Professional Documents
Culture Documents
INTRODUCCION
Un virus no necesariamente tiene que auto reproducirse, pues basta con que se instale en
memoria y desde allí ataque a un determinado tipo de archivo o áreas del sistema y lo
infecte. Con Internet se hace más fácil tener el total control de los virus informáticos, lo
que resulta perjudicial a todos los usuarios.
El crecimiento veloz de los virus, hace necesario un rápido tratamiento usando las
técnicas de prevención, detección y eliminación de virus informáticos, teniéndose que
llevar a cabo de forma rápida y eficiente .
Desde la aparición de los virus informáticos en 1984 y tal como se les concibe hoy en
día, han surgido muchos mitos y leyendas acerca de ellos. Esta situación se agravó con
el advenimiento y auge de Internet. A continuación, un resumen de la verdadera
historia de los virus que infectan los archivos y sistemas de las computadoras.
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet.
Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban
paulatinamente disminuyendo la memoria del computador y el ganador era el que
finalmente conseguía eliminarlos totalmente. Este juego fue motivo de concursos en
importantes centros de investigación como el de la Xerox en California y el
Massachussets Technology Institute (MIT), entre otros.
Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato, debido a
que por aquellos años la computación era manejada por una pequeña élite de
intelectuales
A pesar de muchos años de clandestinidad, existen reportes acerca del virus Creeper,
creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360,
emitiendo periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you
can!" (Soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el
primer programa antivirus denominado Reaper (segadora), ya que por aquella época se
desconocía el concepto de los softwares antivirus.
En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de América,
precursora de Internet, emitió extraños mensajes que aparecían y desaparecían en forma
aleatoria, asimismo algunos códigos ejecutables de los programas usados sufrían una
mutación. Los altamente calificados técnicos del Pentágono se demoraron 3 largos días
en desarrollar el programa antivirus correspondiente.
1981 La IBM PC
El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido y
Rústico Sistema Operativo de Disco) y tenía varios errores de programación (bugs).
La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase de un buen
sistema operativo y como resultado de esa imprevisión todas las versiones del llamado
PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya
que fundamentalmente heredaron muchos de los conceptos de programación del antiguo
sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una
rutina de apenas 256 bytes, que es ejecutada previamente a la ejecución de cualquier
programa con extensión EXE o COM.
Este joven ingeniero, quien en 1969 creó el sistema operativo UNIX, resucitó las teorías
de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo
protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un
virus informático.
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la
revista BYTE reportaron la presencia y difusión de algunos programas que actuaban
como "caballos de Troya", logrando infectar a otros programas.
En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron
las primeras especies representativas de difusión masiva. Estas 3 especies virales tan
En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba como
director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria, escribió
un interesante y polémico artículo en el cual, además de reconocer a su país como el
líder mundial en la producción de virus da a saber que la primera especie viral búlgara,
creada en 1988, fue el resultado de una mutación del virus Vienna, originario de
Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de
Sofía. Al año siguiente los autores búlgaros de virus, se aburrieron de producir
mutaciones y empezaron a desarrollar sus propias creaciones.
En 1997 se disemina a través de Internet el primer macro virus que infecta hojas de
cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma
familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor
información sírvanse revisar la opción Macro Virus, en este mismo módulo.
A fines de Noviembre de este mismo año apareció el BubbleBoy, primer virus que
infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en
formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS, primer virus oculto
dentro del shell de la extensión .SHS.
Resultará imposible impedir que se sigan desarrollando virus en todo el mundo, por ser
esencialmente una expresión cultural de "graffiti cibernético", así como los crackers
jamás se detendrán en su intento de "romper" los sistemas de seguridad de las redes e
irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha
del bien y el mal ahora se ha extendido al ciber espacio.
Los virus informáticos son programas que utilizan técnicas sofisticadas, diseñados por
expertos programadores, los cuales tienen la capacidad de reproducirse por sí mismos,
unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayoría
de estas acciones son hechas con mala intención.
La mayoría de los virus suelen ser programas residentes en memoria, se van copiando
dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras
personas, también encontrarán en el interior archivos con virus.
Un virus tiene la capacidad de dañar información, modificar los archivos y hasta borrar
la información un disco duro, dependiendo de su programador o creador.
Los virus en informática son similares a los que atacan el organismo de los seres
humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo
objetivo es destruir o molestar el "huésped".
