos conocimientos del funcionamiento interno de la computadora.
Un virus tiene tres características primarias:
· Es dañino. Un virus informático siempre causa daños en el sistema que infecta, pero vale aclarar que el hacer daño no significa que valla a romper algo. El daño puede ser implícito cuando lo que se busca es destruir o alterar información o pueden ser situaciones con efectos negativos para la computadora, como consumo de memoria principal, tiempo de procesador, disminución de la performance.
· Es autorreproductor. A nuestro parecer la característica más importante de este tipo de programas es la de crear copias de sí mismo, cosa que ningún otro programa convencional hace. Imagínense que si todos tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos tres de ellos o más. Consideramos ésta como una característica propia de virus porque los programas convencionales pueden causar daño, aunque sea accidental, sobrescribiendo algunas librerías y pueden estar ocultos a la vista del usuario, por ejemplo: un programita que se encargue de legitimar las copias de software que se instalan.
· Es subrepticio. Esto significa que utilizará varias técnicas para evitar que el usuario se de cuenta de su presencia. La primera medida es tener un tamaño reducido para poder disimularse a primera vista. Puede llegar a manipular el resultado de una petición al sistema operativo de mostrar el tamaño del archivo e incluso todos sus atributos.
· La verdadera peligrosidad de un virus no está dada por su arsenal de instrucciones maléficas, sino por lo crítico del sistema que está infectando. Tomemos como ejemplo un virus del tipo conejo. Si este infectara una computadora hogareña la máquina se colgaría, pudiendo luego reiniciarla con un disquete de arranque limpio y con un antivirus para eliminar el virus. Si afectara a un servidor de una PyME, posiblemente el sistema informático de la empresa dejaría de funcionar por algún tiempo significando una pérdida de horas máquina y de dinero. Pero si este virus infectara una máquina industrial como una grúa robótica o algún aparato utilizado en medicina como una máquina de rayos láser para operar, los costos serían muy altos y posiblemente se perderían vidas humanas. ¿Qué pasaría si se alteraran los registros médicos de una persona de forma que se mostrara un tipo de sangre o factor RH diferente? El paciente podría morir. ¿Qué pasaría si el dígito 4 millonésimo en los cálculos para el aterrizaje de una misión espacial se alterara en un factor del 0.001 por 100? Los astronautas morirían.
· Los virus informáticos no pueden causar un daño directo sobre el hardware. No existen instrucciones que derritan la unidad de disco rígido o que hagan estallar el cañon de un monitor. En su defecto, un virus puede hacer ejecutar operaciones que reduzcan la vida útil de los dispositivos. Por ejemplo: hacer que la placa de sonido envíe señales de frecuencias variadas con un volumen muy alto para averiar los parlantes, hacer que la impresora desplace el cabezal de un lado a otro o que lo golpee contra uno de los lados, hacer que las unidades de almacenamiento muevan a gran velocidad las cabezas de L / E para que se desgasten. Todo este tipo de cosas son posibles aunque muy poco probables y por lo general los virus prefieren atacar los archivos y no meterse con la parte física.

¿Quién los hace?
En primer lugar debemos decir que los virus informáticos están hechos por personas con conocimientos de programación pero que no son necesariamente genios de las computadoras. Tienen conocimientos de lenguaje ensamblador y de cómo funciona internamente la computadora. De hecho resulta bastante más difícil hacer un programa "en regla" como sería un sistema de facturación en donde hay que tener muchísimas más cosas en cuenta que en un simple virus que aunque esté mal programado sería suficiente para molestar al usuario.
En un principio estos programas eran diseñados casi exclusivamente por los hackers y crackers que tenían su auge en los Estados Unidos y que hacían temblar a las compañías con solo pensar en sus actividades. Tal vez esas personas lo hacían con la necesidad de demostrar su creatividad y su dominio de las computadoras, por diversión o como una forma de manifestar su repudio a la sociedad que los oprimía. Hoy en día, resultan un buen medio para el sabotaje corporativo, espionaje industrial y daños a material de una empresa en particular.

Un poco de historia
Los virus tienen la misma edad que las computadoras. Ya en 1949 John Von Neumann, describió programas que se reproducen a sí mismos en su libro "Teoría y Organización de Autómatas Complicados". Es hasta mucho después que se les comienza a llamar como virus. La característica de auto-reproducción y mutación de estos programas, que las hace parecidas a las de los virus biológicos, parece ser el origen del nombre con que hoy los conocemos.
Antes de la explosión de la micro computación se decía muy poco de ellos. Por un lado, la computación era secreto de unos pocos. Por otro lado, las entidades gubernamentales, científicas o militares, que vieron sus equipos atacados por virus, se quedaron muy calladas, para no demostrar la debilidad de sus sistemas de seguridad, que costaron millones, al bolsillo de los contribuyentes. Las empresa privadas como Bancos, o grandes corporaciones, tampoco podían decir nada, para no perder la confianza de sus clientes o accionistas. Lo que se sabe de los virus desde 1949 hasta 1989, es muy poco.
