1

ndex
Tema Pgina
1. PRESENTACI........................................................................ 3 2. INTRODUCCI HISTRICA DELS ORDINADORS................................ 5 a. Prehistria..................................................................... 5 b. S. !I"S. I ................................................................. 5 #. 1$%%"1$&&.................................................................... ' (. 1$&5"1$&$.................................................................... ) e. 1$5%"1$5). La Pri*era +e,era#i-.......................................... ) .. 1$5/"1$'2. La Se01,a +e,era#i-........................................... ) 0. 1$'3"1$)3. La Ter#era +e,era#i-.......................................... / h. 1$)&"A#t2a3itat. La 42arta 0e,era#i-...................................... / 3. EL PC5 UN HOSTE PER6ECTE....................................................... 1% a. I,tr1(2##i- a3 Har(7are...................................................... 1% I. CPU..................................................................... 1% II. 8e*ries............................................................... 11 III. E,tra(a i s1rti(a (e (a(es........................................... 12 b. I,tr1(2##i- a3 S1.t7are...................................................... 12 I. Pr10ra*ari (e base9 e3 siste*a 1:erati2............................ 13 II. Arra,# (;2, 1r(i,a(1r................................................. 1' &. INTRODUCCI HISTRICA ALS !IRUS.......................................... 1/ 5. ELS !IRUS9L;A8ENA<A CONT=NUA............................................... 2' a. De.i,i#i1,s i si*i3it2(......................................................... 2' b. 8a37are i >aria,ts............................................................ 2) #. 6ases (e >i(a.................................................................. 3% (. T?#,i@2es :ri,#i:a3s (;1#23ta*e,t............................................ 31 e. T?#,i@2es (i>erses............................................................ 33 .. Ti:1310ia. I,tr1(2##i-......................................................... 35 I. !ir2s (e se#t1r (;arra,#.............................................. 35 II. !ir2s (e .itAer........................................................ 3/ 1. Resi(e,t........................................................ 3/ 2. D;a##i- (ire#ta................................................. &2 III. !ir2s (e s1brees#ri:t2ra.............................................. && I!. !ir2s #1*:ress1rs..................................................... &5 !. !ir2s (e *a#r1 1 *a#r1>ir2s......................................... &' 1. 8S"B1r(....................................................... &/ 2. RT6............................................................. &$ 3. EA#e3............................................................ &$ &. A##ess.......................................................... 5% 5. P17erP1i,t...................................................... 51 '. A*i Pr1......................................................... 51 ). C1re3Dra7...................................................... 52

'.

).

/. $.

/. 823ti:r10ra*a.................................................. 53 !I. !ir2s (e #1*:a,Cia.................................................... 53 1. Per 8S"DOS................................................... 53 2. Per Bi,(17s $5D$/............................................55 !II. !ir2s (e .itAers EAT..................................................5' !III. !ir2s Bi,S#ri:t........................................................ 5/ I . !ir2s (;e,33aF 1 (ire#t1ri.............................................. '% . !ir2s *23ti:artite...................................................... '2 I. !ir2s *23ti:3ata.1r*a................................................. '& 0. U, eAe*:3e :rG#ti#9 e3 !ir2sA3:ha2)$...................................... '5 I. 61r*23ari 1............................................................. '/ II. 61r*23ari 2............................................................. )/ III. 61r*23ari 3............................................................. /2 I!. 61r*23ari &............................................................. /3 !. 61r*23ari 5............................................................. /5 !I. 8(23................................................................... /5 !II. La res:1sta............................................................ // ANTI!IRUS9INSTRUCCIONS PER LA DE6ENSA................................. $3 a. Esta(Hsti@2es9 #1* a#t2e, e, e3 *-,I....................................... $3 I. !ies (;i,.e##i-......................................................... $3 II. N1*bre (;i,.e##i1,s re0istra(es..................................... $& III. Ti:2s (e >ir2s se01,s e3 ,1*bre (;i,.e##i1,s........................ $5 I!. E.e#tes #a2sats :e3s >ir2s............................................ $5 !. CreiAe*e,t e, ,1*bre................................................ $' b. Re#er@2es (e >ir2s. Ti:1310ia................................................ $' I. Re#er#a (e #a(e,es. 8?t1(e estG,(ar(............................. $) II. Re#er#a (e(2#ti>a 1 0e,?ri#a.........................................$) III. Re#er#a he2rHsti#a..................................................... $/ I!. Re#er#a resi(e,t 1 :assi>a........................................... $/ !. !a#2,es.................................................................$$ !I. A3tres re#er@2es es:e#H.i@2es....................................... 1%% !II. AJ33a*e,ts............................................................. 1%1 #. EAe*:3es (;a,ti>ir2s......................................................... 1%2 (. A#t2a3itat. Ser>eis i a>e,F1s #1,tra e3s >ir2s............................. 1%3 AUTORS9 ELS CREADORS DE !IRUS.............................................1%& a. De.i,i#i1,s e, e3 *-, (e 3a i,.1r*Gti#a.................................... 1%& b. E3s #rea(1rs (e >ir2s........................................................ 1%' CONCLUSIONS..................................................................... 1%/ EIELIO+RA6IA..................................................................... 11%

Presentaci

l concepte dInformtica utilitzat tcnicament es correspon curiosament amb la idea daven. s ben cert que, amb el temps, els ordinadors enormement m!ltiples tasques en tots els camps, per" tamb# an facilitat

em de tenir en

compte que, abans que uns instruments $mgics%, s&n calculadores molt desenvolupades i, com a tals, posseei'en funcionaments l"gics propis, com veurem gens intel(ligents. )l fet que la seva utilitat es basi en el conei'ement daquests funcionaments a obligat a una part de la poblaci& a especialitzar*se en aquest mbit, modelant ai'+ programadors i tcnics que, a part de procurar el desenvolupament de les aplicacions, vetllen per la seguretat i les deficincies que aquests aparells puguin presentar.

,alalties informtiques e'posa el comportament i funcionament dels virus, programes

malignes que representen actualment lamenaa n!mero - a la seguretat de totes les empreses informatitzades i a la dels nostres propis P.s. /elaboraci& del treball a estat enfocada a estendre els conei'ements corresponents al proc#s vital v+ric 0infecci&, latncia, reproducci& i actuaci&, a grans trets1, tan a nivell tcnic com bsic, per tal de facilitar enormement la seva detecci& per part dels usuaris, mantenir una protecci& permanent de lordinador contra tals agressors 0aspecte realment possible1, i ampliar els conceptes daquest camp tant desconegut i del qual s an creat 2a tants mites. 3ctualment, amb laparici& dInternet, la gran 'ar'a de comunicacions, els virus an

aconseguit desenvolupar*se i estendres molt m#s rpidament grcies al correu electr"nic, i en molts aspectes la seva millora de qualitat destructiva i varietat, en metodologia i tcniques per ocultar*se, a obligat la difusi& duna alarma a escala mundial, a inicis del segle 44I,

poca de tecnologia i informatitzaci&. 5avant del greu problema, e volgut presentar aquest tema per e'tingir en la mesura possible les pors originades davant la desconei'ena, a part daltres causes que m i an

emps, com ara el obb6 de la programaci& o lafan6 per descobrir nous aspectes daquest m&n tant fascinant i nou7 el m&n dels ordinadors.

Per tal de dur a terme el treball, e recorregut a informacions de diferent tipus. 5urant els primers mesos dinvestigaci& vaig demanar informaci& als antivirus Panda 0en castell1 i ,c3fee 0en angls1 per tal que me'pliquessin els processos tcnics que seguia un virus a partir del moment de ser detectat. Tot i ai'", la resposta va trigar prop duna setmana i tan sols donava ladrea dun altre departament on, segons ells, em podrien atendre millor. 8aig estar intentant durant prop de dos mesos sol(licitar informaci&, i en tots els departaments em responien que no tractaven la informaci& en q9esti&. )n el cas de Panda, vaig demanar, a m#s, poder visitar personalment les instal(lacions de :arcelona per tal delaborar un petit article sobre la seva empresa. Tot i ai'", no em va ser possible perqu em comunicaren de seguida que lindret sol(licitat no era una central on tractaven directament els virus, sin& tan sols unes oficines de servei datenci& al client. ;imultniament em van interessar informacions sobre el c<ering = per la possible

relaci& amb 8irus*,a<ers *. 3quest cop un compan6 em facilit adreces dInternet. 5espr#s dalguns mesos, vaig tornar a fer lintent per tal de rebre informaci& sobre el tema, encara que fos grfica o redactada per algun tcnic. Per fer* o, vaig copiar e*mails enviant*los a ,adrid, :ilbao i a serveis tcnics de ,c3fee arreu del m&n 0en angls1. /a resposta, aquest cop, inclo>a tant sols referncies a pgines ?eb on es detallaven informacions sobre productes i contactes amb altres centrals de la pen+nsula. @uan 2a sacostaven les !ltimes setmanes, em va arribar a les mans un missatge poc freq9ent per correu electr"nic7 un av+s de virus. ;ospitant que per la seva naturalesa devia ser un Aoa' 0engan61, vaig enviar una c"pia als serveis tcnics dels B antivirus, i aquest cop rpidament vaig rebre una resposta molt detallada sobre el missatge, tot i que nom#s per part de Panda, corroborant la meva ip"tesi. s el que i a ad2unt a la secci& dAoa'. Cinalment, i despr#s de set mesos de treball, vaig aconseguir acabar el virus que serviria de prctica de tots els mtodes e'posats al treball. Per tal dobtenir dades fiables sobre ell, vaig distribuir el virus als serveis especialitzats de Panda i ,c3fee, simulant ser una persona infectada pel virus. /es informacions rebudes s an tingut molt en compte. 3i'+ doncs, tot i que la recerca no permetia un treball de camp a le'terior, la investigaci& a fons per mit2 dInternet a acabat de polir molt els aspectes tcnics daquest estudi. )ls ordinadors an estat, un cop m#s, els mit2ans per assolir el conei'ement.

Introducci histrica dels ordinadors

3bans de centrar*nos a e'plicar les infeccions i els tipus de virus que e'istei'en, magradaria introduir el tema amb el seu costat m#s general * els ordinadors *, anomenant, en una breu s+ntesi, levoluci& ist"rica i el que an arribat a representar fins avui. Histria /invent dels ordinadors no a sorgit del treball dun sol ome, sin& de la comple'itat de processos i descobertes cient+fiques al llarg dels an6s. /a base daquestes mquines, el clcul, #s el proc#s que m#s enormement a evolucionat, sobretot en velocitat i precisi&. 3i'+, amb una mica dimaginaci& i pragmtica, an anat sorgint els diferents models dordinador actuals, segons les necessitats. Prehistria - S. XVI ;i ens remuntem a la pre ist"ria, 2a en les primeres civilitzacions es comptaven els ob2ectes, tot i que en aquell temps es feia amb els dits de la mD #s per ai'" que el nostre sistema de numeraci& #s decimal. Per" a partir del moment en qu els dits eren una unitat massa petita, comen a sorgir lbac, un instrument de fusta en qu es disposaven un seguit de -E pedres a cada renglera per a comptar nombres m#s elevats. /a primera civilitzaci& que utilitz un sistema de numeraci& decimal 0-E d+gits1, posicional 0la posici& del d+git depn del seu valor1 i complet 0incloent el E1 fou la ind! 0s. II apro'.1. /a idea de posici& era important i relativament nova, perqu les grans civilitzacions FmatemtiquesG els col(locaven per 2u'taposici& 0un al costat de laltre1.

S. XVI S. XIX Lbac sorg com a instrument per a operacions ms complexes, i es pot considerar lavantpassat ms remot del PC.

)ntre el segle 48I i 48II laugment de comer provoc la necessitat duna nova comptabilitat. ;orgiren, ai'+, diferents invents7

Hepper dissen6a el primer regle de clcul basat en la seva teoria de logaritmes. :laise Pascal idea una mquina capa de fer clculs simples automticament. . arles T omas 0-IBE1 inventa una mquina semblant, per" de menor cost. . arles :abbage establei' els principis de la mquina anal+tica 0molt m#s avanada1. 3questa mquina anal+tica i la de Aollerit foren els precursors dels ordinadors.

/a de :abbage era una mquina totalment automtica i d!s general 0#s a dir, aplicable a qualsevol altre instrument o proc#s1. )l seu procediment *a diferncia de la de Pascal, per e'emple* era m#s automatitzat i, per tant, redu>a els errors. )ll matei' inici el concepte de programa a partir dunes targetes perforades utilitzades per automatitzar el funcionament de les fbriques t'tils. s per ai'" que se li atribuei' la paternitat de la informtica7 tot i no aver pogut acabar mai la construcci& de la mquina anal+tica, els seus procediments

te"rics s&n els utilitzats en els ordinadors actuals. 3 m#s, una a2udant de :abbage, /ad6 3ugusta 3da, va plante2ar les estructures de bifurcacions i bucles repetitius en les instruccions, de manera que la mquina pogu#s prendre petites $decisions%. s considerada, doncs, la primera programadora de la ist"ria. 3 diferncia dai'", la mquina tabuladora de Aollerit responia molt m#s al tractament de la informaci& i al seu registrament en targetes perforades. 3i'+, per e'emple, el cens del -IJE als ).).K.K. es realitz unes cent vegades m#s rpidD daqu+ es fund una empresa dedicada a l'it daquesta rendibilitat, que an6s despr#s es conei'eria com a I:,.

1900 1944 :abbage no avia pogut construir la seva mquina anal+tica per falta daven tecnol"gic en lpoca, per" el -JLM, el professor 3i<en i I:, van aconseguir dissen6ar i construir, basant*se en :abbage, el 8arK I, considerat el primer ordinador de la ist"ria. .omptant la seva

envergadura 0-N ' BN metres1, pes 0N tones1 i cost de peces 0MEE peces i IEE Om de cables1, a m#s de la lentitud de processament 0podia trigar fins a -E s per a una operaci& senzilla1, podem descobrir en el ,ar< I un pro2ecte de computadora encara a perfeccionar.

1945 1949 /a Kniversitat de Pensilvnia aconseguei' dissen6ar l)HI3., considerat el primer ordinador electr"nic. Prcies a lelectr"nica, l)HI3. era LEE vegades m#s rpid que el ,ar< I i -E vegades m#s petit. )l seu principal !s fou de caire militar, estudiant tra2ect"ries de bombes i granades, tot i que la seva popularitat pu2 enormement quan va fer el clcul de pi amb B.EEE 'ifres decimals. 1950 1957. La Primera Generaci )ls elements caracter+stics dels ordinadors daquesta poca s&n les vlvules de buit. Qo annes von Heumann =matemtic i f+sic* postul diferents idees transcendentals per al desenvolupament dels ordinadors. )ntre elles tenim7 Presncia duna mem"ria de capacitat necessria per a poder emmagatzemar programari i resultats que aquests puguin donar. 3quest punt era important perqu en l )HI3. 0per e'emple1, per canviar de programa calia molt de temps connectant i desconnectant clavilles. Presncia de mem"ries e'ternes o au'iliars que permetessin guardar la informaci& que lordinador no necessit#s processar. 3questes mem"ries, a m#s tenien molts avantatges, com era el preu, la quantitat de mem"ria emmagatzemable, la seva facilitat de sobreescriure o borrar dades... 3quests dispositius anaren prenent forma i substituint les targetes perforades. Ktilitzaci& general del sistema binari, 2a que el decimal utilitzat fins ales ores era de dif+cil precisi&, i un sistema amb E i - seria de fcil !s. Tot i les seves brillants teories, altres e'perts es van avanar i tres an6s abans que von Heumann present#s el seu ordinador )583. 0-JNB1 es presentaren daltres 2a utilitzant els seus principis7 l )5;3. i el :IH3..

1958 196 . La Se!"na Generaci )l -JNI, amb laparici& dels transistors, els ordinadors dei'aren de banda les vlvules de buit. /es millores principals dels daquesta generaci& respecte lanterior s&n7 Rperar en milionsimes de segon 0Ss1

8olum inferior 5ispositius d entrada i sortida que milloren la interactivitat mquina 0com ara les primeres impressores1. ome *

El transistor

Ts general de discos i altres dispositius demmagatzematge de mem"ria redu>da. 3parici& de nous llenguatges de programaci&7 .R:R/, 3/PR/, /I;P...

196# 197#. La $ercera Generaci /a poca comen de nou amb laparici& dun nou element que canvi la constituci& dels ordinadors i que substituiria el transistor7 els circuits integrats. )ntre altres raons, aquestes neren les millores7 5isminu>a la grandria dels ordinadors 02a que cada component del circuit ocupava E,EEB mmB. Aem de tenir en compte que cada circuit tenia apro'imadament N.EEE elements1. )ren m#s barats, perqu el silici * necessari per construir*los * #s molt abundant a la Terra. .om que es redu>a la distncia entre els components, la transmissi& i, per tant, la velocitat de clcul, eren ma2ors 0milmil.lionsimes de segon1. ,#s rapidesa delements perifrics )s dissen6aren els primers sistemes de teleproc#s, per mit2 dels quals un ordinador podia consultar una base de dades dun altre ordinador connectat a ell a partir dun fil telef"nic. )voluciona el m&n dels llenguatges de programaci&7 noves versions dels 2a coneguts CRUTU3,, .R:R/, 3/PR/... )s crea el :asic 0-JVW1, barat i fcil daprendre, i el Pascal 0-JM-1, per a programaci& estructurada. Disseny assistit per ordinador dels circuits integrats.

1974 %ct&a'itat. La (&arta Generaci

)ls ordinadors de la @uarta Peneraci& tenen una gran diferncia respecte la resta7 el

microprocessador, un dispositiu electr"nic que tcnicament, #s fonamental en el funcionament

de la mquina, perqu cont# la unitat de control de lordinador, la seva unitat aritmeticol"gica i trames de circuits de dades * que sanomenen busos * dins una capsa min!scula, el 'ip. Uespecte els ordinadors de la tercera generaci&, els ordinadors m#s o men6s actuals presenten algunes millores7 )'trema velocitat 8olum. 3parei' el P. i sestandarditza, i tamb# els ordinadors porttils. )voluci& dels perifrics7 impressores, monitor de v+deo, teclat, llapis "ptic, pantalla tctil, escnners, reconei'ement de la veu umana.... 5ispositius demmagatzematge m#s eficaos 0.5*UR,, 585...1 Hous llenguatges de programaci&7 ., ./IPP)U, PUR/RP 0utilitzat per intel(ligncia artificial1... ;implanta rob"tica en la ind!stria Programaci& visual7 8isual . i 8isual :asic 3parei'en 'ar'es dordinadors i dinformaci&, on destaca Internet amb el llenguatge de programaci& Q383. )s desenvolupa el fenomen dels >ir2s i,.1r*Gti#s, uns programes nocius que es propaguen autorreplicant*se a trav#s de 'ar'es o discs de mem"ria. .al subratllar que, a diferncia d abans, actualment s a donat molt de valor a la idea de

compatibilitat, 2a que per mit2 della la informaci& es pot intercanviar sense problemes entre
diferents ordinadors, nai'ent daqu+ el mercat del programari, un m&n polifactic daplicacions on la imaginaci& umana #s la que determina la utilitat daquestes mquines tan peculiars7 els ordinadors.

La utilit aci! dels xips "a redu#t enormement el volum dels ordinadors actuals, $acilitant%ne l&s i l e$ectivitat.

10

El PC: Un hoste perfecte

3 continuaci& e'plicar#, per tal de fer m#s comprensibles els mecanismes i tcniques que utilitzen els virus en una infecci& completa, un seguit de principis bsics per al funcionament del maquinari i programari, ai'+ com la seva interrelaci&. .al tenir en compte, doncs, que la informaci& e'posada ser !nicament la imprescindible per tal de poder solidificar les bases tcniques, 2a que el treball no t# per ob2ectiu estudiar el funcionament dels ordinadors. I,tr1(2##i- a3 har(7are .om que el har(7are 0o maquinari1 est molt relacionat amb el s1.t7are 0o programari1 i viceversa, per e'posar el tema v+ric sobre el primer. /es principals parts de lordinador es poden dividir en B7 la .PK 0.entral Processor em de fonamentar primer unes bases =resumides*

Knit o Knitat .entral de Processament1, i els perifrics, que inclouen el con2unt de mem"ries
que participen en el funcionament del P. i els dispositius dentrada i sortida de dades 0IHPKT*RKTPKT1.