Al igual que los virus orgánicos, los virus en informática deben ser eliminados antes de
que causen la "muerte" del huésped...
Los virus de las computadoras no son mas que programas; y estos virus casi siempre
los acarrean las copias ilegales o piratas.
CARACTERÍSTICAS:
Se reproducen a sí mismos.
A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de
computadora no ocurren en forma natural, cada uno debe ser programado. No existen
virus benéficos.
Algunas veces son escritos como una broma, quizá para irritar a la gente desplegando
un mensaje humorístico. En estos casos, el virus no es mas que una molestia. Pero
cuando un virus es malicioso y causa daño real, ¿quién sabe realmente la causa?
¿Aburrimiento? ¿Coraje? ¿Reto intelectual? Cualquiera que sea el motivo, los efectos
pueden ser devastadores.
El virus pasa a la memoria del computador, tomando el control del mismo, después de
intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de
ejecutar un archivo infectado.
Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema
De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendrá el sector de arranque del disco, y los archivos del
sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura,
dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar
el sistema.
La mayoría de los virus se activan mediante el reloj del sistema para comprobar la fecha
y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna
condición y por último atacan, el daño que causan depende de su autor.
CLASES DE VIRUS:
VIRUS POLIMORFICOS
o Muy difíciles de detectar y eliminar, debido a que cada copia del virus es
diferente de otras copias.
VIRUS ESTATICOS
Normalmente infectan archivos del mismo directorio, o puede ser que tengan
objetivos fijos como el COMMAND.COM del Sistema Operativo.
VIRUS RESIDENTES
Una vez ejecutado el programa portador del virus, éste pasa a la memoria del
computador y se queda allí hasta que apaguemos el ordenador. Mientras tanto va
infectando todos aquellos programas ejecutables que utilicemos.
VIRUS DESTRUCTIVOS
VIRUS BIPARTIDOS
o Es un virus poco frecuente.
o Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su
código (el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero
puede haber otra versión del mismo virus que incorpore ese algoritmo. Si ambos virus
coinciden en nuestro computador, y se unen en uno sólo, se convierten en un virus
destructivo.
VIRUS COMPAÑEROS
o Son los virus más sencillos de hacer.
o Cuando en un mismo directorio existen dos programas ejecutables con el
mismo nombre pero uno con extensión .COM y el otro con extensión .EXE, el MS-DOS
carga primero el archivo con extensión .COM.
o Si se crea un archivo .COM oculto, con el mismo nombre que el otro
archivo ejecutable de extensión .EXE. Primero se cargará en la memoria el archivo
.COM que contiene el virus. Después el virus llamaría al programa original.
o El archivo infectado no podría ser visto con un simple comando DIR en
C :\, porque contiene el atributo de oculto.
o AUTOREPLICABLES
o ESQUEMA DE PROTECCIÓN
No son virus destructivos.
Se activan cuando se intenta copiar un archivo que está protegido
contra escritura.
También se ejecutan cuando se intenta copiar softwares o
programas.
o VIRUS INFECTORES DE PROGRAMAS EJECUTABLES
La infección se produce al ejecutar el programa que contiene el
virus, en ese momento busca todos los programas cuyas extensiones sean .COM o
.EXE.
Cuando un programa infectado está ejecutándose, el virus puede
permanecer residente en memoria e infectar cada programa que se ejecute.
Los virus de este tipo tienen dos formas de alojarse en el
ejecutable.
Graban su código de inicio al principio del archivo, realizando un
salto para ejecutar el programa básico y regresar al programa infectado.
Sobrescribiendo en los sectores del disco, haciendo prácticamente
imposible su recuperación, si no cuenta con los originales.
o VIRUS INVISIBLES
Este tipo de virus intenta esconderse del Sistema Operativo
mediante varias técnicas.
Pueden modificar el tamaño del archivo infectado, para que no se
note que se le ha añadido un virus.
Pueden utilizar varias técnicas para que no se les pueda encontrar
en la memoria del ordenador engañando a los antivirus.
Normalmente utilizan la técnica de Stealth o Tunneling.
o PROGRAMAS MALIGNOS
Son programas que deliberadamente borran archivos o software indicados por sus
autores eliminándose así mismo cuando terminan de destruir la información.
Bombas Lógicas
Bombas de Tiempo
Jokes
Gusanos
Caballos de Troya
Jokes
Gusanos
Caballos de Troya
Windows 95
No se autoreproducen.