Se reconoce como antecedente de los virus actuales, un juego creado por programadores de la empresa AT&T, que desarrollaron la primera versión del sistema operativo Unix en los años 60. Para entretenerse, y como parte de sus investigaciones, desarrollaron un juego llamado "Core Wars", que tenía la capacidad de reproducirse cada vez que se ejecutaba. Este programa tenía instrucciones destinadas a destruir la memoria del rival o impedir su correcto funcionamiento. Al mismo tiempo, desarrollaron un programa llamado "Reeper", que destruía las copias hechas por Core Wars. Un antivirus o antibiótico, como hoy se los conoce. Conscientes de lo peligroso del juego, decidieron mantenerlo en secreto, y no hablar más del tema. No se sabe si esta decisión fue por iniciativa propia, o por órdenes superiores.
En el año 1983, el Dr. Ken Thomson, uno de los programadores de AT&T, que trabajó en la creación de "Core Wars", rompe el silencio acordado, y da a conocer la existencia del programa, con detalles de su estructura.
La Revista Scientific American a comienzos de 1984, publica la información completa sobre esos programas, con guías para la creación de virus. Es el punto de partida de la vida pública de estos programas, y naturalmente de su difusión sin control, en las computadoras personales.
Por esa misma fecha, 1984, el Dr. Fred Cohen hace una demostración en la Universidad de California, presentando un virus informático residente en una PC. Al Dr. Cohen se le conoce hoy día, como "el padre de los virus". Paralelamente aparece en muchas PCs un virus, con un nombre similar a Core Wars, escrito en Small-C por un tal Kevin Bjorke, que luego lo cede a dominio público. ¡La cosa comienza a ponerse caliente!
El primer virus destructor y dañino plenamente identificado que infecta muchas PC’s aparece en 1986. Fue creado en la ciudad de Lahore, Paquistán, y se le conoce con el nombre de BRAIN. Sus autores vendían copias pirateadas de programas comerciales como Lotus, Supercalc o Wordstar, por suma bajísimas. Los turistas que visitaban Paquistán, compraban esas copias y las llevaban de vuelta a los EE.UU. Las copias pirateadas llevaban un virus. Fue así, como infectaron mas de 20,000 computadoras. Los códigos del virus Brain fueron alterados en los EE.UU., por otros programadores, dando origen a muchas versiones de ese virus, cada una de ellas peor que la precedente. Hasta la fecha nadie estaba tomando en serio el fenómeno, que comenzaba a ser bastante molesto y peligroso.
En 1987, los sistemas de Correo Electrónico de la IBM, fueron invadidos por un virus que enviaba mensajes navideños, y que se multiplicaba rápidamente. Ello ocasionó que los discos duros se llenaran de archivos de origen viral, y el sistema se fue haciendo lento, hasta llegar a paralizarse por mas de tres días. La cosa había llegado demasiado lejos y el Big Blue puso de inmediato a trabajar en los virus su Centro de Investigación Thomas J. Watson, de Yorktown Heights, NI.
Las investigaciones del Centro T. J. Watson sobre virus, son puestas en el dominio público por medio de Reportes de Investigación, editados periódicamente, para beneficio de investigadores y usuarios.
El virus Jerusalem, según se dice creado por la Organización de Liberación Palestina, es detectado en la Universidad Hebrea de Jerusalem a comienzos de 1988. El virus estaba destinado a aparece el 13 de Mayo de 1988, fecha del 40 aniversario de la existencia de Palestina como nación. Una interesante faceta del terrorismo, que ahora se vuelca hacia la destrucción de los sistemas de cómputo, por medio de programas que destruyen a otros programas.
El 2 de Noviembre del ‘88, dos importantes redes de EE.UU. se ven afectadas seriamente por virus introducidos en ellas. Mas 6,000 equipos de instalaciones militares de la NASA, universidades y centros de investigación públicos y privados se ven atacados.
Por 1989 la cantidad de virus detectados en diferentes lugares sobrepasan los 100, y la epidemia comienza a crear situaciones graves. Entre las medidas que se toma, para tratar de detener el avance de los virus, es llevar a los tribunales a Robert Morís Jr. acusado de ser el creador de un virus que infectó a computadoras del gobierno y empresas privadas. Al parecer, este muchacho conoció el programa Core Wars, creado en la AT&T, y lo difundió entre sus amigos. Ellos se encargaron de diseminarlo por diferentes medios a redes y equipos. Al juicio se le dio gran publicidad, pero no detuvo a los creadores de virus.
La cantidad de virus que circula en la actualidad no puede llegar a ser precisada pero para tener una idea los últimos antivirus pueden identificar alrededor de cincuenta mil virus (claro que en este valor están incluidos los clones de un mismo virus).