CPU
/a .PK es concentra en un microprocessador encarregat de la gesti& dinformaci& de

lordinador. 3questa unitat, regida per un rellotge patr& 0que es troba molt a prop del processador, i pot tenir intervals de fins a milionsimes de segon1, distribuei' de forma c+clica la disponibilitat de tots els components del sistema. /es caracter+stiques principals del processador s&n, doncs7 la freq9ncia del seu rellotge, de qu depn en gran part la seva velocitat la potncia per e'ecutar instruccionsD la mesura que sutilitza per a comptar* o s&n els mips 0milions dinstruccions per segon1. la quantitat de dades capa de tractar al oraD aquestes dades es dividei'en en blocs de'tensi& compresa entre W i VW bits 0- bit X un E o un -1 que, agrupats en parts de I bits reben el nom de b6tes.

11

8e*ries
/es mem"ries en lordinador tenen una funci& molt important, tant en

lemmagatzematge de la informaci& com en el seu tractament immediat. )'istei'en diferents tipus de mem"ries depenent de les funcions i de la seva estructura f+sica. /a mem"ria central #s la que emmagatzema els programes inicials de la posada en mar'a de laparell i les dades que es van generant durant el treball. )n aquesta mem"ria i t# acc#s la .PK, i consta de dos tipus diferents7 la U3, i la UR,. /a U3, 0Uandom 3ccess ,emor6 o ,em"ria d3cc#s 3leatori1 #s una mem"ria voltil 0#s a dir, que quan lordinador es tanca, es perd1 en qu lusuari pot accedir mit2anant ordres de lectura i escriptura. s la mem"ria de treball, #s a dir, que qualsevol programa, ar'iu o con2unt de dades que es vulgui e'ecutar semmagatzema en ella momentniament durant el seu tractament. )s compon de cel(les de mem"ria que poden adoptar posicions onYoff de tal manera que la informaci& es codifica en binari 0E i -1, principalment amb el codi m#s utilitzat, l 3;.II 0en qu I bits X - carcter1. /a UR, 0Uead Rnl6 ,emor6 o ,em"ria Hom#s de /ectura1 no #s voltil i no permet escriptura. )n ella semmagatzemen els programes que lusuari no pot modificar, tals com els que dirigei'en lordinador quan sengega.

5altra banda, les mem"ries de massa s&n les m#s conegudes generalment, 2a que s&n les que tenen funcions dar'iu. Hormalment es componen de suports magntics, com els disquets 0flopp6 dis<1, que es poden e'treure i transportar, i els discs durs 0 ard dis<1, fi' i interior, i de gran capacitat demmagatzematge. 3quests discs estan formats per pistes circulars i sectors. /a intersecci& de les dues unitats #s un blocD ai'+, nom#s cal una adrea de dos valors per tal descriure o llegir un bloc de dades. Kna part de la mem"ria central, a m#s, es reserva per la gesti& de fit'ers, de tal manera que Exemple de disc magn'tic amb les seves divisions per a lemmagat ematge de la in$ormaci!.

12

es pot controlar lordre de cada adrea a l ora de trobar o modificar la informaci& enregistrada.

E,tra(a i s1rti(a (e (a(es.

)n un ordinador, la informaci& es transmet a lusuari i viceversa per mit2 de canals de

conne'i& o ports, on queden connectats els dispositius que permeten aquest intercanvi. 3 m#s, e'istei'en unes mem"ries de trnsit o intermdies, els buffers, * que s&n comparables a finestres ocultes on es disposa la informaci& abans de transferir*la a la pantalla *, impressora o qualsevol altre dispositiu de comunicaci&. 3quests buffers e'istei'en perqu, tot i que les dades tractades al microprocessador s&n transmeses a alta velocitat, normalment els dispositius InputYRutput s&n bastant m#s lents, per la qual cosa necessiten una zona despera entremig. )n aquest apartat, per", pel fet que la ma2oria =o tots* els dispositius s&n ben coneguts i perqu el seu funcionament intern no ens ser !til durant le'posici& del tema dels virus, nom#s els classificarem i anomenarem de la manera seg9ent7

Dentrada
Teclat (keyboard) Ratol (mouse) Llapis ptic Pantalla tctil Escnner Micrfon Maneta de ocs (joystick) Mdem Esfera m!il Altres

De sortida
Impressora Traador o plter Altaveus Pantalla Altres

I,tr1(2##i- a3 s1.t7are Per tal de controlar tots els dispositius del ard?are i dirigir les ordres correctes a la

.PK, el con2unt de programes o soft?are realitzen la funci& comuna de controlar tot el

sistema per tal de posar*lo cont+nuament a disposici& de transferir dades. 5ins del programari es poden trobar dos tipus7 )l :r10ra*ari (e base, dirigit a controlar els sistemes que permeten el funcionament de lordinador.

13

)l :r10ra*ari (;a:3i#a#i-, dividit en general o espec+fic segons el tipus de funcions que a de'ecutar.

Pr10ra*ari (e base9 e3 siste*a 1:erati2.

)l :r10ra*ari (e base #s el que gestiona en la seva totalitat les funcions i propietats

del sistema i, en tots els seus sentits, unei' el ard?are amb el con2unt de programes que en poden fer !s. )l programari de base es dividei' en tres seccions principals7 el microprogramari, els sistemes operatius i els llenguatges de programaci&.

)l microprogramari #s el tipus m#s a prop del maquinari. .onsistei' en un con2unt de programes dipositats en la UR,. @uan lordinador sengega no troba a la U3, programes per e'ecutar, i va directament a una cel(la de la UR,, que cont# una instrucci& que enregistra a la U3, els programes necessaris del disc dur o del disquet. Peneralment, en primer lloc posa en e'ecuci& un programa dautocomprovaci& del sistema, en qu es verifiquen els circuits. ;i tot #s correcte, el control passa a un altre programa de la UR, que cedei' a la .PK les informacions del nucli del sistema operatiu instal(lat, programa que e'plicarem a continuaci&. /a UR, tamb# cont# la EIOS 0:asic InputYRutput ;6stem1, que #s un con2unt de programes que simplifiquen la comunicaci& del processador en les operacions

dentradaYsortida de dades, controlant tots els dispositius IYR.

)l sistema operatiu #s un macroprograma que gestiona totes les funcionalitats de lordinador7 un cop engegat laparell, administra els programes de lusuari, la mem"ria de massa, les operacions dentrada i sortida de dades per mit2 del control dels perifrics, comprova els programes, els activa o desactiva, sen6alitza errors i #s capa de resoldrels, i t# una innumerable llista de funcions m#s que estan dirigides a la gesti& total del sistema. @uan sengega la mquina, si el sistema operatiu es troba disponible en la mem"ria

14

UR,, sactiva, per" si no, 0si es troba en el disc dur, p. e'.1, la rom posa en funcionament un programa que es va repetint i que inicia el sistema operatiu per parts segons lusuari, per tal de no carregar massa la mem"ria de treball disponible. )ntre els sistemes operatius m#s utilitzats podem citar l ,;*5R; i el ZIH5RZ; 0de ,icrosoft1, el ;6stem Cinder 0d 3pple1, el R;YB 0dI:,1, lKni' 0de :ell1, el /inu' 0gratu>t1. 3nalitzarem W parts molt comunes de cada sistema operatiu7 )l :r1#essa(1r (;1r(res, que #s la part que aparei' despr#s de carregar*se. Hormalment es mostra una sen6al 0com per e'emple $.7[\% o b# una barra de men!1 en espera de la resposta de lusuari, i sencarrega dencaminar*lo per mit2 duna instrucci& cap als programes dutilitat, la c"pia de disquets o la formataci& dunitats, entre altres procediments disponibles, segons el sistema operatiu. )l s2:er>is1r (;e,tra(a i s1rti(a, que facilita l!s de la :IR; per als programes daplicaci&. )n aquesta part sinclou el paquet de drivers , que s&n con2unts dinstruccions en forma dar'iu que sencarreguen de gestionar dispositius 0en general perifrics i unitats1 i missatges derror. )l 0est1r (e .itAers, que sencarrega demmagatzemar o recuperar fit'ers del disc. )s definei' fit'er com un con2unt dinformacions seleccionades identificades amb un nom. /es funcions principals dun gestor de fit'ers s&n7 reservar un espai al disc per a cada nou fit'erD enregistrar la informaci& del fit'erD recuperar la informaci& del fit'er. /a recerca dun fit'er es minimitza per mit2 de directoris o carpetes que classifiquen els ar'ius. /es adreces que guien el sistema davant una interrupci& a la recerca dun fit'er es troben en la C3T 0Cile 3llocation Table o Taula de localitzaci& dar'ius1 un sector de la mem"ria que, com veurem, #s sovint atacat pels virus. )ls :r10ra*es (;2ti3itat, que s&n els que sencarreguen de complementar altres programes o el matei' sistema operatiu. ,oltes vegades van inclosos en ell, i e'istei' molta varietat segons les seves funcions. .om que la U3, #s limitada, els sistemes operatius es dividei'en en un sector o rea resident, on es troben els programes m#s utilitzats disponibles en mem"ria, i un altre on sintroduei'en els que nom#s es carreguen en mem"ria ocasionalment, que es descarreguen en tancar*se. o demani

15

La ma(oria de sistemes operatius inclouen molts programes addicionals )ue permeten realit ar ms varietat de tas)ues a lusuari. *)u trobem el +rontPage, un programa &til per a la creaci! de pgines ,eb.

Kn llenguatge de programaci& o dalt nivell necessita, per a funcionar correctament, un programa que traduei'i les seves instruccions a llenguatge mquina = que #s linterpretable pel nostre ordinador *. Per tant, abans de parlar de llenguatges de programaci&, magradaria aclarir alguns conceptes referents al tema7 el que s&n els llenguatges dalt nivell, els compiladors i els intrprets. Kn 33e,02at0e (;a3t ,i>e33 #s aquell con2unt dinstruccions equivalents al llenguatge interpretable per lordinador 0llenguatge mquina1, per" m#s fcils de tractar. )ntre ells trobem el Cortran, el :asic, el .obol o el Pascal. Kn #1*:i3a(1r #s un programa que analitza el programa escrit pel programador en llenguatge dalt nivell, assen6alant*ne els possibles errors. ;i tot #s correcte, guarda a la mem"ria en llenguatge mquina les instruccions 0o codi ob2ecte1, de manera que estan sempre disponibles per a ser e'ecutades sense necessitat de ser tradu>des. Kn i,t?r:ret #s un programa que, a diferncia del compilador, revisa les instruccions del codi programades a mesura que s&n escrites, i la gravaci& del programa no consta de traducci& a llenguatge mquina, sin& que nom#s soptimitza. ;er quan se'ecuti que lintrpret codifica les instruccions i les activa, i per aquesta ra& els programes tradu>ts per aquest mtode funcionen m#s lentament. Kn cap aclarides aquestes diferncies, centrem*nos en els llenguatges de programaci&. .ada llenguatge de programaci& t# el propi !s espec+fic 0per matemtiques, per aplicacions de fcil programaci&...1. 3nem a veure alguns e'emples.

16

)l Easi#, 0tradu>t7 codi dinstrucci& simb"lica multi!s per a principiants1 #s, com la matei'a paraula ens diu, el llenguatge m#s ests i ladequat per programadors iniciats en el tema. He'istei'en moltes variants i #s relativament fcil daprendre, 2a que #s semblant a langls. Kna de les variants que utilitza compiladors #s en el programa 8isual :asic, utilitzat per molts programadors, i #s el llenguatge que trobarem en el codi de'emple del virus presentat en aquest recull. ,#s endavant lanalitzarem.

)l Pas#a3, #s molt usual acadmicament en el desenvolupament de programari. )ls seus programes s&n fcils de llegir, i escrits en una programaci& estructurada que obliga la declaraci& de variables a linici 0per tal devitar errors1. /inconvenient principal #s la quantitat doperacions a fer per crear un programa, per" #s el m#s ests en el camp de les empreses de programari perqu permet abastar molts sectors.

)l 61rtra, 0de formula translator1 #s lespecialitzat en les cincies i lengin6eria. )s composa de rutines i subrutines independents, dirigides per una de principal. )ls seus avantatges recauen en ladaptaci& de f&rmules matemtiques per mit2 de llibreries, per" el principal problema #s la facilitat de cometre errors de programaci&.

)l C1b13 0common business oriented language 1 #s principalment centrat en lmbit administratiu i financer. )ls seus avantatges s&n la fcil lectura 0com angls estndard1 i la capacitat de'treure grans quantitats de dades, per" s a de posseir un compilador de grans dimensions per adaptar*se a totes les seves caracter+stiques.

)l L1010 del grec $discurs% o $pensament%1 #s senzill com el :asic i #s especial per a lensen6ament. s adaptable a tots els nivells.

)l L3e,02at0e C combina els avantatges dun llenguatge dalt nivell amb laplicaci& concreta de lacc#s a certes caracter+stiques dun processador. s actualment un dels m#s utilitzats en el desenvolupament de soft?are i #s compost de programaci& estructurada. )l seu carcter compacte fa que sigui fcilment adaptable a un nou ordinador, i el seu !s es minimitza en una sinta'i estndard i una llibreria de subrutines.

Arra,# (;2, 1r(i,a(1r

17

Cinalment, i per tenir una base per a poder tractar el comportament dun bon paquet de virus que funcionen sota Zindo?s, descriurem el funcionament de larranc dun ordinador amb aquest sistema operatiu. )l proc#s l em resumit per sobre anteriorment en parlar del microprogramari, per" lestendrem i centrarem en aquest model estndard. )n posar*se en funcionament un ordinador, el primer que fa = obligadament, 2a que el dissen6 del 'ip o provoca * #s rec&rrer a la UR, per trobar la posici& CCCC7EEEE que #s la que obliga a buscar unes altres instruccions7 en primer lloc, lordre PR;T, que #s una rutina dautocomprovaci&. 3quest programa comprova el

ard?are connectat, posa en funcionament

el comptador de la mem"ria de treball, busca les ubicacions dels controladors de disc dur o pantalla 0entre altres1 i e'treu de la UR, informacions essencials per el seu funcionament 0com, per e'emple, el tipus de targeta grfica instal(lada1 a m#s daltres dades. )n aquest moment, busca el sector E, que #s el que cont# la informaci& per larranc de lordinador7 nombre de cares, pistes i sectors del discD missatges derror que puguin produir*se... Hormalment, per fer* o, llegei' primer la unitat de disquet 0per si cal arrancar des del disquet1D en cas negatiu, fa el matei' amb el disc dur. Kn cop finalitzat correctament aquest proc#s, es carrega el .onfig.s6s, que cont# instruccions per carregar fit'ers a la U3, i instal(lar els controladors necessaris pel funcionament dels perifrics * que enllacen ard?are amb soft?are *. Kn e'emple podria ser el denregistrar la targeta grfica. )n acabat, es carrega el .ommand.com = que #s lintrpret de comandaments * i sacaba larranc. 3quests fit'ers carregats a la mem"ria de treball constituei'en 2a els iniciadors del sistema operatiu predefinit, en el nostre cas el Zindo?s. Per iniciar el Zindo?s es carrega a la U3, l3utoe'ec.bat 0ar'iu que, com veurem, #s, entre altres, el punts febles que abitualment aprofiten els virus1. 3quest ar'iu sencarrega de'ecutar programes au'iliars necessaris a linici del sistema, com per e'emple el ratol+ o programes que a2usten el funcionament del teclat i seleccionar, a m#s, la carpeta de Zindo?s on a de cercar els ar'ius de sistema. Cinalment, el Zindo?s e'ecuta els ar'ius que es troben a C9DBINDOBSD8e,L I,i#iDPr10ra*esDI,i#iDM.M i finalitza la seva crrega. )l sistema s a iniciat amb 'it.

Introducci histrica dels virus

18

Kn cop 2a establertes unes bases en el m&n de la informtica, i abans de comenar a e'plicar el comple' m&n dels virus, us resumir# en petits punts significatius la ist"ria que an tingut, des que es va idear un programa autorreplicant fins als virus m#s populars dels nostres dies. Tot i ai'", com 2a e dit, no e'posar# la tcnica ni estructura de cada virus, sin& sols un seguit de not+cies que situaran levoluci& daquests programes tan temuts.

Histria 1$5% )ls virus informtics van ser el producte dinvestigacions que es feren sobre intel(ligncia i vida artificial. 3lguns daquests cient+fics 0ma2oritriament universitaris1 es desviaren del seu ob2ectiu utilitzant les tcniques per a fins maliciosos. Qo n 8on Heuman desenvolup el concepte de programes autorreplicants en lassaig $Teoria i Rrganitzaci& dun aut"mat comple'%. :sicament va basar*se en la idea de programes emmagatzemats en la mem"ria, i va utilitzar la idea per a modificar el seu codi.

1$'% Tres programadors desenvoluparen un petit 2oc anomenat C1re Bars, en qu dos programes utilitzaven tcniques v+riques 0atac, ocultaci&, reproducci&...1 per combatre amb la finalitat daconseguir ma2or espai en la mem"ria, guan6ant qui elimin#s primer ladversari.

1$)% )n el P3U. 0Palo 3lto Uesearc

.enter1, Qo n ;oc

6 Qon Aupp aconseguiren

programar el primer programa autorreplicable, per tal de controlar la salut de 'ar'es informtiques. /invent, per", sels escap de les mans quan el dia seg9ent es van col(lapsar tots els ordinadors i es va aver de crear un programa que els elimin#s, per tal de restaurar els sistemes. Podria suposar lavantpassat dels antivirus actuals.

1$)%"1$/% 3parei'eren programes diferents que utilitzaven tcniques dautorreproducci&7

19

Kn investigador cre un programa anomenat .reeper, que es reprodu>a per la 'ar'a transmetent missatges. Poc despr#s, un altre cre el Ueaper, un programa autorreplicant que destru>a .reepers.

3parei'eren al llarg de la dcada altres programes de caracter+stiques semblants 0mai maliciosos1, com el )l< .loner 0escrivia un petit vers a la pantalla1 i el )lectronic Aic ic<er 0un programa parsit amb l!nic ob2ectiu de viat2ar a costa daltres

programes1.

1$/3 Uere la publicaci& oficial del .ore Zars, molta gent comen a e'perimentar amb aquest tipus de programes, aparei'ent ai'+ el concepte de $virus informtic%. Cred .o en defin+ per primera vegada aquest concepte com a ]@ualsevol programa capa dinfectar altres programes, modificant*los per incloures dins dells%, presentant, a m#s, diferents models e'perimentals.

1$/5 3parei'eren els primers virus d ,;*5R;, com el $ ping*pong%, limitats en e'pansi&, 2a que nom#s podien transmetres per disquets i la ma2oria dordinadors no tenien disc dur.

1$/' 3l Pa<istan aparegu# el :rain, el primer virus malvol. 3 partir daqu+ nasqu# oficialment lpoca dels virus, programes que fins als nostres dies no an dei'at devolucionar i cr#i'er en nombre.

1$/) )s public en un llibre sobre virus part del codi dun de nou, el . arlie, provocant la creaci& de moltes versions sobre ell. )s difongu# el /e ig per una Kniversitat, un virus que contenia un comptador per

enumerar els ar'ius infectats, i cada W dells sobreescrivia el contingut. )l fet que caus#s dan6s tan aviat a2ud en fer*lo desapari'er aviat.

20

Tamb# es difongu# el virus Qerusalem, m#s conegut com 8iernes -L, resident en mem"ria i activat els divendres i -L borrant els ar'ius infectats. 3quest virus era un pro2ecte del seu creador, 2a que se li escap de les mans abans dacabar*lo.

Cartula del Den -./ 0oot, un virus resident provinent d1ndon'sia. 234556

1$// Kn cuc 0Zorm 1 atac per primera vegada. )s col(laps la 'ar'a 0ales ores anomenada

3UP3net1 i els problemes produ>ts arribaren a sumar un mili& de d"lars. /epidmia sestengu#
a causa dun error en el programa ;endmail que permetia enviar el cuc amb el missatge. /autor era fill dun dels L programadors del .ore Zars, e'posat anteriorment. Hasqueren els primers antivirus informtics. Kn dels primers fou Cull ; ot 0in2ecci& per la grip1. .omen la lluita entre creadors de virus i empreses antivirus

1matge animada del +lame, un virus de sector darranc.

1$/$ )l -L de gener de -JIJ era divendres, i fou el primer trontoll del virus Qerusalem 08iernes -L1 a tots els ordinadors infectats, fet que provoc una alarma mundial per la prevenci& amb sistemes antivirus. ;ort+ al mercat el primer antivirus eur+stic, capa de detectar, a part de virus

coneguts, aquells que es poguessin crear a partir de patrons sospitosos.