Su misión es destruir toda la información que se
encuentra en los discos.
TÉCNICAS DE VIRUS
Estos hechos demuestran fehacientemente que no existe ningún impedimento para que
se puedan programar virus en lenguajes diferentes al assembler, aunque con ninguno de
ellos se podría generar las órdenes directas para tomar control de las interrupciones, o
saltar de un programa anfitrión (host) o receptor, a otro en forma tan rápida y versátil.
El autor de virus por lo general vive muy de prisa y tal pareciera que además de haber
incrementado sus conocimientos, ha analizado los errores cometidos por los anteriores
programadores de virus que han permitido que sus especies virales sean fácilmente
detectadas, y es por ello que sin dejar de lado las formas tradicionales de programación,
ha creado además sofisticadas rutinas y nuevas metodologías.
Han transcurrido más de 16 años desde que el Dr. Fred Cohen expusiese sus conceptos
y teorías y los autores de virus no solamente se han convertido en más creativos e
ingeniosos, sino que continuarán apareciendo nuevas Técnicas de Programación,
INFECTOR RAPIDO
Un virus infector rápido es aquel que cuando está activo en la memoria infecta no
solamente a los programas cuando son ejecutados sino a aquellos que son simplemente
abiertos para ser leídos. Como resultado de esto sucede que al ejecutar un explorador
(scanner) o un verificador de la integridad (integrity checker), por ejemplo, puede dar
como resultado que todos o por lo menos gran parte de los programas sean infectados.
Esta técnica usa la función 3dh de la interrupción 21h para abrir un archivo ejecutable
en forma muy rápida, empezando preferentemente con el COMMAND.COM y
ubicándose en clusters vacios detrás de un comando interno, por ejemplo DIR, de tal
modo que no solamente no incrementa el tamaño del archivo infectado sino que además
su presencia es inadvertible.
Puede darse el caso además, de que cuando se ejecuta un archivo EXE o COM éste no
es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son
alterados. Si bajo esta técnica se ha decidido atacar a las áreas del sistema el código
viral reemplaza a los 512 bytes del sector de arranque y envia el sector original a otra
posición en el disco, pero a su vez emulará al verdadero, y al ser un "clon" de boot le le
será muy fácil infectar a la FAT y al Master Boot Record o a la Tabla de Particiones,
imposibilitando el acceso al disco.
INFECTOR LENTO
El término de infector lento se refiere a un virus que solamente infecta a los archivos en
la medida que éstos son ejecutados, modificados o creados, pero con una salvedad:
puede emplear también parte de la técnica del infector rápido pero sin la instrucción de
alteración o daño inmediato al abrirse un archivo. Con la interrupción 1Ch del TIMER
su autor programa una fecha, la misma que puede ser específica o aleatoria (ramdom)
para manifestarse.
ESTRATEGIA PARSE
Esta técnica consiste en instruir al virus para que infecte ocasionalmente, por ejemplo,
cada 10 veces que se ejecute un programa. Otras veces, infecta únicamente a los
archivos de menor extensión y al infectarlos en forma ocasional se minimiza la
posibilidad de descubrirlo fácilmente.
Por otro lado, el contador de ejecuciones de los archivos infectados con virus que
emplea esta modalidad, tiene por lo general más de una rutina de auto encriptamiento.
La técnica "parse" no es tan comunmente usada, pero sus efectos y estragos son muy
lamentables.
ESTILO ARMORED
También conocido como virus blindado, es una forma muy peculiar de programación,
donde el autor programa una serie de rutinas que usa como cubiertas o escudos (shells),
en el archivo que contiene el virus, para que éste no pueda ser fácilmente "rastreado" y
mucho menos desensamblado.
Pueden ser una o más rutinas de encriptamiento, sobrepuestas unas sobre otras. Se les
conoce también como "virus anti-debuggers". El Dark Avenger, producido en Bulgaria
en 1987 fué el primer virus que usó conjuntamente las tecnologías ARMORED y
STEALTH. En Junio del 2000 se reportó el gusano VBS/Stages.SHS, el primer virus
oculto propagado masivamente a través de mensajes de correo electrónico en Internet.