Funcionamiento de los virus
Los virus informáticos están hechos en Assembler, un lenguaje de programación de bajo nivel. Las instrucciones compiladas por Assembler trabajan directamente sobre el hardware, esto significa que no es necesario ningún software intermedio –según el esquema de capas entre usuario y hardware- para correr un programa en Assembler (opuesto a la necesidad de Visual Basic de que Windows 9x lo secunde). No solo vamos a poder realizar las cosas típicas de un lenguaje de alto nivel, sino que también vamos a tener control de cómo se hacen. Para dar una idea de lo poderoso que puede ser este lenguaje, el sistema operativo Unix está programado en C y las rutinas que necesitan tener mayor profundidad para el control del hardware están hechas en Assembler. Por ejemplo: los drivers que se encargan de manejar los dispositivos y algunas rutinas referidas al control de procesos en memoria.
Sabiendo esto, el virus puede tener control total de la máquina -al igual que lo hace el SO- si logra cargarse antes que nadie. La necesidad de tener que "asociarse" a una entidad ejecutable viene de que, como cualquier otro programa de computadora, necesita ser ejecutado y teniendo en cuenta que ningún usuario en su sano juicio lo hará, se vale de otros métodos furtivos. Ahora que marcamos la importancia para un virus el ser ejecutado, podemos decir que un virus puede encontrarse en una computadora sin haber infectado realmente algo. Es el caso de personas que pueden coleccionar virus en archivos comprimidos o encriptados.
Normalmente este tipo de programas se pega a alguna entidad ejecutable que le facilitará la subida a memoria principal y la posterior ejecución).
METODOS DE INFECCION
Como entidades ejecutables podemos reconocer a los sectores de arranque de los discos de almacenamiento magnéticos, ópticos o magneto-ópticos (MBR, BR), los archivos ejecutables de DOSs (.exe, .com, entre otros), las librerías o módulos de programas (.dll, .lib, .ovl, .bin, .ovr). Los sectores de arranque son fundamentales para garantizar que el virus será cargado cada vez que se encienda la computadora.
Según la secuencia de booteo de las PCs, el microprocesador tiene seteada de fábrica la dirección de donde puede obtener la primer instrucción a ejecutar. Esta dirección apunta a una celda de la memoria ROM donde se encuentra la subrutina POST (Power On Self Test), encargada de varias verificaciones y de comparar el registro de la memoria CMOS con el hardware instalado (función checksum). En este punto sería imposible que el virus logre cargarse ya que la memoria ROM viene grabada de fábrica y no puede modificarse (hoy en día las memorias Flash-ROM podrían contradecir esto último).

Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada "bootstrap ROM" que copia el MBR (Master Boot Record) en memoria RAM. El MBR contiene la información de la tabla de particiones, para conocer las delimitaciones de cada partición, su tamaño y cuál es la partición activa desde donde se cargará el SO. Vemos que en este punto el procesador empieza a ejecutar de la memoria RAM, dando la posibilidad a que un virus tome partida. Hasta acá el SO todavía no fue cargado y en consecuencia tampoco el antivirus. El accionar típico del virus sería copiar el MBR en un sector alternativo y tomar su posición. Así, cada vez que se inicie el sistema el virus logrará cargarse antes que el SO y luego, respetando su deseo por permanecer oculto hará ejecutar las instrucciones del MBR.
Con la información del MBR sabremos qué partición es la activa y en que sector se encuentra su sector de booteo (boot record o BR). El BR contiene una subrutina que se ocupará de cargar los archivos de arranque del SO. Los demás pasos de la carga del SO son irrelevantes, pero es importante recordar que el SO es el último en cargarse en la secuencia de booteo antes de que el usuario pueda introducir comandos en la shell. El antivirus es cargado por los archivos de configuración del SO personalizables por el usuario.
Cuando un virus infecta un archivo ejecutable .EXE, por ejemplo, intenta rastrear en el código los puntos de entrada y salida del programa. El primer punto señalado es en donde, dentro del archivo, se iniciará la ejecución de instrucciones. El segundo punto resulta ser lo opuesto. Cuando un virus localiza ambos puntos escribe su propio código antes de cada uno. Según el tipo de virus, este código cargará el virus en memoria –si es que no lo estaba- y apuntará a esa zona infectada con el virus. A partir de ahí el programa virósico determinará cuáles son las acciones a seguir: puede continuar infectando archivos que sean cargados en memoria, ocultarse si es que detecta la presencia de un antivirus o ejecutar el contenido de su módulo de ataque. El virus puede infectar también las copias de los archivos cargados en memoria que están en la unidad de almacenamiento. Así se asegura que ante un eventual apagado de la computadora su código igualmente se encuentra en los archivos de la unidad.
Es importante comprender que la computadora no estará infectada hasta que ejecutemos algo parasitado previamente con el virus. Veamos un ejemplo sencillo: nosotros bajamos de Internet un archivo comprimido (con la extensión .ZIP según el uso popular) sabiendo que es un programa de prueba que nos gustaría instalar. Lo que no sabemos es que uno de los archivos dentro del .ZIP es un virus informático, y lo peor de todo es que viene adosado al archivo Install.exe. Al momento de descomprimir el contenido, el virus todavía no fue ejecutado (ya que la información dentro del .ZIP no puede ser reconocida como instrucciones por el procesador). Luego identificamos el archivo Install.exe como el necesario para instalar el programa y lo ejecutamos. Recién en este momento el virus se cargará en memoria y pasará a hacer las cosas para lo que fue programado.