21

.om a conseq9ncia, sorgiren nous virus dinfecci& m#s rpida i aparei'eren tcniques de .233 stea3th 0que oculten les pet2ades fetes pel virus a l oste1. 3lguns e'emples de virus amb aquestes tcniques s&n7 3ntictne 0Telef&nica1, WEJV 0Crodo1...

1$$% 3parei'eren virus dinfecci& rpida provinents de :ulgria. Infectaven no solament els ar'ius e'ecutats, sin& tamb# els llegits. Kn e'emple #s el virus 5ar< 3venger.

El 3443 sorgeix el Tequila , un virus sus )ue in$ecta els arxius 7.exe i modi$ica la taula de particions del disc. 8ueda resident a la mem9ria.

1$$1 ;orgiren els primers Oits de construcci& de virus, fet que agreu2 el problema amb

El 3443 es detecta el Casino , un perill!s virus resident en mem9ria )ue $eia apar'ixer a)uest (oc a la pantalla el 3: de gener, abril o agost. ;i es perdia, et destru#a la +*< 2i, per tant, el disc dur6.

nous programadors ine'perts que s i afegei'en. )l primer va ser el 8./ 08irus .reation /aborator61.

1$$2

22

;org+ el virus ,ic elangelo , successor del ;toned 0un virus darranc1, i la premsa realitz un boom tan espectacular amb la not+cia que es transform en una plaga ine'istent.

Preocupant e$ecte del Cras", un virus rus resident en mem9ria. 234436

1$$& Internet i el correu electr"nic sestengueren i provocaren un crei'ement e'ponencial del nombre de virus i dinfeccions, fet que repercut+ crei'ent fins als nostres dies 0amb uns NE.EEE virus el -JJJ1.

1$$5 )l fet de sortir al mercat el Bi,(17s $5 va aportar moltes novetats a la informtica, com per e'emple que els virus de sector darranc no funcionaven amb el nou sistema operatiu, o el nai'ement dels >ir2s (e *a#r1 0amb laparici& de lRffice W.B1, uns virus que aprofiten les seq9ncies automatitzades de comandaments de cada ar'iu per multiplicar*se i e'ecutar*se.

1$$' 8a apari'er el primer virus de macro, el .oncept , un que contenia N macros i utilitzava la instrucci& $;alvar com...% per e'ecutar*se. 3vui en dia, el VW^ de les infeccions s&n provocades per aquest tipus de virus, que constituei'en la ma2or amenaa contra la seguretat informtica.

1$$) 8a propagar*se el virus /ad6 5i, un virus de macro no gaire malvol que reproduei' a la pantalla el L- de cada mes la can& d)lton Qo n dedicada a 5iana ;pencer. 1matge del *ccessi=, el primer virus de >acro per a *ccess

23

1$$/ )s van estendre els primers virus de macro per )'cel i 3ccess, com per e'emple el

/arou' 0el primer virus d )'cel1 o el 3ccessi8 0el primer virus d3ccess1.
8a sorgir tamb# el ;trange :re?, el primer virus de Qava *sense crrega destructiva*.

Curi!s e$ecte del virus ?anta 2alies ?P;6234456. * part da)uesta modi$icaci!, actua sobre mesures de seguretat existents.

1$$$ )s fa una divisi& de virus a nivell ist"ric donat que el fenomen incrementava sorprenentment7 la :ri*era 0e,era#i- de virus, formada per virus convencionals =virus dar'iu, de sector darranc...*D la se01,a 0e,era#i- constitu>da principalment pels virus de macro i la ter#era 0e,era#i-, que comenava el matei' an6 -JJJ amb la denominaci& de 8irus dInternet = virus de rpida propagaci& *. )l Aapp6JJ era el primer cuc de correu electr"nic, i sorg+ principis del matei' an6 JJ. )s difongu# tamb# el ,elissa , un virus de macro que elimina la protecci& antivirus de Zord. 3paregu# el I*Zorm.)'plore_ip 0o _ipped.Ciles1, que #s el cuc m#s perill&s transms per correu electr"nic. Programa )ue camu$la el cuc ?appy44 a

2%%% )l maig del BEEE sescamp com una epidmia el 8:;Y/oveletter =alies ]I/R8)`RK] = el cuc amb

Detalls de correu del >elissa

24

m#s velocitat de propagaci& de la

ist"ria. )l llenguatge que sutilitz fou el 8isual :asic

;cript, i senviava per IU. 0. at1 o correu electr"nicD la infecci& a escala mundial, doncs, va
representar un trontoll per totes les empreses. /a clau per la seva rpida propagaci& #s que, llegint la llibreta dadreces de lRutloo< es reenviava a totes les que trobava i, com que el missatge era engan'&s 0tradu>t7 .arta damor per a tu1, #s ben l"gic que en poques ores

arrib#s a infectar fins a L milions dordinadors, causant prdues econ"miques que superaven els B.EEE milions de d"lars. )n la secci& de tipologia aquest cuc. i a incl"s un apartat especial per

)l mes seg9ent que el I/R8)`RK, i escrit en el matei' llenguatge, aparegu# el

8:;YTimofonica, un virus espan6ol que tamb# es reenviava llegint les adreces de correu i que,
un cop e'ecutat, enviava missatges a m"bils de n!mero aleatori amb la direcci&

correo.movistar.net. )l virus, finalment, crea el troi .mos.com que, en e'ecutar*se

automticament la propera vegada que sinici> la mquina, impedir que torni a arrancar.

)l Qun6 del matei' an6 sescamp pels correus electr"nics el 8:;Y/iveastages, un cuc amb avanades tcniques docultaci& i gran capacitat de propagaci&. Per dificultar el seu estudi, a m#s, el codi estava encriptat. /a e'pansi& es realitzava enviant*se a les adreces de la llibreta de direccions si eren men6s de -E- 0si no, nescollia -EE1. )l seu format e'tern samagava sota laparena dun b.t't fals 0en realitat era un b.;A;1, i contenia tamb# 0per no provocar sospites1 un te't que #s el que se suposava esperar.

2%%%"a>2i Cins avui en dia, la quantitat de virus s a accelerat i encara o est fent. 5avant els possibles atacs, les tcniques antivirus an millorat considerablement, per" podem deduir que, davant de tal progr#s, la seguretat #s una utopia. )l percentatge dinfeccions segons els tipus de virus, com podem veure en el grfic seg9ent, va encaminat completament cap als virus de macro, donada la gran propagaci& de les aplicacions dRffice , i pel que fa a la transmissi&, #s ben clar que Internet, al matei' temps de ser una 'ar'a amb infinites possibilitats, constituei' i constituir en el futur immediat el

25

mit2 m#s utilitzat, donat el seu enorme !s en qualsevol camp i la seva facilitat de transmissi& de dades.

Infecci segons els tipus de virus ms importants

Altres 8% Hbrids 1% Fitxer 9% No sap 9%

Boot 10%

Macro 63%

<ipologia din$eccions. +ont@ Virus en Internet. 3444

Els Virus: lamenaa cont nua

Aavent e'posat un breu resum ist"ric sobre levoluci& dels virus, podem continuar analitzant*los profundament7 les tcniques que utilitzen, els tipus de virus i e'emples de cadascun dells, efectes dels virus, tipus dinfeccions, variants, mites creats sobre virus...

De.i,i#i1,s i si*i3it2(s
Kn virus informtic #s 2, :r10ra*a i,.1r*Gti# #a:aF (;a2t1rre:3i#ar"se *itNa,Fa,t

3a i,.e##i- (;a3tres :r10ra*es (e *aN1r e,>er0a(2ra i @2e resta 1#23t e, e3 siste*a .i,s a (1,ar"se a #1,?iAer5 *1*e,t e, e3 @2a3 :r1(2eiA a302, ti:2s (e *a35 :r1b3e*a 1 *13?stia e, e3 siste*a i,.1r*Gti#.

26

5efinit ai'+ semblaria ser un programa gaireb# intel(ligent als ulls de qualsevol usuari, per" sempre em de pensar que tan sols #s un con2unt dinstruccions ordenades amb una

finalitat concreta. Per tal de no confondre termes, anomenar# les quatre caracter+stiques bsiques dels virus a tots els nivells7 ;&n :r10ra*esD #s a dir, com e e'plicat abans, un virus #s un con2unt dinstruccions ordenades i res m#s. Tot i ai'", els fins daquest codi s&n molt diferents dels dun programa convencional. ;&n a2t1rre:3i#a,tsD ai'+ doncs, t# la propietat de clonar*se, de fer c"pies de s+ matei' i, tant si s&n idntiques com mutades, constituei'en el seu mecanisme de'pansi&. Uesten 1#23ts en el sistema fins el moment de la seva e'plosi&, quan e'ecuten el

pa6load o crrega destructiva contra lordinador v+ctima. Per tal de passar

imperceptiblement davant els ulls de lusuari, s&n de taman6 molt redu>t i utilitzen tcniques = que despr#s analitzarem = per tal de camuflar*se entre els ar'ius. Pr1>1@2e, (a,Cs lleus o importants a la mquina infectada. Per m#s que un virus no sigui de caire destructiu, s a introdu>t en el nostre ordinador en contra de la pr"pia voluntat i, per tant, provoca m+nimes molsties.

/a similitud entre aquest tipus de virus i els virus biol"gics #s relativament alta, 2a que els mecanismes que utilitza i la seva finalitat convergei'en en molts punts 7 -. /a vida es desenvolupa en lespai * temps B. ; autorrepliquen L. Posseei'en un codi o material que lidentifica i permet el seu funcionament W. Ktilitzen lenergia del seu entorn per a $viure% N. Interaccionen i alteren lentorn V. )s produei' una interdependncia entre les parts o fraccions del codi dun virus .na de les caractersti)ues dels virus Acomuna amb els biol9gics% s el seu redu#t tamany en comparaci! amb el seu "oste.

27

M. ;&n capaos de mantenir*se estables davant canvis i pertorbacions I. )volucionen o muten J. .rei'en -E. )l taman6 virus * v+ctima #s desproporcionat Podem afirmar fins i tot que els antivirus sencaminen per atacar la massa v+rica de la matei'a manera que o fa el sistema immunitari del nostre cos. I anant encara m#s enll7

actualment * i #s un aspecte que sembla que es potenciar en els virus i antivirus del futur, segons un article de la revista ;cientific 3merican * , moltes empreses antivirus contracten microbi"legs per tal de millorar les tcniques de detecci& de virus assimilant*los amb els seus antecessors biol"gics.

8a37are i >aria,ts
Aem de tenir en compte que la definici& de virus informtic no inclou la seva inversa,

#s a dir, no #s cert que qualsevol programa destructiu o nociu 0,al?are1 agi de ser un virus. 3qu+ trobem algunes definicions daquestes altres variants7

Ca>a33 (e Tr1ia. Kn programa que sembla bo per" realitza funcions malignes.

)'istei'en molts programes daquest tipus, i poden estar programats de diferents maneres7 una #s desassemblar un programa legal i, despr#s de modificar*lo per tal de que sigui nociu, tornar*lo a assemblarD una altra, per mit2 dun programa preparat i transms com a fit'er ad2unt dun e*mail. )n qualsevol cas, i tot i que a vegades #s massa tard, el millor #s eliminar el Troi de lordinador.

Ca*a3e-. Ca*a3e- s semblant a un .avall de Troia. .onsistei' en un programa legal = en

realitat disfressat pel programador = darrere del qual es troba un programa maligne.

C2#s. C2#s .onstituei'en les t+piques propagacions per Internet. ;&n programes que,
a diferncia dels virus, no necessiten infectar cap ar'iu per a propagar*se, sin& que tenen com a funci& primordial reproduir*se ells sols, col(lapsant les mem"ries del sistema. )'istei'en dos tipus de cucs7 -

D;1r(i,a(1r, que s&n els que produei'en c"pies de tot el codi del cuc.

28

De AarAa, que s&n aquells que copien nom#s un $control% del cuc, i per mit2 de
la 'ar'a es pot e'ecutar el codi des de lordinador origen.

C1,i33s. C1,i33s ;&n molt semblants als cucs, amb l!nica diferncia que quan infecten un
ordinador nou eliminen les seves c"pies de lanterior. 3i'+, el programa nom#s $salta% dun ordinador a laltre.

Dr1::er. Dr1::er ;&n aquells programes que al ser e'ecutats escampen el virus O1Ke":r10ra*. O1Ke":r10ra* Ho #s maligne. ; i inclouen tots els $virus% tan sols simptics i
sense cap caire destructiu.

O1Kes, que s&n programes que simulen ser virus i mostren efectes catastr"fics
a la pantalla 0formataci& del disc dur...1. Kn e'emple #s el Z., que ad2unto en el disquet. Kn altre #s el :ros, un programa que al e'ecutar*se mostrava el seg9ent missatge7

`our ard dis< ?ill be formatted ?it in '' seconds If 6ou do not press cancel all ?ill be lostcc
...i a continuaci&7

Cormatting Aard 5is<......0''^1

Cinalment, mostrava un altre missatge en angls7

$Qa, 2a, t e engan6atc, doi que t e espantate%

E20"7are. 3questa secci& inclou tots aquells programes que, o b# porten errors
de programaci&, o b# tenen errors de dissen6 de manera que dificulta el seu !s. Kn e'emples daquest tipus #s el ZordPerfect del IJ, un programa que produ>a errors tan sols causats per la seva mala utilitzaci& per part dels usuaris. 3i'+ va apari'er la psicosis dun virus imaginari anomenat ZordPerfect.

!aria,ts. !aria,ts ;&n virus idntics a daltres amb le'cepci& dalguna petita
modificaci& en el seu codi 0com per e'emple, la data de'ecuci&, el missatge que e'posa...1. )'istei'en moltes variants de virus i fins i tot i a programes a

Internet que permeten descompilar, modificar i tornar a compilar virus e'istents. Tamb# e'istei'en, a m#s, ensurts que no s&n cap tipus de programa en concret7

H1aA, que s&n avisos de virus, cucs o Torrens fets per bromistes immadurs.
Tenen les seg9ents caracter+stiques7

29

Ho tenen data ni origen concret. )ls dan6s que anomena s&n catastr"fics i immediats ;e sol(licita al receptor que transmeti el missatge T# un encapalament semblant a un missatge dempresa, per" gens concret .ont# tecnicismes en el missatge fins i tot ine'istents

?oax enviat per e%mail. Entre el text es poden distingir moltes caractersti)ues da)uest tipus de bromes@ lalarma )ue transmet, els irreparables danys del suposat virus, algun tecnicisme, el $et daparentar o$icialitat i la urg'ncia de propagaci! del missatge, entre daltres.

HC:es, que s&n alarmes a nivell general en qu se'agera enormement lefecte

dun virus. Provenen dopinions err"nies o fonts inadequadament autoritzades.

Les .ases (e >i(a

@ualsevol virus es mou dins unes fases predeterminades per tal de poder*se

propagar. s com si es parl#s, a grans trets, del seu cicle vital7 -

NaiAe*e,t

30

)n un principi, un virus sempre #s programat per alg!, que determina les seves caracter+stiques i el proc#s que seguir en e'ecutar*se. -

Di.2si-

)n acabat, el virus #s llenat al p!blic o a Internet, on comenar a escampar*se per la resta dordinadors. ;i #s el segon cas, normalment el matei' programador infectar el propi ordinador per iniciar el cicle. -

I,.e##i-

)l virus infecta el P. dalgun usuari, normalment copiant*se a dins del disc dur. -

Lat?,#ia
a infectat, comenar un proc#s de latncia per tal de no donar*se a

Kn cop

coni'er massa aviat. s important per un >ir2s"*aKer mesurar aquest temps amb e'actitud7 massa temps voldr dir m#s probabilitats de ser descobert per un antivirus o pel propi usuariD massa poc temps vol dir que la reproducci& #s menor i, per tant, la propagaci& es reduei'. /a latncia inclou7

O#23ta*e,t, que consistei' en utilitzar tcniques 0que veurem a

continuaci&1 per tal de no ser fcilment descobert.

Re:r1(2##i-, que avarca tot el per+ode de latncia i t# per funci& escampar*

se per lordinador infectat i per altres.

A#ti>a#i-

5avant un esdeveniment 0un cert nombre de reinicis, un m'im de mem"ria en el disc dur...1 se'ecuta la crrega destructiva programada 0el :aC31a(1 produei'en els dan6s. i es

E3i*i,a#i-

31

Cinalment, el virus ser eliminat dalguna manera segons la mesura del desastre provocat7 si a inutilitzat lordinador, s a impedit a s+ matei' tornar a e'ecutar* seD si no, formatant el disc, amb eines antivirus...

=ida dun virus des de la programaci! del seu codi $ins a leliminaci! a nivell de PC

T?#,i@2es :ri,#i:a3s (;1#23ta*e,t

Per tal de comprendre millor aquesta gran fam+lia de virus, comenar# per e'posar les

principals tcniques que utilitzen per tal de dissimular la seva e'istncia, 2a que ai'+ le'plicaci& posterior sobre els mtodes dinfecci& quedar basada en uns conei'ements previs7

Stea3th
3quest mtode inclou tots els intents dun virus per a borrar les seves pet2ades, #s a dir, el con2unt dinstruccions que permet a un virus encobrir els canvis realitzats dins el sistema. 3quests canvis poden ser de diferents tipus7 augment de taman6 dels fit'ers, canvis d ora o data, canvis en els atributs dun fit'er, descens de mem"ria disponible... .al dir que tot i que posin dif+cil la detecci& per part duna vacuna, ai'" o realitzen mentre estan carregats a la mem"ria, per" si sarranca des dun disquet, lantivirus pot descobrir fcilment aquests programes. Kn virus mai #s infal(lible.

32

3nem a posar un e'emple daquesta tcnica7 Kn virus resident que infecti fit'ers de qualsevol tipus i controli a la vegada les interrupcions de lectura de fit'ers. ;i lusuari demana el contingut dun fit'er infectat pot mostrar, per e'emple, la c"pia original abans dinfectar*lo.

T2,,e3i,0
Hormalment en un sistema s i troben uns programes anomenats residents de

protecci&. 3quests programes es disposen entre les interrupcions m#s perilloses i

lusuari, de manera que el mal !s o altres programes = com virus = no puguin accedir a determinats serveis tan directament 0com #s lescriptura de sectors darranc, la formataci& de discs...1. /a tcnica de t2,,e3i,0, per", consistei' en adquirir les adreces de les interrupcions de manera que el virus pot accedir directament a aquests serveis sense necessitat de passar per un programa resident de protecci&. Tot i ai'", certs antivirus tamb# utilitzen mesures sobre aquests mtodes.

A*12ri,0
Tamb# anomenat armadura o cuirassa. s el con2unt de tcniques que utilitza el virus per dificultar la lectura del seu codi, de manera que la seva FfirmaG queda oculta a la vista dels antivirus, a m#s de fer cost&s el desassemblatge per a buscar la seva vacuna.

A2t1e,#ri:ta#i3questa tcnica #s molt utilitzada, i consistei' en 'ifrar el codi del virus de manera que sigui diferent en cada infecci&. 3quest aspecte t# per funci& 0igual que l3mouring1 dificultar la seva recerca i desassemblatge. )l seu problema #s que, per tal de desencriptar el codi cada vegada que #s e'ecutat, duu a lencapalament una rutina de descodificaci&, i aquesta rutina s+ que resta sempre igual. Tot i que pot ser detectat per aquest punt, les instruccions que permeten des'ifrar*lo poden ser de molt pocs b6tes i, per tant, dificultar igualment les tasques de lantivirus.