TECNICA STEALTH
Un virus "stealth" es aquel que cuando está activado esconde las modificaciones hechas
a los archivos o al sector de arranque que están infectados. Esta técnica hace uso de
todos los medios posibles para que la presencia del virus pase totalmente desapercibida,
anulan efectos tales como el tamaño de los archivos, los cambios de la fecha, hora o
atributo, hasta el decremento de la memoria RAM. Un ejemplo simple lo constituye el
primer virus (c) Brain que infectaba el sector de arranque, monitoreando los I/O
(entrada y salida) y redireccionando cualquier intento de leer este sector infectado.
Cuando un virus "Stealth" está activo en memoria cualquiera de estos cambios pasarán
desapercibidos al realizar un DIR, por ejemplo, ya que el virus habrá tomado control de
todo el sistema. Para lograr este efecto, sus creadores usan la interrupción 21h función
57h.
Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de virus y con
la protección contra escritura, al efectuar la misma orden DIR se detectarán los cambios
causados a los archivos infectados. Un virus de boot programado con esta técnica
reemplaza perfectamente al verdadero sector de arranque, que tiene apenas 512 bytes y
al cual mueve hacia otro lugar del disco pero que con una instrucción de salto vuelve
otra vez a utilizarlo.
Hoy día es posible crear virus con la técnica Stealth, en cualquier lenguaje de
programación, además del Assembler.
Son quizás los más difíciles de detectar y en consecuencia de eliminar. Sus valores en la
programación van cambiando secuencialmente cada vez que se autoencriptan, de tal
forma que sus cadenas no son las mismas. El virus polimórfico produce varias, pero
diferentes copias de sí mismo, manteniendo operativo su microcódigo viral.
Sin embargo existe uno de los más ingeniosos generadores automáticos de virus,
llamado "Mutation Engine" (distribuido gratuitamente en Internet), que emplea un
polimorfismo en la forma de módulo objeto. Con este generador cualquier virus puede
convertirse en polimórfico al agregarle ciertas llamadas a su código assembler y
"enlazándolas" al Mutation Engine, por medio de un generador de números aleatorios.
Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier área vital
del sistema, especialmente el MBR, ya sea individualmente, en forma combinada o en
su totalidad. Este estilo de programación también emplea el control de memoria
dinámica así como algoritmos de compresión y descompresión de datos.
Un virus que emplea la técnica del " túnel" intercepta los manipuladores de la
interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo
cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por
ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse,
habiéndose descubierto virus que usan originales artimañas para infectar a un sistema
sin ser descubiertos. Mencionaremos el caso particular del búlgaro DARK AVENGER-
D, el virus peruano ROGUE II y el chileno CPW Arica.
Todos ellos tienen rutinas que en forma muy rápida se superponen a los IRQ's ocupados
por las vacunas logrando desactivarlas para acceder directamente a los servicios del
DOS y del BIOS tomando absoluto control del sistema y sin restricción alguna.
Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de
Microsoft y otros antivirus son muy conocidas por los creadores de virus.
Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar a
algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus
suelen utilizar esta técnica en su necesidad de "by-pasear" un virus nuevo y desconocido
que podría estar activo cuando se está explorando un sistema.
La mayoría de virus "musicales" y los que afectan a los periféricos pertenecen a esta
categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya sea una tarjeta
de sonido, un módem o CD-ROM por ejemplo, el software instalador de cada uno de
éstos se encarga de programar automáticamente el PPI (Interfase Programable de
Periféricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ (interrupt
request), los cuales son asignados para ser usados específicamente por cada periférico,
para evitar que tengan conflictos con otros ya existentes.
Programar el PPI por medio del lenguaje assembler es relativamente fácil y si a esta
programación se le incluye la función correspondiente al TIMER y caracteres de sonido,
se estará creando un virus "musical". Del mismo modo, pero con otras instrucciones se
podrá afectar a las impresoras, tarjetas de sonido, de redes o módems, provocando
diferentes efectos o manifestaciones.
Las técnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se
pueden programar virus combinando cualquiera de las modalidades explicadas en este
módulo.
VIRUS ANEXADO
Para lograr este propósito de despertar la curiosidad innata en el ser humano, los autores
de esta modalidad de difusión emplean argumentos en el cuerpo del mensaje, tales
como: "Buenas nuevas", "Gane dinero", "Te adjunto una información muy interesante
que te va a convenir", etc., etc.
Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP,
ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o
archivos con extensión .SHS y si además contienen instrucciones de auto-enviarse a la
Libreta de Direcciones del software de correo del usuario, su propagación tendrá un
efecto multiplicador.
Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orígen
totalmente desconocido se evite aperturar el archivo adjunto y se proceda a eliminarlo,
asi como también el mensaje de orígen.
El virus Melissa, difundido en Marzo de 1999, así como el virus Papa son muestras de
esta modalidad de difusión y recientemente el ExploreZip, el LoveLetter y el
VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas en todo
el mundo.
VIRUS EN JAVA
Con todas estas características de un poderoso lenguaje, los creadores de virus pensaron
también en Java, como un medio para producir especies virales. Debido a ciertas
restricciones definidas en las propiedades de seguridad, tanto de los sistemas operativos,
así como de los navegadores, hasta la fecha existen solamente 2 virus de Java notables:
Java.Beanhive
Detalles Técnicos
El ejecutor del virus es un pequeño programa Java de apenas 40 líneas de código, que
cuando toma el control de un sistema, se conecta al servidor WEB remoto, envía
(download) el código del virus que es guardado en el archivo BeanHive.class y se
ejecuta como una sub-rutina. El código viral está dividido en 6 partes y es almacenado
en 6 diferentes archivos Java:
VIRUS EN VBS
Debido al auge de Internet los creadores de virus han encontrado una forma de
propagación masiva y espectacular de sus creaciones a través mensajes de correo
electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la
extensión .VBS
Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows,
Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.
Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos
de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como
medios de propagación. Asimismo, un VBS puede contener instrucciones que afecten a
los sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y
guardar el archivo con la extensión .VBS.
1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas")
Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC,
pero es necesario que primero se conecte a un servidor chat, el cual a su vez, está
conectado a otros servidores similares, los cuales conforman una red IRC. Los
programas "clientes IRC" facilitan al usuario las operaciones de conexión, haciendo uso
del comando /JOIN, para poder conectarse a uno o mas canales.
Las conversaciones pueden ser públicas (todo el canal visualiza lo que el usuario digita)
o privadas (comunicación entre 2 personas).
Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat,
elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado
"bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas
operaciones de manera intuitiva y proporcionando al usuario un entorno grafico
amigable.
Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el
comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las
personas conectadas al canal chat, además de otras instrucciones dentro de un Visual
Basic Script.
Este script que contiene el código viral sobrescribe al original, en el sistema remoto del
usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez, en ese
mismo canal.
Estas infecciones también se reproducen entre todos los usuarios de una red, una vez
que uno de sus usuarios ha sido infectado.
VIRUS EN .SHS
VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaña a los
usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS),
pero con la extensión .SHS
Los archivos con extensión .SHS (Shell Scraps), son ejecutables de WINDOWS
RUNDLL32, también conocidos como Scrap Object Files (Archivos Objeto Basura).
Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensión y
ejecutará el programa que contiene en forma oculta, al hacerle un doble click. Cuando
es distribuido a través del correo electrónico, transferido como mensaje dentro de la Red
u otro medio basado en la Web, la extensión .SHS se hace visible, pero una vez que es
grabado al disco duro, desaparecerá otra vez.
Decimos que es una mutación accidentada cuando son ocasionadas por programadores
que buscan la eliminación de estos virus, provocando en sus investigaciones variaciones
en el código original del virus, dando lugar a nuevas versiones del mismo virus.
Pero también hay mutaciones intencionales cuando los programadores solo buscan
causar daños perjudiciales a las computadoras, haciendo que estos virus se vuelvan cada
vez más peligrosos.
Para ello, el programa de detección de virus debe ser instalado en la memoria, a fin de
que permanentemente se controle cualquier medio de almacenamiento que sea utilizado
con el equipo de cómputo.
Este personal es responsable del control de los medios magnéticos u ópticos venidos del
exterior así como de la posible introducción de virus en el equipo de computo.
Dicha actividad será realizada por el responsable designado para este fin.
Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de
tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por
los virus, de acuerdo a la gravedad.
o DAÑOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18
de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus
implica, generalmente, segundos o minutos.
o DAÑOS MENORES.
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes
13, todos los programas que uno trate de usar después de que el virus haya infectado la
memoria residente. En el peor de los casos, tendremos que reinstalar los programas
perdidos. Esto nos llevará alrededor de 30 minutos.
o DAÑOS MODERADOS.
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicación de Archivos), o sobrescribe el disco rígido. En
este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos
reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una
hora.
o DAÑOS MAYORES.