El ejemplo anterior es un modo muy básico de infección. Pero existen otros tantos tipos de virus que son mucho más sofisticados y no podrá ser reconocida su presencia con mucha facilidad.
Según sus características un virus puede contener tres módulos principales: el módulo de ataque, el módulo de reproducción, y el módulo de defensa.
· Módulo de reproducción. Es el encargado de manejar las rutinas para infectar entidades ejecutables que asegurarán la subsistencia del virus. Cuando toma el control del sistema puede infectar otras entidades ejecutables. Cuando estas entidades sean trasladadas a otras computadoras se asegura la dispersión del virus.
· Módulo de ataque. Es el módulo que contiene las rutinas de daño adicional o implícito. El módulo puede ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un archivo específico (COMMAND.COM), el encontrar un sector específico (MBR), una determinada cantidad de booteos desde que ingreso al sistema, o cualquier otra cosa a la que el programador quisiera atacar.
· Módulo de defensa. Su principal objetivo es proteger el cuerpo del virus. Incluirá rutinas que disminuyan los síntomas que delaten su presencia e intentarán que el virus permanezca invisible a los ojos del usuario y del antivirus. Las técnicas incluidas en este módulo hoy en día resultan ser muy sofisticadas logrando dar información falsa al SO -y en consecuencia al usuario- y localizándose en lugares poco comunes para el registro de los antivirus, como la memoria Flash-Rom.
Algunos métodos de infección
Añadidura o empalme. Por este método el código del virus se agrega al final del archivo ejecutable a infectar, modificando las estructuras de arranque del archivo anfitrión de manera que el control del programa pase primero al virus cuando se quiera ejecutar el archivo. Este cambio de secuencia permite al virus realizar sus tareas específicas y luego pasar el control al programa para que este se ejecute normalmente. La principal desventaja de este método es que el tamaño del archivo infectado es mayor al original, lo que permite una fácil detección.
Inserción. Los virus que utilizan el método de inserción buscan alojarse en zonas de código no utilizadas o en segmentos de datos dentro de los archivos que contagian, de esta manera la longitud total del archivo infectado no varía. Este método, parecido al de empalme, exige mayores técnicas de programación de los virus para poder detectar las zonas posibles de contagio dentro de un ejecutable, por lo que generalmente no es muy utilizada por los programadores de virus informáticos.
Reorientación. Este método es una variante interesante del anterior. Bajo este esquema se introducen centrales virósicas (los códigos principales del virus) en zonas físicas del disco rígido marcadas como defectuosas o en archivos ocultos del sistema. Estos códigos virales, al ejecutarse, implantan pequeños trozos de código en los archivos ejecutables que infectan, que luego actúan como llamadores de las centrales virósicas. La principal ventaja de este método es que el cuerpo del virus, al no estar inserto en el archivo infectado sino en otro sitio oculto, puede tener un tamaño bastante grande, aumentando así su funcionalidad. La desventaja más fuerte es que la eliminación de este tipo de infecciones es bastante sencilla. Basta con borrar archivos ocultos sospechosos o reescribir las zonas del disco marcadas como defectuosas.
Polimorfismo. Este es el método más avanzado de contagio logrado por los programadores de virus. La técnica básica usada es la de inserción del código viral en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutar el programa infectado actúa primero el código del virus descompactando en memoria las porciones previamente compactadas. Una variante mejorada de esta técnica permite a los virus usar métodos de encriptación dinámicos para disfrazar el código del virus y evitar ser detectados por los antivirus.
Sustitución. El método de sustitución, usado con variantes por los Caballos de Troya, es quizás el método más primitivo. Consiste en sustituir el código completo del archivo original por el código del virus. Al ejecutar el programa infectado el único que actúa es el virus, que cumple con sus tareas de contagiar otros archivos y luego termina la ejecución del programa reportando algún tipo de error. Esta técnica tiene sus ventajas, ya que en cada infección se eliminan archivos de programas válidos, los cuales son reemplazados por nuevas copias del virus.
Tunneling. Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupción y tener así un control directo sobre esta. Requiere una programación compleja, hay que colocar el procesador en modo kernel. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la INT 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.
Los virus utilizan el tunneling para protegerse de los módulos residentes de los antivirus que monitorean todo lo que sucede en la máquina para interceptar todas las actividades "típicas" de los virus.
Para entender como funciona esta técnica basta saber como trabaja este tipo de antivirus. El módulo residente queda colgado de todas las interrupciones usualmente usadas por los virus (INT 21, INT 13, a veces INT 25 Y 26) y entonces cuando el virus intenta llamar a INT 21, por ejemplo, para abrir un ejecutable para lectura / escritura (y luego infectarlo), el antivirus emite una alerta, pues los ejecutables no son normalmente abiertos, ni menos para escritura. Y así con todas las llamadas típicas de los virus.