P13i*1r.is*e
s una tcnica molt m#s avanada que lanterior, 2a que a m#s de posseir el codi encriptat, la rutina de descodificaci& #s tamb# variable en cada infecci&. s el

33

mtode m#s evolucionat docultaci& i per mit2 dell un virus pot generar fins a milions de versions de s+ matei'. )'istei'en principalment dos tipus de Polimorfisme7 ;emipolimorfisme, en qu el virus elegei' una determinada rutina de desencriptaci& dentre un nombre redu>t. Polimorfisme veritable, en qu el virus #s capa de variar la integritat del seu codi en cada infecci& modificant, si cal, lordre de cadascuna de les seves parts, i fins i tot fer* o sense necessitat destar encriptat. )ntre aquests dos tipus e'istei'en diferents tcniques que definei'en els virus com a m#s o men6s polimorfs. 3lgunes delles s&n algoritmes de desencriptaci& variables, encriptaci& recurrent 0el codi es 'ifra m#s duna vegada1, encriptaci& parcial de la rutina que descodifica la resta del codi... 5avant aquesta amenaa, les tcniques antivirus de recerca per cadenes o firmes 0parts de codi pr"pies de cada virus1 resulten ineficaces. )n aquests casos cal utilitzar mtodes de recerca algor+tmica especial per a cada fam+lia de virus, mecanismes que, l"gicament, resulten molt m#s costosos 0tant en temps com en diners1 per lempresa.
!unction V"#P$% &' (pplication)V*E)(ctiveV*Pro+ect)V*Components$,V"#P-.E#/,%)Code#odule)Count/f0ines 1ith (pplication)V*E)(ctiveV*Pro+ect)V*Components$,V"#P-.E#/,%)Code#odule !or x ' 2 3o & "tep 2 )4eplace0ine x5 ,6 , 7 (pplication)UserInitials 7 8o9 7 (pplication)User8ame 7 (pplication)(ctivePrinter 7 8o9 8ext x End 1ith

Part del codi dun macrovirus polimor$ anomenat =;>P 2=icBs ;imple >acro Poly 2=;>P6 ,ord 4C Polymorpic >acro >odule6. *)uest codi es troba al $inal del macro i reprodueix a)uestes lnies.

34

T?#,i@2es (i>erses
3 m#s de les principals descrites anteriorment, un virus pot contenir tcniques m#s o men6s malicioses dins el seu codi. 3lgunes delles s&n7

E1*ba 30i#a. )l programa nom#s activa la seva crrega destructiva quan succeei'
una condici& l"gica 0com per e'emple es tecle2a una determinada paraula, el disc dur somple fins a un cert nivell...1.

E1*ba (e te*:s. )s pot considerar com un tipus de bomba l"gica, i #s aquella que
sactiva en una ora o data determinada.

S:are. S:are ;&n els que porten inclosa en el codi una bomba de temps aleat"ria, #s a dir,
que no se sap quan sactivaran.

Lea:.r10. Tamb# anomenat granota. .onsistei' en la tcnica de coni'er accessos a

diferents adreces de correu per tal denviar*s i. s molt utilitzada pels cucs en la seva e'pansi&.

8Gs#ara. Per tal dentrar en un sistema restringit, el virus pren forma dun usuari
autoritzat, entrant en ell.

81#Ki,bir(. 81#Ki,bir( )l virus es troba fora dun sistema i quan lusuari entra aprn les
dades que li interessen per a poder entrar.

S:11.i,0. S:11.i,0 )l matei' que el ,oc<inbird, per" en aquest cas quan lusuari entra,
bloque2a el sistema.

Ea#K D11r. D11r )l virus crea una porta o forat en el sistema per tal que el programador
i pugui entrar sense que el detectin.

Pi33ers 1 Retr1>ir2s. Retr1>ir2s ;&n aquells en qu el virus porta la instrucci& de borrar o

infectar una o vries vacunes.

C1*:a,i1,. C1*:a,i1, Tcnica que utilitzen els virus i que consistei' en aprofitar una
propietat de l ,;*5R;7 quan se'ecuta un programa b.e'e i no sespecifica le'tensi&, si e'istei' un programa del matei' nom per" e'tensi& b.com, le'ecuta primer. 3i'+, els que utilitzen aquest mtode, guarden una c"pia dells matei'os amb el nom del fit'er b.e'e a infectar, per" de'tensi& b.com, e'ecutant*se a ells abans que el fit'er.

35

Cir#23ar. @uan dos virus infecten a la vegada el sector darranc del disc, poden
succeir dos casos7 -. /!ltim virus no infecti el sector darranc perqu 2a est infectat. B. )l virus utilitza un mtode que permet diferents infeccions en el boot D ai'+, quan se nelimina un, resta infectat per laltre, i viceversa. )n aquest cas la tcnica sanomena circular.

Ti:1310ia. I,tr1(2##i3 grans trets, els virus es classifiquen en una desena =o pocs m#s* de tipus diferents,

determinats pels mecanismes dinfecci& i control del sistema que duu a terme cadascun. /estructura que seguir# per tal de'plicar*los consistir, en primer lloc, en le'posici& de les seves caracter+stiques principalsD en segon lloc, en una descripci& dun proc#s complet dinfecci&D a continuaci&, en un resum dactuacions principals que pot realitzar i, finalment, en un o dos e'emples significatius. .al remarcar que aquests tipus no s&n sempre incompatibles entre s+D #s a dir, un espcimen v+ric pot ser de sobreescriptura i dacci& directa a la vegada sense cap problema.

!ir2s (e se#t1r (;arra,#

" Des#ri:#i-. 3quest tipus de virus tenen la principal propietat dutilitzar els sectors darranc dels

discs i la taula de particions 0o ,:U1 per tal de poder e'ecutar*se cada vegada que lordinador es reinicia i poder controlar o filtrar les interrupcions que es produei'en. Hormalment #s quan aquestes interrupcions o serveis s&n la lectura o escriptura dun disquet, o el tractament dar'ius, que el virus modifica la resposta a aquest servei de la manera que li interessi7 modificant el sector darranc del disc que es vol llegir, desviant ladrea de recerca dun ar'iu...

" A#ti>a#i-. )l virus nom#s se'ecuta = per primera vegada * si un disquet infectat per aquest tipus de virus sutilitza per a reiniciar el sistema 0com a disc darranc1. s a dir, la utilitzaci& i

36

e'ecuci& dels ar'ius que cont# = a e'cepci& de si s&n programes que accedei'en al sector darranc, que #s la part e'ecutable del disquet que cont# el virus = no provocar la infecci& del P..

" I,.e##i-. 3i'+ doncs, tal i com av+em e'plicat en la secci& darranc dun ordinador, quan sinicia el sistema i la UR, detecta un disquet a la unitat, en comptes de llegir el sector darranc del disc dur llegei' el del disquet, e'ecutant*se un con2unt dinstruccions que inclouen, en el nostre cas, el codi del virus. Kn cop s a e'ecutat, el primer que fa #s reservar*se en el disc dur un espai de mem"ria suficient i localitzar un espai disponible del disc per a poder emmagatzemar el sector E original 0sector que cont# el programa de crrega del 5R;, utilitzat quan sarranca el P. des del disc dur1D aquesta tasca es realitza normalment en un dels sectors del final, 2a que s&n els !ltims a ocupar. Kn cop fet, es trasllada a la secci& assignada i marca com a defectuosos els cl!sters corresponents a la c"pia del sector E. Cinalment, el virus cedei' el control a la versi& original del sector darranc del disquet, i guarda un nou sector E per larranc del sistema, que contindr un salt al sector de mem"ria on i a emmagatzemat el virus. 3quest salt, m#s

concretament, #s anomenat instrucci& O8P, i permet que, un cop finalitzada le'ecuci& del codi on apunta, es pugui llegir la seg9ent l+nia despr#s daquests tres b6tes.

" C1* a#t2aI )ls virus daquest tipus, com em dit, intercepten serveis en general. .ada vegada que

sintenti llegir un disc, el virus actuar davant la interrupci& llegint la lletra de la unitat7 si no #s una disquetera, cedir el control a la resposta inicial del servei. Per" si es tracta de disquetera, primer mirar si el que sintenta llegir #s el boot 02a que pot ser que es vulgui llegir tant sols els ar'ius emmagatzemats1D en cas contrari no far res, per tal de no disminuir tant les prestacions del sistema i, per tant, delatar*se. ;i #s el boot el que es pret#n llegir, el virus comena una nova infecci&7 )n primer lloc, buscar indicis per saber si el sector darranc del disquet 2a est infectat, cas en el qual cedir la resposta a la interrupci& al programa que la sol(licitava 0a e'cepci& que

37

utilitzi la tcnica circular1. ;i no est infectat, el primer que far ser fer una c"pia del sector darranc original del disquet. 3i'" es pot fer de diverses maneres7 buscar un cl!ster lliure del disquet i guardar* i la c"pia, marcant*lo com a defectu&sD guardar*lo a l!ltima posici& del disquetD sobreescriurel... 3 continuaci&, sobreescriu el boot original amb seu codi. 3quest proc#s no allarga lestona en qu el pilot de la unitat es troba encs, 2a que es d&na 2ust despr#s duna lectura. Tot i ai'", molts virus bloquegen la gesti& derrors per si, per algun cas 0com el fet que el disc estigui protegit contra escriptura1, el virus no es pogu#s guardar en aquella direcci&, cas en qu, en circumstncies normals, donaria un error descriptura ben estran6 als ulls de lusuari. 3 part daquesta tasca dinfecci&, el virus gestiona comptadors per saber el nombre de disquets infectats, 'ifra que, en arribar a un cert m'im considerat de prou e'pansi&, es produir lactivaci& del #1(i *a3i0,e, produint*se el :aC31a(. Tots els processos anteriors an estat encaminats per aquesta fase de la vida v+rica, en qu la funci& principal #s latac.

" EAe*:3es si0,i.i#ati2s. ;ense aprofundir gaire en aquest aspecte, anomenar# alguns e'emples de virus de boot7 Nom: Form Tamany: 512 bytes Propietats: Infecta sector darranc de disquet i disc dur. Moltes versions sn residents en memria. Variants principals: Form.A Form.C Form.D Form.E Form.L Form.M Caracterstiques: ! "obreescriu el boot #er tant #ot donar #roblemes darranc - $estruei% ar%ius aleatriament - Marca cl&sters erronis si no 'i ca# al sector darranc - (l 1) o 2* de cada mes se sent un so a laltaveu intern i escriu: +,'e F-.M!/irus sends 0reetin1s to everyone 2'os read t'is te%t3

Nom: Anti(4( Tamany: 512 bytes Propietats: Infecta el sector darranc de disquet i taula de #articions del disc dur. .esident en memria. Variants principals: Anti(4(.5 Caracterstiques: ! $isminuei% la memria f6sica a 1 7b - $es#la8a la taula de #articions 9Master Boot Record: a una altra #osici del disc - (n ; de cada 25< lectures duna unitat es dis#ara el payload: la destrucci dels (4( de%tensi 2==><) bytes 9tamany dun cone1ut antivirus rus:.

38

!ir2s (e .itAer
)ntren en aquesta secci& tots el virus que, per qualsevol circumstncia, infecten els

fit'ers e'ecutables 0)4) o .R,1 per tal de poder ser activats, inserint*se en el codi daquests. 3i'+, primer de tot sactiva el codi del virus i finalment =despr#s que el virus infecti un nou ar'iu, per e'emple= es carrega el contingut del fit'er. 3 partir daqu+ en podem distingir dos tipus segons les vies de comportament que seguei'in7 residents o dacci& directa.

!ir2s (e .itAer resi(e,t

" Des#ri:#i-. /a propietat dels virus de quedar*se residents es deu a que s&n capaos de guardar una c"pia de seguretat de s+ matei'os a la mem"ria U3,. 3i'+, pot quedar*se emmagatzemat i controlant el sistema fins al moment dapagar el sistema.

" A#ti>a#i-. .al dei'ar ben clar que els virus de fit'er resident nom#s poden activar*se si se'ecuten les instruccions dels ar'ius on i a el seu codi. 3i'" significa que no n i a prou amb obrir lar'iu com a te't per mirar el codi o tant sols col(locar el disquet que cont# lar'iu infectat a la unitat, sin& que cal activar les instruccions que contenen per tal de donar vida al virus.

" I,.e##i-. @uan agafa el control, un virus en primer lloc comprova si es donen les condicions necessries per activar*se. ;i no #s ai'+, reserva una porci& de mem"ria per tal de poder quedar resident 0porci& que sovint va dels BEE als NEEE b6tes1 i es trasllada a la nova posici&. Kn altre proc#s que comenar ser el dinterceptar serveis del sistema, que consistei' en que, des de la seva posici& de resident, el virus controlar les interrupcions que els programes realitzin sobre la taula de vectors. 3quest mecanisme lanalitzarem a fons en lapartat dactuaci&.

39

Kna vegada realitzats aquests passos =tenir assegurat el lloc en mem"ria i controlar les interrupcions *, el codi maligne cedei' el control al programa que originalment es carregava, per tal de no despertar sospites. .al dir, per !ltim, que per tal que el virus es pugui e'ecutar a la mem"ria de Zindo?s cada vegada que sinici> el sistema es poden utilitzar tres mtodes7 fer*se passar per una aplicaci& registrada i oberta en una finestra oculta, reservar un bloc de mem"ria del sistema, o b# restar resident com a driver del Zindo?s.

" C1* a#t2aI Kna tasca important =2a anomenada en la infecci& = #s la interferncia dels serveis del sistema. Kn servei del sistema consistei' en una interrupci& provinent duna aplicaci& en e'ecuci& per mit2 de la instrucci& INT, que sol(licita a la taula de vectors dinterrupci& una adrea on es troba la utilitat que es necessita per a realitzar la resposta. 3i'+, si un processador de te't necessita un servei per a marcar una lletra escrita per lusuari, va a la taula de vectors dinterrupci& i, despr#s d aver trobat ladrea correcta, pot respondre mostrant la lletra a la pantalla per mit2 de la utilitat que a localitzat. Per al virus, com

podem deduir, aquest mecanisme #s perfecte, 2a que li permet accedir a aquests serveis modificant les adreces que busca per tal que apuntin al seu propi codi. 3questa tasca, doncs, * relativament fcil de realitzar pel fet que es troba resident en mem"ria = li dei'a via lliure a l ora de llegir unitats i interceptar altres peticions dels programes actius. @uan est en !s, una de les seves funcions primordials #s la de reproduir*se. Per fer* o, infecta programes 0ar'ius e'ecutables1 que s&n activats o copiats, #s a dir, que s&n llegits a la mem"ria. 3bans dinfectar, es realitzen unes comprovacions prvies7 -. 5etectar si lar'iu en q9esti& es :1t i,.e#tar = #s a dir, si ens trobem davant un virus que es multiplica per mit2 d)4), no podr reproduir*se en un .R, *. B. 3ssegurar*se que el taman6 de lar'iu entri dins linterval correcte. )n general i pot aver dos possibles causes per la qual no ser ai'+7 duna banda, si el fit'er #s un .R, 0ar'ius que com a m'im poden ocupar VW Ob1, pot ser que la suma de la capacitat del fit'er original m#s la del virus sigui superior a VW ObD de laltra, si lincrement de taman6 #s alt 0dun NE^, per e'emple1, moment en el qual el virus a

40

dutilitzar tcniques 0;tealt , entre daltres1 per tal de reduir visiblement aquest increment de taman6. L. .omprovar si el fit'er 2a estava infectat. H i a que poden tornar*lo a infectar, per" la ma2oria busquen unes marques distintives 0com el proc#s que seguei' lantivirus per a detectar virus1, que poden ser, per e'emple, cadenes de b6tes concretes en un cert ordre. W. ;i cont# rees en blanc. Ai a pocs virus que tenen aquesta propietat, per" en el cas de trobar molts espais en blanc, sobreescriuen aquestes rees amb el seu codi sense malmetre lar'iu ni incrementar el taman6 que una infecci& suposa. )'emples dells es troben en els macrovirus o en aquells dissen6ats en LB bits per ZJNYJI. N. ;i el fit'er t# latribut de $nom#s lectura%, tot i que #s un fet que no suposa cap problema per la ma2oria de virus. Kn cop verificats tots aquests aspectes, i si en tots la resposta #s positiva, el codi maligne es comenar a inserir a lar'iu. Tot i ai'", a danar amb compte a no destruir*lo 02a que seria delatat fcilmentD amb e'cepcions, aquest mtode nom#s lutilitzen la ma2oria de virus de boot, en sobreescriure el sector darranc per un de propi1, i a vigilar que sigui el primer en e'ecutar*se quan sactivi aquest codi. 3quest esdeveniment saconseguei' de diferents maneres7

Es)uema de la grabaci! dun virus de $itxer dins un document segons el tipus dextensi! i la posici!.

41

)scrivint el codi maligne al :ri,#i:i del fit'er. )n aquest cas, calcula la capacitat del codi maligne i, desplaant les instruccions del fit'er original, sescriu al principi. ;i el fit'er #s .R,, en e'ecutar*se o faran primer les l+nies v+riquesD si el fit'er #s un )4), a de modificar lencapalament

daquest per tal que sinici>n primer les seves instruccions. % )scrivint*lo al .i,a3 de lar'iu. )l codi safegei' directament al final. ;i #s un .R,, aur dinserir tamb# al principi una instrucci& de salt 0 O8P1 cap al virus situat al final. ;i #s un )4), s aur de modificar lencapalament per apuntar, en aquest cas, en una instrucci& del final que sigui la primera del codi maligne. % )scrivint*lo e,tre*i0. 3quest procediment #s inusual pel fet que cal m#s feina per situar*s i. Tot i ai'", certs antivirus antics no els detecten si es guarden amb aquest sistema. ;i #s un .R,, tamb# a dafegir un salt cap a la posici& del mig on es trobi. ;i #s un )4), tamb# s aur de modificar lencapalament per apuntar al virus. )n qualsevol cas, el primer que s aur carregat ser el codi maligne, per tal que aquest sigui el que controli les operacions del P. abans que el programa e'ecutat.

" EAe*:3es si0,i.i#ati2s. 3lguns virus daquest tipus s&n7 Nom: Assassin Tamany: ?5? bytes Propietats: Infecta ar%ius 5-M i (4(. .esident en memria. @tilitAa tBcniques "tealt' diverses. "obreescriu #art dels fit%ers infectats. Variants principals: Assassin.?5? Assassin.*);* Caracterstiques: ! "ubstituei% lenca#8alament dels fit%ers infectats #er un salt al codi mali1ne del final. Ai%6 infecta cada ve1ada que le%ecutes. Nom: Fune12 alies "entenaryo - Als ar%ius e%ecutats nomCs es visualitAa un 1rDfic amb el Tamany: 1?=5!1?2* bytes se1Eent te%t: He in!ut de l"in#ern per endur$me una Propietats: Infecta els ar%ius 5-M&nima i (4( au1mentant!los en tamany. .esident en la ida% una que 'ai! de posseir. La te a san!% memria. (ncri#tat tot i que no #olimorf. me a ai!ua( la te a carn% el meu pa... ) ui conei*er&s Variants principals: Fune12 el teu 91?=5...1?2*: #inal +),,),,-N.. Caracterstiques: ! Go utilitAa stealt': ai%6 doncs Cs bastant visible el canvi de tamany dels fit%ers infectats. Go Cs 1aire sofisticat. - "activa a la data de la inde#endBncia de Fili#ines. - ,C com a obHectiu mostrar el se1Eent te%t: Visca la /ep01lica de Filipines. 2343$ 25 de 6uny +2443. Lli1ertat. Cent anys d"independ7ncia. ,o1irania. 8erm&% qu7 'as #et per ser ir la p&tria9. A la ve1ada emet l'imne fili#6 #els altaveus. - A mCs adHunta el te%t: +els danys o #erHudicis sn res#onsabilitat del #ro#i usuari Ha que el seu &s Cs e%clusivament #er fins educatius i dinvesti1aci.3

42

!ir2s (e .itAer (;a##i- (ire#ta

" Des#ri:#i-. 3 diferncia dels residents, aquest tipus de virus no poden quedar*se actius en mem"ria i, per tant, tampoc poden controlar cap servei del sistema. s per aquesta ra& que es veuen obligats a replicar*se en el moment de ser e'ecutats.

" A#ti>a#i-. .om en els residents, el mtode de'ecutar un codi maligne daquest tipus nom#s pot venir donat en activar un programa 0)4) o .R,, entre altres1 infectat.

" I,.e##i-. @uan es posen en funcionament les rutines destructives, el primer que fa #s buscar indicis que li demostrin si #s el moment dactivar la seva crrega maliciosa. ;i no #s ai'+ va a buscar directament una o m#s v+ctimes per tal de poder propagar*se. 3quest pas el pot realitzar de diferents maneres, com s&n buscar e'ecutables en el propi directori, en directoris espec+fics predeterminats, en la carpeta 5R; de la unitat .... = molt sovint una mescla de tot *. )l mtode de gravaci& #s idntic als virus residents. Kna vegada resolt aquest pas, el virus dei'a pas al codi del programa activat per tal de passar desapercebut davant lusuari.

43

" C1* a#t2aI /actuaci& #s molt similar als residents. /!nica diferncia entre ells #s el mtode dinfecci&, per" compartei'en les matei'es caracter+stiques de virus de fit'er.