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en
que detectemos la presencia del virus y queramos restaurar el último backup notaremos
que también él contiene sectores con la frase, y también los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados con
posterioridad a ese backup.
o DAÑOS SEVEROS.
Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y
progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay
pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la
frase Eddie lives ...).
o DAÑOS ILIMITADOS.
los macro virus, son las especies virales que rompieron los esquemas de programación y
ejecución de los virus tradicionales
Los macro virus son una nueva familia de virus que infectan documentos y hojas de
cálculo. Fueron reportados a partir de 1995, cambiando el concepto que los virus tan
sólo podían infectar o propagarse a través de archivos ejecutables.
Los daños que ocasionan estos virus depende de sus autores siendo capaz desde cambiar
la configuración del Windows, borrar archivos de nuestro disco duro, enviar por correo
cualquier archivo que no nos demos cuenta, mandar a imprimir documentos
inesperadamente, guardar los documentos como plantillas, entre otros.
Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.
Los macro virus, no pueden grabar los documentos infectados en ningún otro formato
que no sean las plantillas, el archivo es convertido a plantilla y tiende a no permitir
grabar el archivo o documento en ningún otro directorio, usando el comando SAVE AS.
Estos son algunos de los virus más conocidos que afectan a las macros :
"wazzu"
Cuando se abre un archivo infectado, el virus toma el control y cambia el título arriba de
la ventana a ´Microsofa Excel´ en lugar de ´Microsoft Excel´.
INFECCIÓN
Cuando un documento es abierto por primera vez, la aplicación (Word, Excel, etc.)
buscan la presencia del macro AutoOpen, si lo encuentra y la variable global
DisableAutoMacros no está seleccionada, entonces Word o Excel automáticamente
ejecutan el macro AutoOpen (sin notificar nada al usuario). Al igual sucede cuando se
cierra la aplicación, se ejecuta la macro AutoClose si está presente.
En Word, los macros son guardados en archivos denominados "plantillas", así que
durante una infección, los macro virus son capaces de convertir los documentos a
plantillas y copiarse en ellos.
Al momento de ser infectado, los datos son mezclados con código ejecutable, que
normalmente están escondidos a la vista del usuario. Entonces cuando se vea el
documento, este estará infectado, se podrá trabajar normalmente pero la plantilla con
virus seguirá infectando documentos y las macros que utilice.
Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se
graban automáticamente al final de cada sesión de trabajo.
EFECTOS
Una vez que se infecta un documento u hoja de cálculo, los macro virus son capaces de
adueñarse de las funciones de la aplicación, evitando por ejemplo, que el usuario guarde
En el caso de Word los macro virus se instalan en la plantilla Normal.dot, que es la que
el usuario utiliza para crear archivos nuevos. Cuando abramos un archivo o lo
guardemos, estaremos infectando los documentos. En Excel ocurre algo similar con el
archivo Personal.XLS. En el menú de la Barra de Herramientas desaparece la opción
Macros.
Los macros virus más conocidos actualmente son de documentos de Microsoft Word.
Se pulsa el botón
"personalizar".
Se escoge la opción
"Herramientas", después "Menú" y por último "Lista de Macros"
Se pulsa el botón
"Agregar".
Abrimos el menú
"Herramientas", hacemos click en la opción Macros, luego la opción Normal.dot, ahí
observaremos las macros del virus.
Crear un nuevo
directorio de archivos.
Abrir el documento
infectado.
Seleccionar el
documento y en el menú "Edición", darle la opción copiar.
Abrir el Word Pad o
el Write y en el menú "Edición" escoger la opción "Pegar".
Guardar el
documento en el directorio previamente creado.
Repetir todos los
pasos anteriores con los documentos infectados.
Eliminar todos los
documentos infectados.
Borrar la plantilla
"Normal.dot".
ANTIVIRUS
¿QUÉ ES UN ANTIVIRUS?.
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos
y cada uno de los virus existentes.
Es importante aclarar que todo antivirus es un programa y que, como todo programa,
sólo funcionará correctamente si es adecuado y está bien configurado. Además, un
antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los
casos, sino que nunca será una protección total ni definitiva.
El software antivirus contrarresta de varias maneras los efectos de los virus informáticos
para detectarlos. La mayoría de las soluciones se basan en tres componentes para la
detección : exploración de acceso, exploración requerida, y suma de comprobación.