En cambio, cuando se hace una llamada común y corriente, el antivirus no le da mayor importancia y la deja pasar, llamando a la INT 21 original. Un virus con tunneling, entonces, antes de llamar a ninguna función ni hacer nada, intenta obtener el address absoluto de esta INT 21 original, que está en alguna parte de la memoria del antivirus residente. Una vez que obtiene este address, accede al MS-DOS por medio de el, sin llamar al antivirus. Y así, efectivamente, le "pasa por debajo", lo "tunelea". ¿Cómo se hace esto?
Existen dos formas fundamentales de obtener este address:
· La primera, y la mas usada, es utilizando la interrupción de trace (INT 1) y la trap flag. (Que son usadas por los DEBUGGERS) para atravesar el código línea por línea hasta hallar lo que se busca. Es usada por todos los virus que usan esta técnica, como por ejemplo, el Predator II o el (ya viejo) Yankee Doodle.
· La segunda, hacer un simple y llano scanning del código, byte a byte, hasta hallar el address. Se usa en pocos virus, pero es la que usa Kohntark en su célebre Kohntark Recursive Tunneling Toolkit.
· Problemas Generales del Tunneling.
· Pero el problema principal del tunneling es que aún teniendo éxito en obtener la INT 21 posta, se pueden tener problemas si hay algún residente importante y uno lo esta pasando por debajo. Es famoso ya el caso del Predator II y el DoubleSpace. El predator II tuneleaba por debajo del DoubleSpace y trataba de acceder al disco directamente por MS-DOS. Esto produjo que destruyera el contenido de varios discos rígidos. En definitiva, esto es contrario a las intenciones del tunneling.
Clasificación de los virus
La clasificación correcta de los virus siempre resulta variada según a quien se le pregunte. Podemos agruparlos por la entidad que parasitan (sectores de arranque o archivos ejecutables), por su grado de dispersión a nivel mundial, por su comportamiento, por su agresividad, por sus técnicas de ataque o por como se oculta, etc. Nuestra clasificación muestra como actúa cada uno de los diferentes tipos según su comportamiento. En algunos casos un virus puede incluirse en más de un tipo (un multipartito resulta ser sigiloso).
Caballos de Troya
Los caballos de troya no llegan a ser realmente virus porque no tienen la capacidad de autoreproducirse. Se esconden dentro del código de archivos ejecutables y no ejecutables pasando inadvertidos por los controles de muchos antivirus. Posee subrutinas que permitirán que se ejecute en el momento oportuno. Existen diferentes caballos de troya que se centrarán en distintos puntos de ataque. Su objetivo será el de robar las contraseñas que el usuario tenga en sus archivos o las contraseñas para el acceso a redes, incluyendo a Internet. Después de que el virus obtenga la contraseña que deseaba, la enviará por correo electrónico a la dirección que tenga registrada como la de la persona que lo envió a realizar esa tarea. Hoy en día se usan estos métodos para el robo de contraseñas para el acceso a Internet de usuarios hogareños. Un caballo de troya que infecta la red de una empresa representa un gran riesgo para la seguridad, ya que está facilitando enormemente el acceso de los intrusos. Muchos caballos de troya utilizados para espionaje industrial están programados para autodestruirse una vez que cumplan el objetivo para el que fueron programados, destruyendo toda la evidencia.


Camaleones
Son una variedad de similar a los Caballos de Troya, pero actúan como otros programas comerciales, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales). Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos (rlogin, telnet) realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.
Virus polimorfos o mutantes
Los virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus. Solo deja disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse. Una vez desencriptado el virus intentará alojarse en algún archivo de la computadora.
En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el virus presente su característica de cambio de formas debe poseer algunas rutinas especiales. Si mantuviera siempre su estructura, esté encriptado o no, cualquier antivirus podría reconocer ese patrón.
Para eso incluye un generador de códigos al que se conoce como engine o motor de mutación. Este engine utiliza un generador numérico aleatorio que, combinado con un algoritmo matemático, modifica la firma del virus. Gracias a este engine de mutación el virus podrá crear una rutina de desencripción que será diferente cada vez que se ejecute.
Los métodos básicos de detección no pueden dar con este tipo de virus. Muchas veces para virus polimorfos particulares existen programas que se dedican especialmente a localizarlos y eliminarlos. Algunos softwares que se pueden baja gratuitamente de Internet se dedican solamente a erradicar los últimos virus que han aparecido y que también son los más peligrosos. No los fabrican empresas comerciales sino grupos de hackers que quieren protegerse de otros grupos opuestos. En este ambiente el presentar este tipo de soluciones es muchas veces una forma de demostrar quien es superior o quien domina mejor las técnicas de programación.
Las últimas versiones de los programas antivirus ya cuentan con detectores de este tipo de virus.
Virus sigiloso o stealth
El virus sigiloso posee un módulo de defensa bastante sofisticado. Este intentará permanecer oculto tapando todas las modificaciones que haga y observando cómo el sistema operativo trabaja con los archivos y con el sector de booteo. Subvirtiendo algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra la zona que infectada.