" EAe*:3es si0,i.i#ati2s. )'emples daquest tipus n i a en abundncia, tot i que actualment no tenen tanta

activitat. )ntre ells, n e escollit dos de representatius7 Nom: Ambulance Tamany: >?< Iytes. Propietats: Infecta els 5-M (4( i el +5ommand.com3. /irus dacci directa. Variants principals: Ambulance.212* Ambulance.>?<.A Ambulance.>?<.I Ambulance.>?<.$ Ambulance.>?<.I Caracterstiques: ! (l seu s6m#toma mCs si1nificatiu Cs la#arici duna ambulDncia #er la #antalla amb la sirena corres#onent #er laltaveu intern. GomCs infecta un e%ecutable #er directori i mai Cs el #rimer de la llista.

1matge del Ambulance , un virus alemany )ue sorgeix el 344D i mostra a)uesta ambulncia a la pantalla $eta per carcters *;C11.

Nom: Jed Ke##elin alies 15=) L"!ML5 Tamany: 15=) Iytes. Propietats: Infecta els 5-M (4( i el +5ommand.com3. Losseei% el codi encri#tat. Variants principals: Jed Ke##elin Caracterstiques: ! (n e%ecutar!se busca en el directori actual una v6ctima. "i la troba realitAa un enre1istrament al final. - Ms ca#a8 de mantenir inalterats data i 'ora del fit%er infectat. - (n infectar 5 (4( mostra un AB##elin #er la #antalla amb uns sons #er laltaveu intern. (n infectar 5-M bloqueHa el sistema.

!ir2s (e s1brees#ri:t2ra

44

" Des#ri:#i-. 3 diferncia dels altres virus, aquest utilitza una tcnica que convertei' els documents infectats en ar'ius inservibles. /avantatge daquesta tcnica #s que el taman6 de l oste no es veu afectat per virus, per la qual cosa dei'a una pista men6s per a poder ser descobert.

" A#ti>a#i-. Kn codi amb funcions de sobreescriptura ser activat, com en els altres casos, en l!nica possibilitat que el programa infectat sigui e'ecutat.

" I,.e##i-. /a gran ma2oria daquest tipus de virus infecten de la matei'a manera que els virus de fit'er dacci& directa7 busquen la presa rpidament i, en aquest cas, la sobreescriuen.

" C1* a#t2aI )n primer lloc cal dir que, com que els document infectats queden inutilitzats, quan se'ecuten les instruccions malignes procuren mostrar un error estran6 en pantalla de manera que lusuari cregui que agi estat dan6at per alguna altra causa. 3 partir daqu+, els processos a seguir s&n els personalitzats en cada espcie. Tanmatei' no acostumen a ser gaire sofisticats7 en aquesta secci& aparei'en aquells virus de taman6 m#s redu>t 02a que costa men6s mem"ria sobreescriure un ar'iu que intentar infectar sense destruir*lo1 o, curiosament, els m#s grans 0aquells virus creats per principiants o programadors amb pocs conei'ements, 2a que estan estructurats segons llenguatges dalt nivell 0:asic, Pascal...1 i no pas segons llenguatge dassemblador 0codi mquina1. /a !nica manera de desinfecci& consistei' en borrar el focus de la infecci& i substituir*lo per una c"pia original.

" EAe*:3es si0,i.i#ati2s. 3 continuaci& i a algunes mostres daquest tipus. )ntre elles, i com a curiositat, i e afegit el virus m#s petit que e'istei', de LE b6tesD laltre, #s un e'emple de virus $gegant%7

45

Nom: $efine Tamany: ;= Iytes. Propietats: Infecta els 5-M (4( i el +5ommand.com3. "obreescri#tura i acci directa. Variants principals: $efine Caracterstiques: ! (n e%ecutar!se busca al subdirectori actual un (4( o un 5-M #er infectar!los. (n aquest cas el sobreescriu amb el seu codi inutilitAant!lo. - Ja data i l'ora del fit%er es modifica inevitablement. @n codi tan reduNt no dna #er mCs. - Lrovoca errors al arrancar de1ut a la infecci del 5ommand

Nom: AI$" Tamany: 1;?52 Iytes. Propietats: Infecta els 5-M. "obreescri#tura. Variants principals: AI$" AI$" II Caracterstiques: ! "e situa al #rinci#i dels fit%ers 5-M destruint les dades que trobi. - Ouan sactiva mostra en #antalla: +:our computer no; 'as )-D,3 I bloqueHa el sistema. - Ja se1ona variant infecta tambC (4(. JanalitAarem a continuaci.

!ir2s #1*:ress1rs
" Des#ri:#i-. 3quest tipus de virus pot formar part dalgun altre simultniament. /a seva particularitat

#s que, depenent del taman6 i tipus dinformaci& que cont# el fit'er infectat, el comprimei'.

" A#ti>a#i-. /activaci& #s la dels virus de fit'erD #s a dir, nom#s quan el programa infectat #s e'ecutat, el codi podr comenar a controlar el nou P..

" I,.e##i-. .om que aquest tipus de virus constituei' un subapartat dels virus de fit'er 0residents o dacci& directa1, la infecci& es correspon amb la dels virus anteriorment citats.

" C1* a#t2aI

46

Kna conseq9ncia important que cal citar en aquest apartat #s que, donada la capacitat que tenen de comprimir els ar'ius afectats, el codi maligne queda enregistrat de diferent manera duna infecci& a laltra, depenent del taman6 i contingut de l oste. 3i'+ doncs, aquesta tcnica #s un pas que dificulta m#s la recerca dels programes antivirus, 2a que el virus no para de canviar a cada nova infecci&.

" EAe*:3es si0,i.i#ati2s. /e'emple m#s significatiu #s el seg9ent7 Nom: 5runc'er Tamany: 2=== Iytes. Propietats: Infecta els 5-M (4( i el +5ommand.com3. 5om#ressor i resident en memria. Pi 'a variants de sobreescri#tura #olimorfes o encri#tades. Variants principals: 5runc'er 5runc'er.2=?2 5runc'er.*=== 5runc'er.*===.I.$.L 5runc'er.*)== 5runc'er.1.=Q 5runc'er.*)==.$r 5runc'er.$r# Caracterstiques: ! Ouan infecta es 1uarda al final modificant lenca#8alament i es com#rimei% amb lar%iu - Ja data i l'ora del fit%er es mantC inalterat des#rCs de ser #ortador de codi mali1ne. - $es de la memria actua sobre els 5-M e%ecutats.

!ir2s (e *a#r1 1 *a#r1>ir2s

.om que actualment aquest tipus de virus #s el m#s ests i el que m#s dan6s provoca,

mestendr# una mica m#s en aquesta secci&. 3bans de passar a comprendre el seu funcionament, doncs, us far# una petita introducci& al tema dels macros.

" Des#ri:#i-.

8a#r1s

)ls macros s&n seq9ncies automatitzades de comandaments, #s a dir, un con2unt dinstruccions guardades en un fit'er que permeten, per mit2 del programa adient, accedir a unes funcions m#s o men6s comple'es, sovint per mit2 duna combinaci& de tecles per tal dagilitzar la tasca. Tot i que cada vegada els macros s&n m#s comple'os, no tots aquests tipus de programes que els utilitzen poden ser infectats per un virus daquest tipus. Hom#s els que complei'in7

47

1. E3s :r10ra*es ha, (e ser #a:aF1s (e 02ar(ar a@2estes *a#r1s e, e3s :r1:is (1#2*e,ts @2e 3es 2ti3itQe,. Si ,1 .1s aiAH5 e3s >ir2s ,1 es :1(rie, tra,s*etre5 Na @2e es 02ar(arie, a*b 3es *a#r1s e**a0atQe*a(es e, a302, 331# (e3 PC (i,s 2, arAi2 aJ33at. 2. Ta*bR ha, (e te,ir 3a :1ssibi3itat (e #1:iar *a#r1s e,tre e3s (1#2*e,ts 2ti3itQats :er 2, *ateiA :r10ra*a. 3. E3s *a#r1s ha, (e ser a2t1*Gti#s5 Rs a (ir5 @2e se,se 3;aN2t (e 3;2s2ari s;ha, (;eAe#2tar e, 1brir"se e3 (1#2*e,t.

42? .a, e3s *a#r1>ir2sI

)ls macrovirus poden realitzar gaireb# qualsevol funci&, 2a que des dels macros es poden accedir directament a les 5// de Zindo?s, utilitzant les propietats de qu disposen. 3quest fet provoca que constituei'in els virus m#s per2udicials. )'emples dels dan6s poden ser7 % % % % % % )liminar ar'ius o documents del disc dur Ueanomenar ar'ius .opiar ar'ius personals en llocs p!blics Transmetre ar'ius a trav#s de la 'ar'a Cormatar el disc dur 0...1

3 m#s, el llenguatge #s m#s fcil de programar que el codi mquina = t+pic dels virus m#s usuals *. .al dir que fins i tot e'istei'en per Internet programes 0.8.O, .P.O, 5ZJM,vc<...1 de distribuci& gratu>ta que permeten crear nous virus de macro. 3i'+ doncs, no #s estran6 que sigui actualment el tipus m#s propagat i perill&s. Kna altra caracter+stica comuna #s la seva capacitat de funcionar sota qualsevol plataforma 0sistema operatiu1 que suporti documents amb macro. 3i'+ el virus sassegura de poder actuar sobre qualsevol ordinador, 2a que un usuari nom#s e'ecutar un document de macro sota un sistema operatiu que les pugui e'ecutar.

" Ti:2s.

48

8a#r1>ir2s :er 8S"B1r(

,icrosoft Zord utilitza uns macros programats en 8isual :asic for 3pplications, i en cont# molts dautomtics. 3lguns dells s&n7 A2t1EAe#5 que se'ecuta cada vegada que sinicia el Zord A2t1Ne75 que se'ecuta quan es crea un document nou A2t1O:e,5 que se'ecuta cada vegada que sobre un document A2t1C31se5 que se'ecuta quan es tanca un document.

3i'+, per e'emple, nom#s cal unes instruccions m#s 0malignes1 afegides a una macro 3utoRpen per tal que un virus controli el sistema despr#s d aver obert un document. 3 partir daqu+, es dedicar a copiar el macro a altres documents e'istents, borrar ar'ius o fer qualsevol acte malici&s. % EAe*:3es si0,i.i#ati2s

)'istei'en molts macrovirus per a Zord. Tot i ai'", posar# com a e'emple el primer que sort+ i un dactual per tal de veure com an evolucionat7 Nom: A?>MR5once#t Tamany: ;2><5 Iytes. Propietats: /irus de Macro #er a Sord?> Variants principals: A?>MR5once#t Caracterstiques: ! 5ontC 5 macros - (s 1rava en aquells ar%ius que sn enre1istrats amb el comandament +"alvar com...3 - ,ot i que no esti1uin enre1istrades com a #rinci#als ne%istei%en moltes variants. Fou el #rimer macrovirus.

Propietats dun document de ,ord in$ectat pel virus ,4C>EEt"an.*. *)uest virus va apar'ixer per primera vegada el Fener de 3444 i se n"a creat moltes versions de di$erent tipus.

49

Nom: S?>MR(t'an.A Tamany: 1;?2 Iytes. Propietats: /irus de Macro #er a Sord?> Variants principals: S?>MR(t'an.A S?>MR(t'an.A( S?>MR(t'an.AF S?>MR(t'an.AT S?>MR(t'an.A, S?>MR(t'an.AK S?>MR(t'an.I S?>MR(t'an.$ S?>MR(t'an.U Caracterstiques: ! 5ontC una macro que es 1uarda a la #lantilla Gormal.dot 9#er infectar qualsevol document creat nou: i als documents infectats. - Ler la infecci el virus 'a de 1enerar un ar%iu el +5:Vet'an.WWW3. - "activa aleatriament: ; de cada 1= ve1ades canvia les #ro#ietats del document 9,6tol: (t'an FromeX Autor: (SRJGR5IX 5om#anyia: Foo Iar Industries Inc. - "i el sistema es troba infectat #el +S?>MR5lass3 (t'an borra lar%iu +5:V5lass.sys3.

8a#r1>ir2s e, (1#2*e,ts RT6

Aabitualment, els documents daquest tipus no poden incorporar macros i, per tant, no s&n en absolut perillosos. Cins i tot si lantivirus est configurat per analitzar certes =i no totes = les e'tensions e'ecutades, no podria detectar un virus en aquests documents. )l secret daquests macrovirus est en el seg9ent7 si el document UTC que lusuari e'ecuta sense preocupaci& a ser infectat resulta ser un fals ar'iu UTC = #s a dir, un fit'er 5R. reanomenat com a UTC *, Zord e'ecutar automticament aquell document i totes les macros que dugui 0entre elles el virus1. 3quests casos es poden impedir si, en comptes de tenir lantivirus activat per analitzar tan sols els e'ecutables, se selecciona lopci& $Totes les e'tensions%. 3i'+, a cada document que sobri 0independentment de la seva e'tensi&1, lantivirus lanalitzar, i en aquest cas auria descobert la trampa dun codi maligne camuflat.

8a#r1>ir2s e, EA#e3

Igual que en els de Zord, els d)'cel utilitzen el llenguatge 8isual :asic for 3pplications i poden ser actualitzats a versions posteriors grcies a la capacitat que els nous programes tenen de traduir al nou llenguatge el codi dels anteriors.

50

Tot i ai'"

a entre ells una diferncia molt gran7 en ser un programa de fulles de

clcul, no posseei' la plantilla Hormal.dot i, per tant, el virus utilitza, per tal de replicar*se, les fulles de clcul emmagatzemades a $4/;tart%.

EAe*:3es si0,i.i#ati2s

)'istei'en molts e'emples de virus d)'cel. 3lgunes de les variants principals m#s reconegudes s&n7

Nom: 4?>MRLa#a.A alies La#a Tamany: 1=<= Iytes. Propietats: /irus de Macro #er (%cel Variants principals: 4?>MRLa#a.A 4?>MRLa#a.I Caracterstiques: ! Ms molt semblant al Melissa. "envia a <= direccions de correu cada ve1ada que el virus sactiva. - @tilitAa -utlooT #er enviar!se. - (ls missat1es que sn enviats #orten el t6tol: +@r1ent info inside. $isre1ard macro 2arnin13. Ai% #rovoca que un maHor nombre dusuaris cai1uin a la tram#a sobretot des#rCs de saber que qui li envia Cs un cone1ut.

Nom: 4?>MRL'antom Tamany: ;2><5 Iytes. Propietats: /irus de Macro #er (%cel. "tealt'. Infecta els 4J" Variants principals: 4?>MRL'antom Caracterstiques: ! 5ontC dos mduls: ArtiJife i .e#licator. - ArtiJife contC la funci +AutoWo#en3 utilitAada #er infectar els fit%ers oberts. - .e#licator crea el +Y4J.4JA3 en el directori Inicio #er tal dinfectar qualsevol document nou que es crea. - A les 1<:== emer1ei% un missat1e #er la barra destat: Then Phantom <number from 1 till 27 !" #at$hin% &ou' (e#are')

8a#r1>ir2s e, A##ess

3ccess, al contrari dels altres programes 2a anomenats, no cont# automacros, sin& que aquestes sactiven per mit2 daccions concretes. 3 part daquesta diferncia, els procediments dels virus s&n similars als dels altres macrovirus d Rffice.

51

EAe*:3es si0,i.i#ati2s

)l m#s com! #s l3ccessi87

Nom: A?>MRAccessi/.5 Tamany: ;2><5 Iytes. Propietats: /irus de Macro #er Access. Variants principals: A?>MRAccessi/.5 A?>MRAccessi/.I Caracterstiques: ! "obreescriu lscri#t 9instruccions en codi mDquina: anomenat Autoe%ec i afe1ei% macros a la base de dades. - Ouan sobre el document Autoe%ec Cs activat i es crida a la funci Accessi/ que busca els M$I del directori de treball i els infecta. - Ja versi I des#le1a el missat1e +Accessi/ ,'e ne2 Access Macro /irus by FerT1G of $IF@"I-G3

8a#r1>ir2s e, P17er:1i,t

3quest tipus de virus s&n molt escassos. )s poden estendre de dues maneres7 % % 3ctivant*se i buscar PPT per a infectar .opiant*se a les plantilles de Po?erPoint 0inclosa la plantilla en blanc1 per tal dinfectar els que es cre>n. .om es pot suposar, la resta daspectes s&n comuns amb els altres macrovirus daquest tipus. % EAe*:3es si0,i.i#ati2s

Kn e'emple prou significatiu seria el ; apemaster7 Nom: LL?>MRMaster Tamany: 11>= Iytes. Propietats: /irus de Macro #er Lo2erLoint. Infecta LL, Variants principals: LL?>MRMaster Caracterstiques: ! Infecta les #resentacions quan sn creades. - Mentres infecta co#ia el seu codi a ,em#lates com a IJAG7 L.("(G,A,I-G.L-, - $e#enent dun com#tador aleatori a#arei%: +LL,."'a#eMaster v=.1 R1nternal3

52

8a#r1>ir2s e, A*i Pr1

)l programa 3mi Pro t# la particularitat que en guardar un document, enregistra dos ar'ius7 el document de te't 0;3,1 i un ar'iu addicional que cont# macros vinculades 0de'tensi& ;,,1. 3i'+, els virus infecten aquest tipus de fit'ers per tal de buscar ar'ius a infectar. Tot i ser un mtode m#s complicat que el dels macrovirus de Zord, #s efica. )n aquest cas lescassetat #s molt m#s e'agerada que en els de Po?erPoint.

EAe*:3es si0,i.i#ati2s

Kna e'emplificaci& daquests tipus #s7 Nom: 0reen"tri#e Tamany: 11>= Iytes. Propietats: /irus de Macro #er Jotus Ami Lro. Infecta "AM #er mitHD de "MM. Variants principals: 0reen"tri#e Caracterstiques: ! 5ontC * macros: 0reenW"tri#eW/irus InfectWFile "aveFile i "aveAsFile. - (n obrir un document infectat Cs activat i infecta directament tots els "AM del directori de treball. - Ouan infecta un "AM crea un "MM i es 1uarda en ell vinculant el "MM com a ar%iu de macros del "AM. - Ouan se salven els documents aquests tambC sn infectats.

8a#r1>ir2s e, C1re3Dra7

3quest paquet de macrovirus nom#s cont# un virus oficial pel moment. Tot i ai'", les caracter+stiques daquest programa de dibui' s&n semblants a la resta de programes de macros, per la qual cosa no #s destran6ar que en sorgei'in m#s. 3quest programa permet guardar scripts amb le'tensi& .;.. 3mb aquest mtode, el virus el pot infectar els ar'ius, i ai'+ replicar*se.

EAe*:3es si0,i.i#ati2s

53

)n aquest cas ser l!nic e'emple e'istent7 Nom: 0aladriel Tamany: 11>= Iytes. Propietats: /irus de Macro #er 5orel$ra2 Variants principals: 0aladriel Caracterstiques: ! Infecta documents 5"5 com#rovant que no e%istei%i en ells la l6nea .(M /irus. - Go Cs 1aire #erills. (l nom ve de la reina dels elfs en +(l "enyor dels Anells3 de F.....,olTien. - "activa el < de Huny i mostra un te%t en Blfic antic: +Ai JauriZ lantar lassi s&rinen[ yCni &notime ve rQmar aldaron UCni ve linte yuldar vQnier Mi oromardi lisse!miruvreva And&ne #ella /ardo tellumar nu luini yassen tintilar i eleni \mario airetQri!lirinen...3 8a#r1>ir2s *23ti:r10ra*a

3quest tipus de programes malignes, com el nom diu, s&n capaos dinfectar diverses aplicacions a la vegada. Hormalment s&n virus que infecten documents de Zord, )'cel i Po?erPointD Zord i )'celD o Zord i 3ccess. .om podem veure, els programes de m#s !s 0com #s el cas del Zord1 sempre s&n el punt de mira de tots els 8irus*,a<ers.

EAe*:3es si0,i.i#ati2s

)'istei'en bastants virus classificats en aquest apartat. Kn dells #s7 Nom: S?>MR5ross.I Tamany: 1?5< Iytes. Propietats: /irus de Macro #er (%cel i Sord. ,C el codi incri#tat. Variants principals: S?>MR5ross.I S?>MR5ross.5 S?>MR5ross.$ S?>MR5ross.$ 9bis: S?>MR5ross.( Caracterstiques: ! $uu tres factors: SorTbooTW$eactivate $ocumentW-#en i $ocumentW5lose. Ler accedir!'i cal desencri#tar!se. - (limina la #rotecci antivirus d-ffice - 5rea la fulla IooT1 al directori dinici. - (ntre les =:1= #m i les =:25 #m treu un missat1e de salutaci on a#arei% el nom de lusuari.