Como el código vírico se une físicamente a otro archivo, se puede determinar tal
modificación guardando la información del archivo antes de la infección.
TIPOS DE ANTIVIRUS
Estos antivirus deben tener una base de datos con información de cada virus para saber
que método de desinfección deben usar para eliminar el virus.
Protectores o Inmunizadores: Es un
programa para prevenir la contaminación de virus, estos programas no son muy usados
porque utilizan mucha memoria y disminuyen la velocidad de la ejecución de algunos
programas y hasta del computador.
Residentes: Permanecen en memoria para
el reconocimiento de un virus desde que es ejecutado. Cada vez que cargamos un
programa, el antivirus lo analiza para verificar si el archivo esta infectado o no, con
algún virus informático.
ANTIVIRUS INTERNACIONALES
La primera generación de antivirus eran vacunas TSR o eliminadores para cada especie
de virus. Entre ellos estaban el BBSTOP para el Bouncing Ball, BRSTOP para el Brain,
MBSTOP para el Marihuana, los cuales debían instalarse en el Autoexec.bat para poder
proteger el sistema contra estos virus. Cuando la programación de virus aumentó se
volvió imposible ubicar las diferentes vacunas residentes en la memoria y ello motivó la
generación de los softwares antivirus.
F-PROT ANTIVIRUS
ANTIVIRUS ANYWARE
Protección permanente, reconoce y elimina más de 11,400 virus, incluyendo los macro
virus. Detecta virus no conocidos mediante el método heurístico, analiza los archivos
comprimidos.
VIRUSSCAN DE MCAFEE
Fácil de instalar no ocupa mucha memoria, tiene una grande base de datos, incluyendo
los virus macros, permanece en memoria, se actualiza constantemente por Internet.
Cheyenne Antivirus
Forefront Antivirus
IBM Antivirus
Pc-Cillin II
Panda Software
ANTIVIRUS NACIONALES
THE HACKER
La empresa tiene un prestigio ganado por su producto THE HACKER, el cual protege,
detecta y elimina a virus informáticos, esta empresa también brinda el servicio de
asesoramiento y recuperación de la información.
PER ANTIVIRUS
En 1,993 se crea PER SYSTEM S.A., que tiene como principal servicio el desarrollo de
software aplicativo para PC´s, haciendo uso en primera instancia del Lenguaje BASIC,
luego del Quick BASIC y posteriormente del Turbo Pascal.
En 1,985, inicia sus investigaciones sobre los virus informáticos debido a la aparición
en Lima y rápida propagación de los virus (c) Brain y Bouncing Ball (Bolita Saltarina),
concibiendo así el antivirus PER cumpliendo con las expectativas de los usuarios de esa
época, desarrollando permanentemente estudios de investigación como aporte
empresarial para la detección, eliminación y prevención de virus a las diferentes
Instituciones y Entidades Públicas como a usuarios.
CONCLUSIONES GENERALES
Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:
Si se cuenta con un antivirus comercial o registrado, deberán tenerse siempre a mano los
teléfonos de soporte técnico.
por si uno de los discos de respaldo se daña. Los respaldos también pueden hacerse en
cinta (tape backup), aunque para el usuario normal es preferible hacerlo en discos, por el
costo que las unidades de cinta representan.
REVISAR TODOS LOS DISCOS NUEVOS ANTES
DE UTILIZARLOS: Cualquier disco que no haya sido previamente utilizado debe ser
revisado, inclusive los programas originales (pocas veces sucede que se distribuyan
discos de programas originales infectados, pero es factible) y los que se distribuyen
junto con revistas de computación.
REVISAR TODOS LOS DISCOS QUE SE HAYAN
PRESTADO: Cualquier disco que se haya prestado a algún amigo o compañero de
trabajo, aún aquellos que sólo contengan archivos de datos, deben ser revisados antes de
usarse nuevamente.
REVISAR TODOS LOS PROGRAMAS QUE SE
OBTENGAN POR MÓDEM O REDES: Una de las grandes vías de contagio la
constituyen Internet y los BBS, sistemas en los cuales es común la transferencia de
archivos, pero no siempre se sabe desde dónde se está recibiendo información.
REVISAR PERIÓDICAMENTE LA
COMPUTADORA: Se puede considerar que una buena frecuencia de análisis es, por
lo menos, mensual.
¡¡HACKERS!!