Es difícil que un antivirus se de cuenta de estas modificaciones por lo que será imperativo que el virus se encuentre ejecutándose en memoria en el momento justo en que el antivirus corre. Los antivirus de hoy en día cuentan con la técnica de verificación de integridad para detectar los cambios realizados en las entidades ejecutables.
El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector de arranque de los disquetes e intercepta cualquier operación de entrada / salida que se intente hacer a esa zona. Una vez hecho esto redirigía la operación a otra zona del disquete donde había copiado previamente el verdadero sector de booteo.
Este tipo de virus también tiene la capacidad de engañar al sistema operativo. Un virus se adiciona a un archivo y en consecuencia, el tamaño de este aumenta. Está es una clara señal de que un virus lo infectó. La técnica stealth de ocultamiento de tamaño captura las interrupciones del sistema operativo que solicitan ver los atributos del archivo y, el virus le devuelve la información que poseía el archivo antes de ser infectado y no las reales. Algo similar pasa con la técnica stealth de lectura. Cuando el SO solicita leer una posición del archivo, el virus devuelve los valores que debería tener ahí y no los que tiene actualmente.
Este tipo de virus es muy fácil de vencer. La mayoría de los programas antivirus estándar los detectan y eliminan.
Virus lentos
Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el usuario hace ejecutar por el SO, simplemente siguen la corriente y aprovechan cada una de las cosas que se ejecutan.
Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.
La mayoría de las herramientas creadas para luchar contra este tipo de virus son programas residentes en memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy launching. Se crean varios archivos .EXE y .COM cuyo contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su conocimiento.
Retro-virus o Virus antivirus
Un retro-virus intenta como método de defensa atacar directamente al programa antivirus incluido en la computadora.
Para los programadores de virus esta no es una información difícil de obtener ya que pueden conseguir cualquier copia de antivirus que hay en el mercado. Con un poco de tiempo pueden descubrir cuáles son los puntos débiles del programa y buscar una buena forma de aprovecharse de ello.
Generalmente los retro-virus buscan el archivo de definición de virus y lo eliminan, imposibilitando al antivirus la identificación de sus enemigos. Suelen hacer lo mismo con el registro del comprobador de integridad.
Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse o inician una rutina destructiva antes de que el antivirus logre encontrarlos. Algunos incluso modifican el entorno de tal manera que termina por afectar el funcionamiento del antivirus.
Virus multipartitos
Los virus multipartitos atacan a los sectores de arranque y a los ficheros ejecutables. Su nombre está dado porque infectan las computadoras de varias formas. No se limitan a infectar un tipo de archivo ni una zona de la unidad de disco rígido. Cuando se ejecuta una aplicación infectada con uno de estos virus, éste infecta el sector de arranque. La próxima vez que arranque la computadora, el virus atacará a cualquier programa que se ejecute.
Virus voraces
Estos virus alteran el contenido de los archivos de forma indiscriminada. Generalmente uno de estos virus sustituirá el programa ejecutable por su propio código. Son muy peligrosos porque se dedican a destruir completamente los datos que puedan encontrar.
Bombas de tiempo
Son virus convencionales y pueden tener una o más de las características de los demás tipos de virus pero la diferencia está dada por el trigger de su módulo de ataque que se disparará en una fecha determinada. No siempre pretenden crear un daño específico. Por lo general muestran mensajes en la pantalla en alguna fecha que representa un evento importante para el programador. El virus Michel Angelo sí causa un daño grande eliminando toda la información de la tabla de particiones el día 6 de marzo.
Conejo
Cuando los ordenadores de tipo medio estaban extendidos especialmente en ambientes universitarios, funcionaban como multiusuario, múltiples usuarios se conectaban simultáneamente a ellos mediante terminales con un nivel de prioridad. El ordenador ejecutaba los programas de cada usuario dependiendo de su prioridad y tiempo de espera. Si se estaba ejecutando un programa y llegaba otro de prioridad superior, atendía al recién llegado y al acabar continuaba con lo que hacia con anterioridad. Como por regla general, los estudiantes tenían prioridad mínima, a alguno de ellos se le ocurrió la idea de crear este virus. El programa se colocaba en la cola de espera y cuando llegaba su turno se ejecutaba haciendo una copia de sí mismo, agregándola también en la cola de espera. Los procesos a ser ejecutados iban multiplicándose hasta consumir toda la memoria de la computadora central interrumpiendo todos los procesamientos.

Macro-virus
Los macro-virus representan una de las amenazas más importantes para una red. Actualmente son los virus que más se están extendiendo a través de Internet. Representan una amenaza tanto para las redes informáticas como para los ordenadores independientes. Su máximo peligro está en que son completamente independientes del sistema operativo o de la plataforma. Es más, ni siquiera son programas ejecutables.