!ir2s (e #1*:a,Cia
)'istei'en dos tipus de virus de compan6ia, que analitzarem per separat.

!ir2s (e #1*:a,Cia (;8S"DOS

54

" Des#ri:#i-. Per tal de dur a terme la replicaci&, aprofiten una caracter+stica de lintrpret de comandaments .R,,3H5..R,7 @uan es crida un programa i no sespecifica le'tensi&, en ,;*5R;, se'ecuta primer qualsevol programa e'istent del matei' nom per" amb e'tensi& .R, abans que amb e'tensi& )4). 3i'+, un virus de compan6ia es pot gravar en e'tensi& .R, i fer*se passar pel programa )4) per tal dinfectar i actuar. )ls avantatges davant molts altres virus aparei'en de seguida7 no els cal modificar ni data ni capacitat de lar'iu infectat, i a l ora de la desinfecci& nom#s cal eliminar el .R, ocult i el programa infectat queda intacte.

" A#ti>a#i-. .om que aquest tipus de virus tamb# tracta amb programes, poden ser, igual que en els de fit'er, residents o dacci& directa. s per ai'" que lactivaci& del virus, en com! amb els que infecten .R, i )4), es produei' !nicament quan se'ecuta lar'iu 0i quan a la vegada no s a especificat, #s clar, le'tensi& del programa des de 5R;.1

" I,.e##i-. .om e e'posat, la infecci& dun e'ecutable )4) per part dun virus de compan6ia es

produei' de la seg9ent manera7 o o o )n primer lloc crea un nou ar'iu digual nom que la v+ctima per" amb e'tensi& .R,. 3 continuaci& copia una imatge de s+ matei' dins aquest document. Cinalment, establei' latribut docult al fit'er .R, per tal de no ser visible quan lusuari demani un llistat del directori. 3i'+, quan lusuari, per e'emple, vulgui e'ecutar un programa infectat anomenat $Prap .e'e% i escriu en ,;*5R; la instrucci& $Prap %, se'ecutar primer el $Prap .com% i el codi del virus s aur activat sense saber* o. 3les ores, per tal que no es noti cap canvi als ulls de lusuari, el virus cedir el control a l)4) que ser el programa que realment vol+em e'ecutar.

" C1* a#t2aI

55

/actuaci& depn de lar'iu de qu es tracti7 o ;i es tracta dun virus de compan6ia resident, per tal dassegurar*se la infecci& esperar en mem"ria fins que lusuari e'ecuti, copi> o accedei'i a un fit'er )4), provocant que es carregui a la mem"ria de treball i pugui ser llegit pel virus, que dur a terme la infecci&. o ;i es tracta dun dacci& directa, el virus comenar a buscar per s+ matei' i en el moment de ser e'ecutat, el m'im nombre dar'ius )4) per tal de fer*se c"pies i assegurar*se la replicaci& immediata. 3 partir daqu+, cada virus actuar de diferent manera segons les seves pretensions inicials.

" EAe*:3es si0,i.i#ati2s. Kn virus que podria ser representatiu del grup #s7 Nom: AI$" II alies 5om#anion /irus Tamany: )=<* Iytes. Propietats: /irus de 5om#anyia 'olandBs Variants principals: AI$" II Caracterstiques: ! Infecta els (4( enre1istrant una c#ia del virus en 5-M - (n crear el 5-M nou sona una m&sica i treu el missat1e: Your computer is infected with... Aids Virus II - Signed WOP & PGT of utch!r"c#$ (n tancar!se de nou el #ro1rama toca de nou la m&sica i treu un altre missat1e.

!ir2s (e #1*:a,Cia a Bi,(17s $5D$/

" Des#ri:#i-.

3quest tipus de virus s&n molt semblants als de 5R;, perqu el mtode dinfecci& 0canvi de'tensi& de lar'iu infectat1 #s molt similar. Tot i ai'", com veurem, sadapten a lentorn Zindo?s de manera remarcable.

" A#ti>a#i-.

56

.om en els virus de .ompan6ia d,;*5R;, nom#s poden ser activats davant le'ecuci& dun programa infectat.

" I,.e##i-. /a infecci& a grans trets #s la matei'a7 la c"pia de l)4) en e'tensi& .R, i lescriptura daquest !ltim amb les instruccions del virus.

" C1* a#t2aI 3qu+ #s on la diferncia amb els virus de 5R; #s m#s notable, 2a que, en aquest cas, gran part dels virus queden residents en mem"ria, interceptant els programes llegits i infectant* los. Tamb# #s important remarcar que molts dells 0com en el cas del .ompanion1 utilitzen llibreries de Zindo?s per tal de realitzar moltes operacions. s per aquesta ra& que en certs casos la infecci& pot variar respecte els altres virus .ompanion. 3 partir daquest punt, els processos a seguir depenen de cada e'emplar, per" la ma2oria dells aprofiten aquest acc#s a les funcions de Zindo?s de qu disposen.

" EAe*:3es si0,i.i#ati2s. )l m#s popular del seu grup7 Nom: 5om#anion.;;51 alies PJJ5.;;51 Tamany: ;;51 Iytes. Propietats: /irus de 5om#anyia encri#tat. Infectador d(4(. (%istei%en versions residents. Variants principals: 5om#anion.;;51 Companion.2<= Companion.2<3 5om#anion.1>) 5om#anion.1?> 5om#anion.22; 5om#anion.*= 5om#anion.<== Companion.>4 5om#anion.?5] 5om#anion.?>. Caracterstiques: ! Infecta els (4( enre1istrant una c#ia del virus en 5-M - Ler infectar utilitAa rutines de Sindo2s re1istrades a 7(.G(J;2.$JJ i @"(.;2.$JJ. - Go infecta mCs de dos fit%ers en el directori de treball - $uu el te%t: *.EXE.COM DeleteFileA3

!ir2s (e .itAers EAT

" Des#ri:#i-.

57

.om sabem, els ar'ius :3T s&n aquells que tenen com a funci& lautomatitzaci& de comandaments del sistema. )n la ma2oria de sistemes operatius, per e'emple, e'istei' el 3KTR)4)..:3T, un ar'iu que instal(la programes d,;*5R; accedint al .R,,3H5..R,. .om que aquests ar'ius estan escrits en un llenguatge molt senzill, no #s destran6ar que apareguessin virus daquest tipus. )ls virus :3T es troben en ar'ius daquest tipus i tamb# ninfecten. 3ra veure com actuen.

" A#ti>a#i-. )n aquest cas, lactivaci& nom#s #s deguda a le'ecuci& dar'ius :3T. Hom#s en algun cas, els virus :3T es copien en format .R, durant la infecci&, per" en aquest cas el focus tamb# aur estat un ar'iu dautomatitzaci& 0:3T1.

" I,.e##i-. /a forma dinfectar daquests virus #s sempre la c"pia del seu codi al principi dun ar'iu :3T. /a seva recerca depn de molts punts, entre ells el fet de trobar*se resident en mem"ria o no.

" C1* a#t2aI 5epn molt del tipus de virus. ;i es tracta dun resident 0el :3T,3H, per e'emple1, pot copiar*se al disc dur i e'ecutar*se a s+ matei', quedant ai'+ resident en mem"ria. )n aquest cas, el virus pot fer !s de les interrupcions de 5R; per tal de comprovar si els ar'ius carregats a la mem"ria de treball duen la cadena $fec o% 0pr"pia de tots els :3T1. 3i'+ #s com infecta ar'ius llegits pel sistema, i se'pandei' copiant el propi codi a linici dels ar'ius. ;i, en canvi, el virus no #s resident, pot utilitzar diferents mtodes. Kn dells #s, per e'emple, la recerca dar'ius :3T 2a en el moment de la seva e'ecuci&. 3i'+ assegura la seva propagaci&. Podem veure, doncs, que gaireb# tots els virus que infecten ar'ius nom#s tenen dos mtodes dinfecci&7 controlant interrupcions des de mem"ria 0resident1 o b# propagant*se

58

directament 0dacci& directa1. I #s que un virus que vulgui sobreviure no t# gaires m#s opcions.

" EAe*:3es si0,i.i#ati2s. Hom#s e'istei'en prop duna vintena daquests programes malignes. 8egem*ne un e'emple gens perill&s7 Nom: IA,RIatman.1)< Tamany: 1)< Iytes. Propietats: /irus IA,. .esta resident en memria. Variants principals: Iatman.1)< Caracterstiques: ! (n e%ecutar!se es co#ia amb el nom I.5-M i e%ecuta aquesta c#ia quedant resident a la .AM. A continuaci borra el I.5-M del disc dur 9asse1urant!se de no ser descobert:. - (n memria controla les interru#cions #er com#rovar si els documents que lle1ei% 9Cs a dir els que #assen a la .AM: #osseei%en +^ec'o3. (n cas afirmatiu es co#ia a linici. - Go tenia ca# efecte destructiu.

!ir2s Bi,S#ri:t
" Des#ri:#i-. )ls virus Zin;cript utilitzen un con2unt de propietats de Zindo?s anomenat Bi,(17s

S#ri:ti,0 H1st que permet programar i e'ecutar automatitzadament comandaments sota

Zindo?s JNYJIYHT. )ls codis malignes s&n creats amb e'tensi& 8:;., i tamb# s&n capaos dinfectar els Qava;cript 0.Q;1, entre altres. 3quest con2unt de propietats sincorporen automticament en la instal(laci& de Zindo?s, per la qual cosa la infecci& est assegurada.

" A#ti>a#i-. /e'ecuci& del fit'er infectat 08:;, Q; i Z;C ma2oritriament1 #s l!nic cam+ possible per tal dactivar el virus. Tot i semblar e'tensions molt poc freq9ents, per Internet s&n m#s comunes, i alguns virus poden despistar lusuari mostrant una e'tensi& en ma2!scula i le'tensi& vertadera en min!scula. s el cas del Ilove6ou, que es troba en un attac 0missatge ad2unt1 en forma de I*/R8)*`RK.T4T.vbs.

" I,.e##i-.

59

)ls mtodes dinfecci& varien molt segons lespcie. Ai a virus dscript que sobreescriuen el principi dels fit'ers infectats amb el seu codi, daltres els substituei'en totalment... )n tot cas, les propietats de Zindo?s tamb# els permeten accedir a funcions bastant perilloses pel nostre P..

" C1* a#t2aI )ls virus no presenten un comportament com!, sin& que varien segons la seva funci&7 n i a que es transmeten per correu, altres per fit'ers en els disquets... s per ai'" que els procediments que seguei' 0sempre limitat per l!s de les propietats de Zindo?s1 poden ser enormement diferents.

" EAe*:3es si0,i.i#ati2s. Tot i que ne'istei'en pocs, sembla que el grup tendei' a ampliar*se. Per ai'", posar# com a e'emple daquest cas un espcimen que provoc molt denrenou el maig del BEEE7 l Ilove6ou.

60

Nom: /I"RJoveJetter alies Jovebu1 o bC I!Sorm.JoveJetter cone1ut #er IJ-/(U-@. Tamany: <1>1 Iytes. ?ri!en i Creador: Manila Fili#ines. +"#yder3 Propietats: Aquest virus Cs una barreHa entre cuc dInternet troiD i virus de Sinscri#t. Variants principals: Unix.LoveLetter, LoveLetter.A, LoveLetter.B, LoveLetter.C, LoveLetter.D,
LoveLetter.E, LoveLetter.F, LoveLetter.G, LoveLetter. , LoveLetter.I, LoveLetter.!, LoveLetter.", LoveLetter.L, LoveLetter.#, LoveLetter.$, LoveLetter.%, LoveLetter.&, LoveLetter.', LoveLetter.(, LoveLetter.), LoveLetter.T, LoveLetter.U, LoveLetter.V, LoveLetter.*, LoveLetter.+, LoveLetter.AB, LoveLetter.A!, LoveLetter.A', LoveLetter.A), LoveLetter.BB, LoveLetter.BD, LoveLetter.B , LoveLetter.CD

E#ectes reals: !

Milions dusuaris 1overns i em#reses 9entre elles Microsoft: resulten atacats #el virus als volts del mai1 del 2===. (n #art lesfor8 econmic #er #re#arar lefecte 2=== 'avia #rovocat una bai%a en les mesures de se1uretat. Ja #ro#a1aci #er mitHD de Microsoft -utlooT 9el #ro1rama mCs utilitAat de 1esti de correu electrnic: #erHudica seriosament Microsoft. Ler la seva #art lem#resa de Iill 0ates es limita a no atendre el #roblema. Jes em#reses antivirus resulten afavorides #el boom v6ric. (l 1overn Cs criticat #er la seva lentitud a#arent en reaccionar davant el #roblema. (n els altres #aNsos es formen comitBs de crisis #er tractar!lo i analitAar!lo en tots els as#ectes. (l 1overn es#anyol es com#romet a #osar mesures sobre atacs de virus a 1ran escala. (s fa una quimera a Lar6s #er tractar #roblemes de cibercriminalitat. (l virus utilitAa el correu electrnic #er la seva auto#ro#a1aci enviant!se dins de missat1es amb el tema 9subHect: -L?VE:?@. i amb el contin1ut Aindly c'ecA t'e attac'ed L?VELETTE/ comin! #rom me.. Associat al missat1e senvia un ar%iu amb el nom +-$L?VE$ :?@.TBT. 1s3. Ja utilitAaci de maH&scules 9com 'em e%#licat: estD #ensat #erquB lusuari que va1i rD#id obri lar%iu sense adonar!se de la vertadera e%tensi. @na ve1ada e%ecutat fa diferents accions: "i e%istei% lentrada al re1istre +"#E$%&'RRE(T%')ER*)oft+are*Microsoft*,indo+s )criptin- "ost*)ettin-s*Timeout3 lestablei% a =. (s 1uarda una c#ia de s6 matei% a: \DIR\Win32DLL.vbs. \DIR\MSKernel32.vbs i \DIR\LOVE-LETTER- OR!O".T#T.vbs on $I. Cs el directori de Sindo2s. (stablei% les entrades a#ro#iades del re1istre de Sindo2s #er tal de #oder e%ecutar!se automDticament en arrancar el L5. Atribuei% a la #D1ina inicial de l(%#lorer una adre8a mali1na. "i *in+,T32-e.e e%istei% atribuei% la #D1ina a un e%ecutable mali1ne #rocedent dInternet. "i el *!/-(012+!3-e.e e%istei% se%ecutarD en cada arranc.

Caracterstiques:!

3%

G%

C$
H%

:%

61

I% Im#rimei%: T,is T#L -ile nee. Active+ Control To enable to rea. t,is T#L -ile. &lease /ress 0102E)010 button to Enable Active+ - "i

lActive4 Cs e%ecutat realitAa els #assos 2 i ;. D$ @tilitAa la MALI #er accedir a -utlooT i enviar!se a les adreces dis#onibles de la llibreta de direccions 9tBcnica %e"pfrog:. 3$ (numera les unitats i infecta ar%ius:
/01). /01E. /2). /2)E. /&&). /,)". /)&T. /"TA. /2P3 o /2PE3 sn substituNts #er una c#ia del virus. A

continuaci sota un ar%iu di1ual nom es co#ia el codi #er amb e%tensi /I". Ler e%em#le: "i el "-J.FL0 Cs infectat serD substituNt #el codi del virus i a#arei%erD el "-J.FL0.vbs. "i troba ar%ius ML2 o ML; els dei%a ocults i en fa una c#ia amb el seu codi a dins i de%tensi /I". "i troba els ar%ius 4!5632-7378 4!56-!/!8 265!PT-!/!8 4!56-9:P o 4:!/;32-9:P modificarD o crearD el 265!PT-!/! en el directori on es trobin #er tal que cada ve1ada que es vul1ui utilitAar la I.5 9o via c'at: senviN una c#ia del :<=7-:7TT75-+<5-><0-htm amb el virus.

Desin#ecciE: .ecordem els ar%ius de%tensi /I" o S"P es #erden sense remei. ,ot i ai% 'i 'a uns #assos a se1uir #er desinfectar!se manualment: %
o o o

(liminar els se1Eents re1istres:

"#E$%&'RRE(T%')ER*)oft+are*Microsoft*,indo+s )criptin"ost*)ettin-s*Timeout "#E$%L4&AL%MA&"I(E*)oft+are*Microsoft*,indo+s*&urrent0ersio n*Run*M)#ernel56 "#E$%L4&AL%MA&"I(E*)oft+are*Microsoft*,indo+s*&urrent0ersion*Run)er vices*,in567LL "#E$%&'RRE(T%')ER*)oft+are*Microsoft*Internet E8plorer*Main*)tart Pa-e

9aqu6 nomCs: L40E9LETTER9 Iuscar els ML2 i ML; ocults i #osar!los visibles "aconsella tambC borrar els FL0 i FL(0 infectats. Iorrar la car#eta MI" $-5@M(G,-" (liminar qualsevol missat1e de tema IJ-/(U-@

:4R/$4'/"TM.;/01).;/01E.;/2).;/2)E.;/&)).;/,)".;/)&T.;/"TA:

% % % %

!ir2s (;e,33aF 1 (ire#t1ri

" Des#ri:#i-. Per tal que es pugui e'ecutar un ar'iu cal que el sistema 0per mit2 de la C3T1 localitzi la

posici& de lar'iu dins el disc iYo la posici& de tots els seus fragments. 3i'+, el primer que cerca un sistema en e'ecutar un )4) 0per e'emple1 #s ladrea del disc on es troba el primer cl!ster per tal de carregar*lo a la mem"ria. Kn virus denlla o directori est suficientment avanat com per modificar aquesta adrea per tal que apunti a lencapalament del virus. 3i'+

62

sactiva el virus sense necessitat dinserir*se en el fit'er ni carregar despai innecessari la mem"ria. )n aquests casos, en fer un ;candis<, es detectaran molts errors causats per la modificaci& dencapalaments dar'ius. Tot i ai'", el millor #s no reparar els errors, 2a que si no pots perdre totalment les dades que an estat infectades.

" A#ti>a#i-. 3quest #s un cas e'cepcional dactivaci&, 2a que ens trobem davant un tipus de virus molt desenvolupat que, per sort, n i a pocs e'emplars. /ar'iu transmissor primari pot ser de

naturalesa diversa 0ents com a qualsevol dels esquemes anteriorment e'plicats1. Per" lactivaci& del virus quan un ordinador a estat infectat es pot produir amb @K3/;)8R/

ar'iu del disc dur, 2a que tots posseei'en adreces que el virus pot desviar.

" I,.e##i-. )n la infecci&, el virus es guarda en al primera posici& lliure que troba en el disc, atribuint*la com a defectuosa. @uan infecta un disquet, en canvi, el virus es guarda sempre a l!ltim cl!ster. Tamb# encripta ladrea original de lar'iu que infecta i el guarda en un lloc del disc no utilitzat. 3 continuaci&, substituei' ladrea inicial per una que es dirigei' al principi del virus. 3i'+, quan el virus sactiva, realitzar les funcions que li agin estat programades i, per mit2 de la c"pia encriptada, tornar a redireccionar ladrea per apuntar de nou al fit'er demanat. 3 partir daqu+, segons els esquemes anteriors en virus de fit'er 0resident o dacci& directa1, el virus anir infectant ar'ius del disc dur.

" C1* a#t2aI )n el funcionament utilitzen les tcniques dels virus de fit'er 0residents o dacci& directa1. )n aquest cas, per", la seva presncia #s men6s perceptible, 2a que el fet de no guardar cap informaci& en els documents infectats provoca que no sinflin ni es canvi> la data o ora de modificaci&. Per aquest fet, s&n m#s dif+cils de localitzar.

63

" EAe*:3es si0,i.i#ati2s. Kn espcimen molt distintiu daquest grup el trobem en el 5IU*B C3T7 Nom: $ir!2 FA, Tamany: 1=2* Iytes. Propietats: /irus denlla8 o directori resident en memria i amb el codi encri#tat. @tilitAa tBcniques "tealt' #er ocultar!se. Infecta 5-M (4( 5-MMAG$.5-M i altres ar%ius. Variants principals: $ir!2 FA, $ir!2 FA,.?1= Caracterstiques: ! @tilitAa la taula FA, #er tal daccedir a les adreces del disc dels ar%ius i infectar com un virus denlla8. - Losseei% una 1ran ca#acitat dinfecci 9molts ar%ius en #ocs se1ons: i Cs molt dif6cil de detectar #er les tBcniques de camuflat1e que utilitAa. - (n arrancar el sistema amb un disc dur o disquet infectat el virus #assarD a la memria de treball Ha que tambC s'auran lle1it els ar%ius de confi1uraci infectats. - Ja memria dis#onible queda reduNda en 1552 bytes. - "i se%ecuta l"candisT o el 5'TdsT 9des de $-": a#arei%eran errors dentrades creuades de tots els fit%ers infectats diri1its al matei% cl&ster 9el que contC el virus:.

!ir2s *23ti:artite
" Des#ri:#i-. /a seva caracter+stica principal #s que poden realitzar infeccions combinant diferents

mtodes e'plicats7 infectant )4) i .R, i al ora sectors darranc de disquets o discs durs, o b# infectar macros i al matei' temps ar'ius e'ecutables... 3questa particularitat provoca que tinguin una alta difusi&. 3ctualment, segons el percentatge de virus que m#s predomina, resulta m#s efectiu un virus multipartite resultant de combinar infeccions de macro amb aquelles en qu sinfecta ar'ius e'ecutables de Zindo?s JN. 3i'+ l'it del virus est assegurat.

" A#ti>a#i-. Hom#s depn del con2unt de tcniques que utilitzi per infectar. 3i'+, per e'emple, un virus que infecti .R, i )4) i a la vegada els sectors darranc, tant es podr activar en introduir el disquet infectat quan sinicia el sistema com e'ecutant ar'ius daquestes e'tensions que el disc pugui contenir.

64

" I,.e##i-. .om en lactivaci&, la infecci& depn !nicament dels mtodes que combina, i coincidir sempre amb la uni& de les dues tcniques de propagaci& que utilitzarien virus simples per separat.

" C1* a#t2aI )l funcionament del virus dependr de cada espcie en concret. Tot i ai'", lactuaci& daquest tipus de virus no acostuma a ser molt comple'a 02a que lesfor del programador a recaigut en la seva propagaci&1. Per" ai'" no vol dir que no e'istei'in virus perillosos daquest tipus7 calen molt poques instruccions per causar un desastre.

" EAe*:3es si0,i.i#ati2s. 3nalitzarem B e'emples, un de cada tipus de virus multipartite7

Nom: Fli#.215;.A alies Fli# Tamany: 215; Iytes. Propietats: Multi#artite. Infecta el sector darranc del L5 9MI.: i els ar%ius de #ro1rama 95-M i (4(:. .esta resident en memria. Variants principals: Fli#.215;.A Fli#.2;*; Fli#R-microm Fli#R-microm Ioot Caracterstiques: ! (l tamany del disc dur es veu reduNt #er tal de 1uardar en un sector de memria no dis#onible #er lusuari una c#ia de la MI.. - (l se1on dia de cada mes el virus dona la volta totalment a la #antalla 9de dalt a bai% i de dreta a esquerra: i canvia dordre dels carDcters. 9(%: +5:VSindo2sV"ystem3 seria +metsy"Vs2odniSV:53: - Ja maHoria de variants sn #olimorfes.

Nom: S?>MRPeat'en Tamany: 1>;5) Iytes. Propietats: Multi#artite. Ms un virus de macro #er a la ve1ada infecta el (%#lorer.e%e i documents de Sord. Variants principals: S?>MRPeat'en Caracterstiques: ! Ms un virus del Funy del 1??? que contC una nova tBcnica #er tal que #u1ui infectar ar%ius sense necessitat dobrir!los. Ler fer!'o infecta el (%#lorer.e%e i #er mitHD dell cerca tots els documents $-5 del disc dur i els infecta. - (l virus senre1istra en el disc com Peat'en.vdl en el directori de Sindo2s.

!ir2s *23ti:3ata.1r*a

65

" Des#ri:#i-. Cinalment i a els virus multiplataforma, que no utilitzen tcniques especials ni altres

mtodes dinfecci&, sin& que inclou tots aquests que es poden desenvolupar sota diferents plataformes o sistemes operatius. Tot i que de forma accidental, els primers components daquesta secci& an estat els virus de macro, 2a que depenen !nicament de le'istncia de

,icrosoft Rffice, no pas del sistema operatiu des don sarranqui. )ncara que sembli una propietat bastant corrent, #s molt cost&s crear un virus daquest tipus. )l que #s possible #s crear virus que funcionin sota emuladors 0o simulacions1 dun matei' sistema operatiu instal(lats en una plataforma diferent 0per e'emple, un virus de Zindo?sJN pot funcionar sota ,acintos si est instal(lat i activat lemulador per

Zindo?sJN1. Tot i ai'", com veurem, l )speranto va ser el primer en incloure aquesta propietat.

" A#ti>a#i-5 I,.e##i-5 A#t2a#i-. 5epn e'clusivament de la classe de virus a qu correspongui.

" EAe*:3es si0,i.i#ati2s. Per e'emplificar aquest grup, e'plicarem les caracter+stiques de l )speranto.

Nom: (s#eranto.*>;; Tamany: *>;; Iytes. Propietats: Multi#lataforma. Lot actuar sota $-" Sindo2s ;.11 Sindo2s ?5R?) Sindo2s G, i Macintos' 9Mac -s:. .esta resident en memria. Infecta 5-M (4( i 5-MMAG$.5-M. Variants principals: (s#eranto.*>;; Caracterstiques: ! Ms com#ost #er diferents mduls un #er cada sistema o#eratiu. ,ots ells estan vinculats a un mdul dentrada a #artir del qual quan el codi Cs e%ecutat el virus decidei% quina Cs la #lataforma instal_lada i #er tant quin mdul 'a dactuar. - (l nom dEsperanto 9llen1uat1e universal que es #retenia crear: ve del fet que el virus #retenia ser universal 1rDcies a la 1ran #ossibilitat dada#taci sota qualsevol sistema o#eratiu. - A la maHoria de #lataformes no #rovoca danys e%ce#te en Sin;2. - (l 2< de Funy 9llan8ament del 1r llibre d(s#eranto el 1))>: surt un #etit #oema a la #antalla traduNt en An1lBs i (s#eranto.

U, eAe*:3e :rG#ti#9 e3 !ir2sA3:ha2)$

66

Kna vegada avent e'plicat tota la branca de tipologia, m a interessat e'posar un recull dalgunes de les tcniques en un virus e'perimental que que aquest prototip e programat. .al remarcar, doncs,

a estat dissen6at !nicament per le'posici& dalguns mecanismes

abituals que utilitzen els virus, no pas per la seva difusi&.

1matge del =irus *lp"aGC4 durant la seva activaci!. 3IDDD decimals del nombre pi $iltren la pantalla. El codi maligne presenta una partida descacs amb un mat en G i deixa J oportunitats. ;i les $alla, es procedeix a una simulaci! de $ormataci! del disc dur. Kn altre punt que em de tenir en compte #s el del taman67 els virus, en general 0a

e'cepci& dels de macro, entre altres1 utilitzen el llenguatge mquina 0o e'adecimal7 -V d+gits diferents1 per tal de reduir el seu espai i poder, per e'emple, inserir*se com a part del codi dun programaD en l3lp aBMJ, per", e utilitzat el 8isual :asic V.E per tal de codificar les

funcions, per" aquest programa est especialment dissen6at per fabricar utilitats visibles en lentorn de Zindo?s. s per ai'" que per al seu funcionament necessita alguns ar'ius de configuraci& del sistema, aspecte que infla el seu taman6 fins a ocupar gaireb# tot un disquet 0una e'tensi& totalment irreal per qualsevol virus1.

67

Tot i ai'", com que es tracta dun espcimen creat !nicament per a e'emplificar els processos generals dels virus, el fet que sigui bastant improbable la seva e'pansi& no t# gaire rellevncia. )n primer lloc, doncs, comenar# per una fit'a tcnica del 3lp aBMJ, on se'posi tots els processos que seguei' i els mecanismes que utilitza. Nom: Al#'a2>? Tamany: 1>2=;2 Iytes 9le%ecutable aNllat:. Creador: Maniac 5om#any. Ki##er Irot'ers. Propietats: .esta resident en memria com un #ro1rama de mCs. Go infecta ar%ius sin que es 1uarda en els disquets directament com a #ro1rama. Funciona sota Sindo2s en versions es#anyoles. -n#ecciE: ! (l codi mali1ne sama1a sota la#aren8a duna demo de ,e!a/ally com#rimida en 2 Ai#s dautoe%tracci. (l #rimer Ai# contC el virus i ar%ius accessoris mentre que en el se1on 'i 'a llibreries necessDries de Sindo2s. (%istei% un tercer ar%iu: un IA, #er descom#rimir!los. Ouan lusuari im#rudent e%ecuta el IA, acce#tant les descom#ressions sinstal_la el virus en +5:VArc'ivos de Lro1ramaV".allyV3 #er mitHD del "e1a.ally1 i els ; ar%ius de sistema a 5:V`M-$( $( SIG$-S"aV"ystemV #er mitHD del "e1a.ally2. @na ve1ada se%ecuta el dro##er $emo".ally.e%e des del directori corres#onent el codi realitAa les se1Eents accions: 1. Iusca en lAutoe%ec.bat la instrucci necessDria #er saber si 'a estat infectat. "i Ha 'a estat infectat #assa al mode ocult dactuaci. (n cas contrari comen8a la in#ecciE. 2. (s co#ia a s6 matei% a larrel del disc dur en mode ocult. $emana tambC en el disquet els ar%ius com#rimits #er tal de co#iar!los a la car#eta "U",(M. ;. 5rea la car#eta oculta ,:,FDLL al directori de Sindo2s. *. 5o#ia lAutoe%ec.bat en el matei% directori com a -ll.dll i codifica cada carDcter amb un nb AG"I mCs 9Ha que Cs la 1c ve1ada que sinicia:. 5rea el Nin.dll a +5:V3 #er tal de com#tar el nombre de ve1ades que sinicia lordinador des#rCs de la infecci. 5. Afe1ei% a lAutoe%ec ori1inal una instrucci #er tal que e%ecuti 4o?e @i"ibleAPrimera e.e$u$iBCen cada arranc un ar%iu IA, que crearD un accCs directe a +5:V`Mode de Sindo2saVMen& InicioVLro1ramasVInicioV3 que va al virus. Ai%6 en e%ecutar!se restarD resident en memria. <. Elimina uns 15 #ro1rames anti irus diferents e%istents al disc dur si els troba. Aquesta tBcnica Cs #r#ia dels Retrovirus. >. Mostra un formulari amb una barra de #rocCs simulant la instal_laci dels assistents. Al final del #rocCs treu un error lle1int ar%ius del sistema. A #artir daqu6 queda ocult. ). Lassa les tasques a un comptador resident que cada 2== se1ons e%ecutarD un conHunt de rutines que faran com#rovacions en el sistema #er si es dna el moment de%ecutar el P"&'o"d.

68

?. (n el cas d'aver trobat la cadena +,can)nt.1at3 a lAutoe%ec se1uei% els #assos que se1uiria si esti1uCs infectat i el sistema arranquCs de nou 9a #artir del #unt 1=: 1=. Descodi#ica el Ill.dll restant tants nbs AG"I com asteriscs 9d: <$ult 4o?e A, a Dartir ?el 1r reini$iC contin1ui el Gin.dll. Afe1ei% un d mCs a aquest ar%iu i torna codi#icar!lo amb un nb AG"I mCs. 11. Iorra laccCs directe de Gintest.lnA en el +Men& Inicio3 #er tal docultar la seva #resBncia. 12. Finalment tambC cedei% al control a un comptador. )ctuaciE: ! .utines que e%ecuta cada 2== se1ons: 1. (n #rimer lloc com#rova que no 'a1i arribat el moment de%ecutar al1un payload. Ler fer!'o controla el nombre dinicialitAacions des#rCs de la infecci: "i Cs 2 canvia l'orari i data actual #el C2 de Desem1re del 5=44 a les =:==X si sn 5 busca a la car#eta +Mis documentos3 els TBT que 'i 'a1i: als tres #rimers substituei% els es#ais en blanc #er +e3 i els altres els mou a la car#eta +5onfi1en3 del directori de Sindo2s amb el nom codificat un nombre AG"I mCs i amb e%tensi PPPX si sn C o mCs e%ecutarD la c&rre!a de#initi a 9que e%#licarem a continuaci:. 2. (n se1on lloc sintenta 1uardar en un disquet. "i no n'i 'a ca# a la unitat el demanarD i al ca# de 2 se1ons es tancarD la finestra. Aquest bucle estarD ama1at com un error estrany de Sindo2s. Ja tBcnica Cs im#ossible de millorar #er la senAilla ra que el /isual Iasic no #ermet cedir a un #ro1rama la informaci de les lectures de disquets #er interrom#re!les. "i e%istei% un disquet a la unitat mira si tC la ca#acitat lliure suficient #er 1uardar!s'i 9que succeirD sols en un 2f dels casos:. "i no Cs ai%6 el #ormateHa en mode rD#id 9utilitAant funcions de llibreries de Sindo2s: i s'i 1uarda i1ualment. ;. Finalment tambC e%em#lifica una tBcnica molt utilitAada #els cucs i els conills que Cs la de replicaciE. (n aquest cas #er nomCs 'o fa en c#ies de s6 matei% dins una matei%a car#eta 9"U"W$JJ: #er tal que si1ui mCs senAilla la desinfecci. Jactivaci final es #roduei% al ca# de 1== se1ons d'aver iniciat #er ;c ve1ada 9o mCs:: 1. Ms #recedida #er un missat1e dav6s a lusuari: el #re#ara #er resoldre una #artida descacs i lavisa de no utilitAar el bot .("(, #er reiniciar Ha que quedaria infectat i es tornaria a e%ecutar el #rocCs. A #artir daqu6 tot i que lusuari vul1ui tancar lordinador el codi mali!ne no li permetr& fins que no 'a1i acabat. 2. (s mostra a #antalla com#leta un taulell descacs amb un mat en 2 que s'a de resoldre. A mCs la #antalla Cs filtrada #er 2>=== decimals reals del nombre #i que im#ossibiliten la visi de la #artida i 'i 'a un quadre que a#arenta mostrar lavaluaci de les Hu1ades. ;. "i la falla ; ve1ades a#arei% una simulaciE de #ormataciE del disc dur. A 1R; del #rocCs fin1ei% lM"! $-" mostrant errors 1enerals fins que un missat1e avisa que 'a estat una broma.

69

*. A #artir daqu6 s'i #ot arribar tan encertant les Hu1ades del mat com no. (l virus mostra un poema a la #antalla on sacomiada i tadvertei% de #rote1ir!te de la resta de virus mCs destructors. Aquesta finestra es tanca quan sacaba el te%t. 5. (n aquest #unt quan se%ecuta de nou la rutina de com#rovaci el virus #rocedei% a la desinstalIlaciE. 5onsistei% en eliminar tot el que el virus 'a modificat 9restaurar ar%ius a Mis documentos restaurar lAutoe%ec eliminar car#etes...: dei%ant nomCs la car#eta inicial del dro##er. Al final treu un missat1e on e%#lica que s'a desinfectat #er que cal eliminar el virus del directori arrel 9Ha visible: i restaurar la data i 'ora correctes 9Ha que el virus no #ot controlar el tem#s des que el modifica #erquB no accedei% al rellot1e intern:. <. (l #ro1rama es tanca definitivament.

Per tal de comprendre amb e'actitud els processos que seguei', ad2unto el codi complet del virus, dividit i e'plicat en formularis i funcions corresponents. ,agradaria advertir que no em faig responsable de la manipulaci& 0maliciosa o no1 de les instruccions, 2a que s&n e'posades !nicament amb caire didctic. )n un mbit m#s tcnic, cal remarcar que els ap"strofs introduei'en un te't e'plicatiu 0en blau1. Per seguir correctament el curs de'ecuci& del codi, em de saber que el programa comena a iniciar el primer formulari carregant les instruccions del Corm /oad, les del Timer 0pel temps1, i les variables del ,"dul.

Cormulari-7 Imatge 0amb ob2ectes visibles i ocults17

.odi7
<Dtion 7.Dli$it E,T7/6!FG Tote" le" @ariable" e"tan tran"$rite" en nota$iB hHn%ara- ,i.I "i%nifi$a Jue el" tre" Drimer" $arK$ter" ?e $a?a @ariable e"tan ?e"tinat" a--E--- la ?efini$iB ?el tiDu"- 7l" nom" "Bn llar%" i e.Dli$atiu"

70
E/otaG a $a?a fun$iB i DroDietat hi haurK un $ontrola?or ?Eerror" Der tal ?e "altar a la "e%Lent in"tru$$iB A5e"ume /e.tC aban" ?e fer @i"ible la infe$$iB Pri@ate 2ub +ormM;e&Pre""A;e&,"$ii ," !nte%erC <n 7rror 1oTo 75517/ E(u% Aerror inten$ionatC realitNat Der tan$ar el @iru" ?urant el Dro$O" ?Einfe$$iB @i"ible E+un$iB ?iri%i?a Hni$ament al =iru"-4aPer Qim T ," 2trin% R 1 T S 6hrA;e&,"$iiC !f T S TUT Then 7n? 7n? !f 7.it 2ub 75517/G 5e"ume /e.t 7n? 2ub ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pri@ate 2ub +ormM:oa?AC <n 7rror 1oTo 75517/ E,nalitNa el "i"tema oDeratiu i a@alua ?e" ?Eon "Ee"tK e.e$utant E(u"$a "i lVho"te Wa e"tK infe$tat8 i "i no O" ai.X8 e" $oDia i $omenYa la infe$$iB E2i Wa e"tK infe$tat8 $ri?a a ?e"$o?ifi$a$iB i $o?ifi$a$iB ?e lV,uto7.e$ i Da""a a normalitat !ni$ialitNa?orM?eM=ariable" !f ,DD-Path < T6GZT Then Te.t-:oa?+ile 2tr7.e$utable,utoe. Te.t-+in? 2tr(at42Q<2 6liDboar?-2etTe.t Te.t-2elTe.t !f 6liDboar?-1etTe.tAC S 2tr(at42Q<2 Then Qe"$o?ifi$a$io5eini$i !nf*in 6o?ifi$a$io 7l"e 5eintentG <n 7rror 1oTo 7rr6oDia +ile6oD& ,DD-Path [ TZT [ 2trTran"mi""or+loDD&8 2trTran"mi""orP6 +ile6oD& ,DD-Path [ 2tr,$$e"Qire$te=iru"8 T6GT \ 2tr,$$e"Qire$te=iru" +ile6oD& ,DD-Path [ 2tr(at42Q<2+loDD&8 2tr(at42Q<2 +ile6oD& 2tr7.e$utable,utoe.8 2tr6oDia<ri%in,utoe. +ile6oD& T,GT \ 2tr]iD6omDre""io18 T6GZT \ 2tr4o?e*in?o#" \ TZ2>2T74T \ 2tr]iD6omDre""io1P6 +ile6oD& T,GT \ 2tr]iD6omDre""io28 T6GZT \ 2tr4o?e*in?o#" \ TZ2>2T74T \ 2tr]iD6omDre""io2P6 +ile6oD& T,GT \ 2tr(at6omDre""io8 T6GZT \ 2tr4o?e*in?o#" \ TZ2>2T74T \ 2tr(at6omDre""ioP6 <n 7rror 1oTo 75517/ <"f-6reate+ol?er T6GZT \ 2tr4o?e*in?o#" \ TZ2>2MQ::ZT 2et 6arD S <"f-1et+ol?erAT6GZT \ 2tr4o?e*in?o#" \ TZ2>2MQ::ZTC 6arD-,ttribute" S 9i??en 6o?ifi$a$io !nfe$$io 7n? !f 7l"e Te.t-:oa?+ile 2tr7.e$utable,utoe. Te.t-+in? 2tr(at42Q<2 6liDboar?-2etTe.t Te.t-2elTe.t !f 6liDboar?-1etTe.tAC S 2tr(at42Q<2 Then Qe"$o?ifi$a$io5eini$i !nf*in 6o?ifi$a$io 7l"e 5eintent6G <n 7rror 1oTo 7rr6oDia6 +ile6oD& 2tr7.e$utable,utoe.8 2tr6oDia<ri%in,utoe. +ile6oD& T,GT \ 2tr]iD6omDre""io18 T6GZT \ 2tr4o?e*in?o#" \ TZ2>2T74T \ 2tr]iD6omDre""io1P6 +ile6oD& T,GT \ 2tr]iD6omDre""io28 T6GZT \ 2tr4o?e*in?o#" \ TZ2>2T74T \ 2tr]iD6omDre""io2P6 +ile6oD& T,GT \ 2tr(at6omDre""io8 T6GZT \ 2tr4o?e*in?o#" \ TZ2>2T74T \ 2tr(at6omDre""ioP6 <n 7rror 1oTo 75517/ <"f-6reate+ol?er T6GZT \ 2tr4o?e*in?o#" \ TZ2>2MQ::ZT 2et 6arD S <"f-1et+ol?erAT6GZT \ 2tr4o?e*in?o#" \ TZ2>2MQ::ZTC