Los macro-virus son pequeños programas escritos en el lenguaje propio (conocido como lenguaje script o macro-lenguaje) propio de un programa. Así nos podemos encontrar con macro-virus para editores de texto, hojas de cálculo y utilidades especializadas en la manipulación de imágenes.
En Octubre de 1996 había menos de 100 tipos de macro-virus. En Mayo de 1997 el número había aumentado a 700.
Sus autores los escriben para que se extiendan dentro de los documentos que crea el programa infectado. De esta forma se pueden propagar a otros ordenadores siempre que los usuarios intercambien documentos. Este tipo de virus alteran de tal forma la información de los documentos infectados que su recuperación resulta imposible. Tan solo se ejecutan en aquellas plataformas que tengan la aplicación para la que fueron creados y que comprenda el lenguaje con el que fueron programados. Este método hace que este tipo de virus no dependa de ningún sistema operativo.
· Un macro-virus para Word también es capaz de sobreescribir las opciones Guardar, Guardar cómo y Nuevo del menú Archivo para asegurar su permanencia. La verdad es que sobreescribir estas opciones no representa ningún tipo de problema. Basta con copiar la macro al documento y copiarla a otra macro con las modificaciones deseadas. La naturaleza polimorfa de este tipo de virus es una de las razones por la que los profesionales los consideran tan peligrosos.
· peligro que conlleva abrir un documento determinado. Conviene que escanee todos los documentos de Word que reciba a través del correo electrónico antes de abrirlos por si están infectados. En las últimas versiones de Microsoft Word (a partir de la 7.0) hay un detalle que las hace menos susceptibles ante la infección de los macro-virus de Word. Y es que, al igual que las últimas versiones de programas como Excel, Access y PowerPoint, se ha cambiado el lenguaje de programación interno. Microsoft usa un lenguaje nuevo al que ha bautizado como Visual Basic para Aplicaciones 5.0 (VBA). Además, las nuevas versiones de Chamaleon (de NetManage), Photoshop (de Adobe) y AutoCAD (de AutoDesk) utilizan VBA.
· Los pasos que se deben seguir para eliminar macro-virus son los siguientes:
1. Activar la protección antivirus si está desactivada.
· Abrir el Word directamente, sin ningún documento.
· Ir al menú Herramientas, y elegir Opciones....
· En la pestaña General, activar la casilla donde dice Protección antivirus en macro.
1. Abrir el documento infectado teniendo en cuenta que, cuando se presente la ventana de Advertencia, se debe elegir la opción Abrir sin Macros para no infectarse.
2. Una vez abierto el documento, elegir, dentro del menú Herramientas, la opción Macro y dentro de ella, la que dice Editor de Visual Basic, o directamente, presionar la combinación de teclas ALT+F11. Donde, en la parte izquierda de la pantalla, se podrá observar un cuadro que dice "Proyecto - ..." y el nombre del archivo abierto, en este caso Normal.
3. Se debe desplegar cada uno de los ítems de ese cuadro para ver el código de las macros. Al hacer doble click sobre algunos de estos elementos, se abrirá una nueva ventana con código.
4. Se debe marcar el texto que aparece en la nueva ventana, y eliminarlo como se haría con cualquier texto. Al hacer esto, se estarán eliminando las macros que contiene el documento, lo que eliminará completamente el Macrovirus.
Estos pasos deben repetirse por todos los elementos que se encuentren en el cuadro Proyectos.

Gusanos
Un gusano se puede decir que es un set de programas, que tiene la capacidad de desparramar un segmento de el o su propio cuerpo a otras computadoras conectadas a una red.
Hay dos tipos de Gusanos:
· Host Computer Worm: son contenidos totalmente en una computadora, se ejecutan y se copian a si mismo vía conexión de una red. Los Host Computer Worm, originalmente terminan cuando hicieron una copia de ellos mismos en otro host. Entonces, solo hay una copia del gusano corriendo en algún lugar de una red. También existen los Host Computer Worm, que hacen una copia de ellos mismos e infectan otras redes, es decir, que cada maquina guarda una copia de este Gusano.
· Network Worms: consisten en un conjunto de partes (llamadas "segmentos"), cada una corre en una maquina distinta (y seguramente cada una realiza una tarea distinta) y usando la red para distintos propósitos de comunicación.
o Propagar un segmento de una maquina a otra es uno de los propósitos. Los Network Worm tienen un segmento principal que coordina el trabajo de los otros segmentos, llamados también "octopuses".
El Famoso Internet Worm creado por Morrison en 1988 y que tantas máquinas infectó era del tipo Host Computer. Para conocer un Gusano, veamos detalladamente como funcionaba el que hizo Morrison.
El objetivo de ese virus era obtener una "shell" en la otra maquina. Para esto el gusano usaba tres técnicas distintas Sendmail, fingerd y rsh/rexec.
· The Sendmail Attack. En el ataque por Sendmail, el gusano abría una conexión TCP con el sendmail de otra maquina (puerto SMTP). Mediante un error del Sendmail, el Gusano creaba un programa C que se compilaba en la máquina ya infectada y reemplazaba la shell común sh por una Worm.
· The Fingerd Attack. En este ataque, intentaba infiltrarse por un bug en el daemon del finger (fingerd). Aparentemente era con este bug que el gusano se pudo desparramar con tanta libertad. Al parecer, los argumentos del daemon de finger eran leídos sin tener controles preestablecidos de los límites. El gusano, aprovechándose de eso, ejecutaba un comando y reemplazaba la shell común sh con el gusano. Así, cada vez que un usuario se logueara empezaba a funcionar el Gusano.
· The Rsh/Rexec Attack. La tercera forma de entrar a un sistema por una Red, era utilizando la confianza de host. Para esto, necesitaba tener un nombre de usuario y contraseña. Por eso abría el /etc/passwd y probaba contraseñas conocidas. Combinaba nombre de usuario, con la descripción, etc. Cuando conseguía la password de algún usuario, buscaba el archivo .rhosts y usando los comandos de confianza rsh/rexec para obtener una cuenta en otra maquina de confianza y empezar el proceso de nuevo. Cuando el gusano se conectaba a un host satisfactoriamente, creaba un proceso (hijo) que continuaba con la infección, mientras que el primer proceso (padre) sigue buscando host para seguir infectando. Para conseguir host para infectar, el gusano usa distintas técnicas, como por ejemplo el netstat, o edita el /etc/hosts en busca de algún host, cada vez que encuentra uno, intenta infectarlo.
Los Nuevos Worm
Happy99. Fue descubierto en Junio de 1999. La primera vez que es ejecutado se ven fuegos artificiales y un cartel que dice "Happy 99". Este cartel es un fachada, ya que mientras se encarga de reemplazar algunos archivos. Cada mensaje que se manda por e-mail, crea un mensaje alternativo que tiene adjunto el Happy99.
Este gusano tiene una lista de cada e-mail al cual fue enviado una copia del Happy99.
Melissa Virus. El virus Melissa es un virus de Macro en Word, que infecta el sistema y manda 50 copias de sí mismo, utilizando el Microsoft Outlook. Muestra un mensaje que dice "Important Message from " y manda un e-mail adjuntando el archivo .doc. Aún, si la máquina no tuviera el Microsoft Outlook, este Troyano / Virus infecta la máquina.
Bubbleboy Worm. Este gusano nunca salió a la luz, sino que fue creado por una persona que quiso demostrar las falencias que tiene el sistema VBS Script. Lo importante de este virus es que es enviado por e-mail, pero puede infectar a la máquina sin la necesidad de abrir ningún archivo adjunto, ya que el gusano vienen incluido en el e-mail, por eso hace de este gusano muy peligroso. Simplemente al hacerle un click en el mensaje el virus se activa. Es por esto, que este virus solo infecta maquinas Windows 98 / 2000, con IE 5 y Outlook / Outlook Express.
La propagación del Bubbleboy depende de dos controles ActiveX particulares que fueron marcados como "seguros".

Como infecta un virus
Primero, el virus aparece en el sistema. Normalmente entra como parte de un archivo de programa infectado (COM, EXE o del sector de arranque). Antes los virus viajaban casi exclusivamente a través de la distribución de disquettes infectados. Hoy, los virus se descargan con frecuencia de redes (incluyendo Internet), por ejemplo como parte de los archivos de configuración de un programa de prueba, como una macro para un determinado programa o como un adjunto a un mensaje de correo electrónico.
El mensaje de correo electrónico en si no puede ser un virus. Un virus es un programa que debe ejecutarse para estar activo. Un virus entregado como un adjunto de un mensaje de correo, por lo tanto, no hace nada hasta que se ejecuta. Este tipo de virus se ejecuta lanzando el adjunto, normalmente haciendo doble clic sobre él.
Una forma de aumentar la protección contra este tipo de virus es simplemente no abrir nunca adjuntos que sean archivos ejecutables (EXE o COM) o archivos de datos de programas, como aplicaciones de oficina, que proporcionen funciones de escritura de macros. Un archivo de gráficos, sonido u otro tipo de datos similar es más seguro.
Un virus inicia su vida en la PC, como un programa similar a un caballo de Troya. Esta oculto dentro de otro programa o archivo y se lanza con el. En un archivo ejecutable infectado, el virus ha modificado esencialmente el programa original para apuntar al código del virus y lanzar ese código junto con el suyo propio. Normalmente, salta al código del virus, lo ejecuta y después salta de nuevo al código original. En este momento el virus está activo y el sistema infectado.
Una vez activo, el virus hace su trabajo inmediatamente (si es un virus de acción directa), o se coloca en segundo plano como programa residente en memoria utilizando el procedimiento TSR (Terminate and Stay Resident: termina y permanece residente) permitido por el sistema operativo.
La mayoría son de este segundo tipo y se llaman virus residentes. Dada la amplia gama de actividades permitidas por los programas TSR (un virus residente puede programarse para hacer buena parte de lo que un sistema operativo puede hacer).

0 Comments:

Post a Comment

<< Home