71
6arD-,ttribute" S 9i??en 6o?ifi$a$io !nfe$$io 7n? !f 7n? !f 7.it 2ub E6analitNa$iB ?Eerror"G error" Der falta ?e ?i"Juet ?e" ?Eon $oDiar la $omDre""iB %eneral E7.e$utat ?e" ?e ?iferent ?ire$tori a T6GT 7rr6oDiaG !f 7rr-/umber S 71 Then (&t7rror5e$er$a6omDrimit" S 1 2tr4"%bo. S 4"%(o.ATPara Dro$e?er a la in"tala$iBn "e reJuiere Jue el ?i"Juete e"tO ?entro ?e la uni?a?- Por fa@or8 intro?uN$a el ?i"Juete-T8 @b5etr&6an$el8 T7l ?i"Do"iti@o no e"t^ li"toTC !f 2tr4"%bo. S @b5etr& Then (&t7rror5e$er$a6omDrimit" S 0 1oTo 5eintent 7n? !f !f 2tr4"%bo. S @b6an$el Then 7n? 7l"e 5e"ume /e.t 7n? !f E7.e$utat ?el" ?e T6GT 7rr6oDia6G !f 7rr-/umber S 71 Then (&t7rror5e$er$a6omDrimit" S 1 2tr4"%bo. S 4"%(o.ATPara Dro$e?er a la in"tala$iBn "e reJuiere Jue el ?i"Juete e"tO ?entro ?e la uni?a?- Por fa@or8 intro?uN$a el ?i"Juete-T8 @b5etr&6an$el8 T7l ?i"Do"iti@o no e"t^ li"toTC !f 2tr4"%bo. S @b5etr& Then (&t7rror5e$er$a6omDrimit" S 0 1oTo 5eintent6 7n? !f !f 2tr4"%bo. S @b6an$el Then 7n? 7l"e 5e"ume /e.t 7n? !f 75517/G 5e"ume /e.t 7n? 2ub ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pri@ate 2ub Timer1MTimerAC <n 7rror 1oTo 75517/ E5ellot%e Drin$iDalG le" in"tru$$ion" e" troben en un bu$le $ontinu E7"tablei. un temD" intermitent ?Ein"De$$iB ?e lVho"te A$a?a 200 "e%on"C E2i lVho"te e"tK infe$tat o$ulta el +orm Drin$iDal E2i no8 $ontrola el" mi""at%e" ?e la infe$$iB @i"ible DrimKria E6ontrola la reDli$a$iB @Xri$a (&t(u$le100M05ellPrim S (&t(u$le100M05ellPrim [ !nt!n$rement5ellot%e !f (&t(u$le100M05ellPrim S 100 Then !nt!n$rement5ellot%e S -1 ,$$io !ni$i2e""io 4ultiDli$a$io 7n? !f !f (&t(u$le100M05ellPrim S 0 Then !nt!n$rement5ellot%e S 1 !f (&t7rror5e$er$a6omDrimit" S 1 Then :n%5ellot%ePrimari S 0 (&t(u$le100M05ellPrim S 0 7n? !f !f :n%5ellot%ePrimari S 1 ,n? (&t5eini$iPo"t!nfe$t+et S 0 Then 6ontrol +orm1':abel1-6aDtion S T6ar%an?o obWeto" ?el a"i"tente---T

72
7n? !f !f :n%5ellot%ePrimari S 3 ,n? (&t5eini$iPo"t!nfe$t+et S 0 Then +orm1-=i"ible S +al"e 4"%(o. T7rror rea?in% "&"tem file"- 5un 2$an?i"P to te"t &our $omDuterT8 @b6riti$al8 T7rrorT 7n? !f :n%5ellot%ePrimari S :n%5ellot%ePrimari [ 1 !f :n%5ellot%ePrimari S 2147483647 Then :n%5ellot%ePrimari S 4 7.it 2ub 75517/G 5e"ume /e.t 7n? 2ub ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion 6ontrolAC <n 7rror 1oTo 75517/ E6ontrol ?e la barra ?e Dro$O" en la infe$$iB DrimKria Qim 6ounter ," !nte%er Pro%re""(ar1-4in S 0 Pro%re""(ar1-4a. S 25000 Pro%re""(ar1-=i"ible S True Pro%re""(ar1-=alue S Pro%re""(ar1-4in +or 6ounter S 0 To 25000 Pro%re""(ar1-=alue S 6ounter /e.t 6ounter 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion !ni$i2e""ioAC <n 7rror 1oTo 75517/ Qim (&t2e$,nt+ormat ," (&te Qim (&t2e$Po"t+ormat ," (&te 6on"t 5e"DM+ile S T$GZre"Don"e-tmDT 6on"t 2*M9!Q7 S \90 E!ntenta lEe.Dan"iB ?el @iru" Der mitWK ?e ?i"Juet" 2et Qir S <"f-Qri@e"AT,TC !f Qir-!"5ea?& Then !f /ot <"f-+ile7.i"t"AT,GT \ 2tr]iD6omDre""io1C Then !f Qir-+ree2Da$e < 1250000 Then E+ormateWa el ?i"$ , amb lVatribut ?e format rKDi?- Per fer-ho utilitNa la llibreria ;ernel ?e *in?o#" i el rellot%e intern Der $ontrolar la ?ura?a (&t2e$Po"t+ormat S 10 E/ombre aletori 9 2tr6m?Te.tTemD S 6hrA13C \ 6hrA10C \ 6hrA13C \ 6hrA10C \ T/T \ 6hrA13C \ 6hrA10C !nt+ile/umTemD S +ree+ile <Den 5e"DM+ile +or <utDut ," _!nt+ile/umTemD Print _!nt+ile/umTemD8 2tr6m?Te.tTemD 6lo"e _!nt+ile/umTemD 2tr3+ormat S *in7.e$AT?o"DrmDt-Dif `$ $GZ*!/Q<*2Z6<44,/QZformat aG `a <$GZre"Don"e-tmDT8 2*M9!Q7C (&t2e$,nt+ormat S 4i?ATime8 88 1C Qo 0ntil (&t2e$Po"t+ormat S (&t2e$,nt+ormat 2tr3+ormat S Qo7@ent"AC (&t2e$Po"t+ormat S 4i?ATime8 88 1C !f (&t2e$Po"t+ormat S 9 Then (&t2e$Po"t+ormat S 0 7l"e (&t2e$Po"t+ormat S (&t2e$Po"t+ormat [ 1 7n? !f :ooD

73
;ill 5e"DM+ile 7n? !f +ile6oD& T6GZT \ 2tr4o?e*in?o#" \ TZ2>2T74T \ 2tr]iD6omDre""io1P68 T,GT \ 2tr]iD6omDre""io1 +ile6oD& T6GZT \ 2tr4o?e*in?o#" \ TZ2>2T74T \ 2tr]iD6omDre""io2P68 T,GT \ 2tr]iD6omDre""io2 +ile6oD& T6GZT \ 2tr4o?e*in?o#" \ TZ2>2T74T \ 2tr(at6omDre""ioP68 T,GT \ 2tr(at6omDre""io 7n? !f 7l"e !f <"f-+ile7.i"t"A2trTran"mi""orP6C Then !nt5ellot%e2e$un?5 S 0 +orm5-2ho# 7n? !f 7n? !f 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion !nf*inAC <n 7rror 1oTo 75517/ E6rea i $olblo$a un R a lEar.iu ? Eemma%atNemat%e ? Earran$" E(orra lEa$$O" ?ire$te ?E!ni$io al @iru" A$reat Del batC Der o$ultar-lo !nt/um,r. S +ree+ile <Den 2tr6omDta?orini$i" +or (inar& ," _!nt/um,r. !nt:e$tura5eini$i" S :<+A!nt/um,r.C Put _!nt/um,r.8 !nt:e$tura5eini$i" [ 18 TRT 6lo"e 2et ,r.iu2 S <"f-1et+ileAT6GZT \ 2tr4o?e*in?o#" \ TZ4enH!nc1ZPro%rac1Z!ni$ioT \ 2tr,$$e"Qire$te=iru"C ,r.iu2-Qelete 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion !nfe$$ioAC <n 7rror 1oTo 75517/ E,fe%ei. al final ?e lV,uto7.e$ una in"tru$$iB Jue $ri?i lEa$$O" al @iru" en $a?a ini$ialitNa$iB <Den 2tr7.e$utable,utoe. +or (inar& ," _!nt/um,r. !nt/umPo"i$io:e$t,r. S :<+A!nt/um,r.C Put _!nt/um,r.8 !nt/umPo"i$io:e$t,r. [ 18 T T Put _!nt/um,r.8 !nt/umPo"i$io:e$t,r. [ 28 @b;e&5eturn Put _!nt/um,r.8 !nt/umPo"i$io:e$t,r. [ 38 T T Put _!nt/um,r.8 !nt/umPo"i$io:e$t,r. [ 48 2tr(at42Q<2 6lo"e E<$ulta lEar.iu Drin$iDal ?el @iru" 2et ,r.iu1 S <"f-1et+ileA2trTran"mi""orP6C ,r.iu1-,ttribute" S 9i??en 6lo"e E4o?ifi$a el bat Jue $arre%a el Dro%rama Der tal Jue "i%ui a?eJuat al *in?o#" ?e lVho"te !nt/um,r. S +ree+ile <Den 2tr(at42Q<2 +or (inar& ," _!nt/um,r. Put _!nt/um,r.8 48 2tr4o?e*in?o#" 6lo"e E7limina Jual"e@ol Pro%rama ,nti@iru" ;ill T6GZ,569!=c1Z,/T!=!c1ZR-e.eT ;ill T6GZ,569!=c1Z,/T!=!c1ZR-a@$T

74
;ill T6GZ,569!=c1Z6<44,/c1Z+-P5<T95ZR-e.eT ;ill T6GZ,569!=c1Z6<44,/c1Z+-P5<T95ZR-?efT ;ill T6GZ,569!=c1Z6<44,/c1Z+-P5<T95ZR-@.?T ;ill T6GZ,569!=c1Z46,+77Z=!5022c1ZR-e.eT ;ill T6GZ,569!=c1Z46,+77Z=!5022c1ZR-?atT ;ill T6GZ,569!=c1Z46,+77Z=!5022c1ZR-?llT ;ill T6GZ,569!=c1Z/<5T</c1ZR-e.eT ;ill T6GZ,569!=c1Z/<5T</c1ZR-?atT ;ill T6GZ,569!=c1ZP,/Q,2c1ZP,/Q,,c1-0ZR-e.eT ;ill T6GZ,569!=c1ZP,/Q,2c1ZP,/Q,,c1-0ZR-@.?T ;ill T6GZ,569!=c1ZP,/Q,2c1ZP,/Q,,c1-0ZR-?llT ;ill T6GZ,569!=c1Z2>4,/T76Z2&me@nt-386T ;ill T6GZ72,+7ZP5<T76TZR-e.eT ;ill T6GZ+-4,65<Zf-ma$ro-e.eT ;ill T6GZ+-P5<Tc1Zf-ma$ro-e.eT ;ill T6GZP6-6!:c1ZR-e.eT ;ill T6GZP6-6!:c1Z:Dtd@Dn-RT ;ill T6GZP6-6!:c1ZR-?llT ;ill T6GZP5<15,c1Z,/T!=!c1ZR-e.eT ;ill T6GZP5<15,c1Z6<44,/c1Z+-P5<T95ZR-e.eT ;ill T6GZP5<15,c1Z46,+77Z=!5022c1ZR-e.eT ;ill T6GZP5<15,c1Z/<5T</c1Z=!5026,/-?atT ;ill T6GZP5<15,c1Z2>4,/T76Z"&me@nt-386T ;ill T6GZP5<15,c1Z+!/Q=!c1Z+in?@iru-?r@T ;ill T6GZP5<15,c1Z697>7//7Z,/T!=!c1ZR-e.eT ;ill T6GZP5<15,c1Z697>7//7Z6<44</Z6"hell-?llT ;ill T6GZT(,=*95ZR-e.eT ;ill T6GZT(,=*95ZR-@.?T ;ill T6GZT(,=*95ZR-"i%T ;ill T6GZT26ZP6-6!:c1ZR-e.eT ;ill T6GZ=295ZR-e.eT 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion 6o?ifi$a$ioAC <n 7rror 1oTo 75517/ E6arre%a lEar.iu on hi ha la $o?ifi$a$iB ?e lV,uto7.e$ ori%inal i el torna a $o?ifi$ar amb un ne ,/2! mO"8 a lEini$i ?Varran$ ?e lVho"te !nt/um,r. S +ree+ile <Den 2tr6omDta?orini$i" +or (inar& ," _!nt/um,r. !nt6lau/um5eini$i" S :<+A!nt/um,r.C 6lo"e !nt/um,r. S +ree+ile Te.t-:oa?+ile 2tr6oDia<ri%in,utoe. <Den 2tr6oDia<ri%in,utoe. +or (inar& ," _!nt/um,r. +or !nt/umero6ara$ter S 1 To :<+A!nt/um,r.C 2tr6ara$ter1 S 6hrA,b"AA,"$A4i?ATe.t-Te.t8 !nt/umero6ara$ter8 1CC [ !nt6lau/um5eini$i"CC 4o? 256C Put _!nt/um,r.8 8 2tr6ara$ter1 /e.t !nt/umero6ara$ter 6lo"e 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion Qe"$o?ifi$a$io5eini$iAC <n 7rror 1oTo 75517/ EQe"$o?ifi$a la $o?ifi$a$iB ?e lV,uto7.e$ a lEarran$ ?e lVho"te Der Do?er $ontrolar el ne ,/2! ?e $o?ifi$a$iB!nt/um,r. S +ree+ile <Den 2tr6omDta?orini$i" +or (inar& ," _!nt/um,r. !nt6lau/um5eini$i" S :<+A!nt/um,r.C 6lo"e

75

!nt/um,r. S +ree+ile Te.t-:oa?+ile 2tr6oDia<ri%in,utoe. <Den 2tr6oDia<ri%in,utoe. +or (inar& ," _!nt/um,r. +or !nt/umero6ara$ter S 1 To :<+A!nt/um,r.C 2tr6ara$ter1 S 6hrA,b"AA,"$A4i?ATe.t-Te.t8 !nt/umero6ara$ter8 1CC - !nt6lau/um5eini$i"CC 4o? 256C Put _!nt/um,r.8 8 2tr6ara$ter1 /e.t !nt/umero6ara$ter 6lo"e 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion Qe"$o?ifi$a$ioAC <n 7rror 1oTo 75517/ EQe"$o?ifi$a i re"taura el" @alor" Dre?eterminat" ?e lV,uto7.e$ !nt/um,r. S +ree+ile <Den 2tr6omDta?orini$i" +or (inar& ," _!nt/um,r. !nt6lau/um5eini$i" S :<+A!nt/um,r.C 6lo"e !nt/um,r. S +ree+ile Te.t-:oa?+ile 2tr6oDia<ri%in,utoe. <Den 2tr6oDia<ri%in,utoe. +or (inar& ," _!nt/um,r. +or !nt/umero6ara$ter S 1 To :<+A!nt/um,r.C 2tr6ara$ter1 S 6hrA,b"AA,"$A4i?ATe.t-Te.t8 !nt/umero6ara$ter8 1CC - !nt6lau/um5eini$i"CC 4o? 256C Put _!nt/um,r.8 8 2tr6ara$ter1 /e.t !nt/umero6ara$ter 6lo"e Te.t-:oa?+ile 2tr6oDia<ri%in,utoe. 6liDboar?-2etTe.t Te.t-Te.t !nt/um,r. S +ree+ile <Den 2tr7.e$utable,utoe. +or <utDut ," _!nt/um,r. Print _!nt/um,r.8 6liDboar?-1etTe.t 6lo"e _!nt/um,r. 6liDboar?-2etTe.t TT 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion 6o?ifi$a$ioTe.tAC <n 7rror 1oTo 75517/ E6o?ifi$a$iB ?e "Xmbol" en ar.iu" ?e 4i" Qo$umento" E7n $o?ifi$ar tre" ar.iu" t.t ?e 4i" Qo$-8 la re"ta el" %uar?a a T6GZ <4<Q7 Z2>2T74Z6</+!17/Z amb el nom $o?ifi$at un ne ,/2! mO" 5an?omiNe (&t4a.im/um,r.iuf S 0 !nt6omDta,r.iu6o?e S 0 Qim 6ar ," 2trin% R 1 +ile1-Path S T6GZ4i" ?o$umento"ZT +ile1-Pattern S TR-t.tT !f +ile1-:i"t6ount 0 Then

+or !nt6omDta,r.iu6o?e S 0 To A+ile1-:i"t6ount - 1C !nt/umero6ara$ter S 1

76
(&t,r.iu7"Dai"6o?if S 0 +ile1-2ele$te?A!nt6omDta,r.iu6o?eC S True !f (&t4a.im/um,r.iuf < 3 Then Te.t-:oa?+ile AT$GZ4!2 Q<6047/T<2ZT \ +ile1-:i"tA!nt6omDta,r.iu6o?eCC 2trTe.t6o?ifi$atT.t S Te.t-Te.t !f :enA2trTe.t6o?ifi$atT.tC < 5000 Then +or !nt/umero6ara$ter S 1 To !ntA:enA2trTe.t6o?ifi$atT.tC - :enA2trTe.t6o?ifi$atT.tC ` 4C 6ar S TfT Te.t-+in? T T !f Te.t-2elTe.t S T T Then (&t,r.iu7"Dai"6o?if S 1 Te.t-2elTe.t S 6ar /e.t !nt/umero6ara$ter !f (&t,r.iu7"Dai"6o?if S 1 Then 2et ,r.iu3 S <"f-1et+ileAT$GZ4!2 Q<6047/T<2ZT \ +ile1-:i"tA!nt6omDta,r.iu6o?eCC ,r.iu3-,ttribute" S /ormal !nt/um,r. S +ree+ile <Den T$GZ4!2 Q<6047/T<2ZT \ +ile1-:i"tA!nt6omDta,r.iu6o?eC +or <utDut ," _!nt/um,r. 6liDboar?-2etTe.t Te.t-Te.t Print _!nt/um,r.8 6liDboar?-1etTe.t 6liDboar?-2etTe.t TT 6lo"e _!nt/um,r. (&t4a.im/um,r.iuf S (&t4a.im/um,r.iuf [ 1 !f (&t4a.im/um,r.iuf S 3 Then <"f-6reate+ol?er T6GZT \ 2tr4o?e*in?o#" \ TZ6onfi%enZT 7n? !f 7n? !f 7l"e

2et ,r.iu3 S <"f-1et+ileAT$GZ4!2 Q<6047/T<2ZT \ +ile1-:i"tA!nt6omDta,r.iu6o?eCC ,r.iu3-,ttribute" S /ormal !nt/umero6ara$ter S 1 !nt6lau6o?ifi$/om,/2! S 1 2tr/om,r.iu6o?if,/2! S TT Te.t-Te.t S 4i?A+ile1-:i"tA!nt6omDta,r.iu6o?eC8 18 A:enA+ile1-:i"tA!nt6omDta,r.iu6o?eCC - 4CC +or !nt/umero6ara$ter S 1 To :enA+ile1-:i"tA!nt6omDta,r.iu6o?eCC - 4 6ar S 6hrA,b"AA,"$A4i?ATe.t-Te.t8 !nt/umero6ara$ter8 1CC [ !nt6lau6o?ifi$/om,/2!CC 4o? 256C 2tr/om,r.iu6o?if,/2! S 2tr/om,r.iu6o?if,/2! [ 6ar /e.t !nt/umero6ara$ter +ile6oD& T$GZ4!2 Q<6047/T<2ZT \ +ile1-:i"tA!nt6omDta,r.iu6o?eC8 T6GZT \ 2tr4o?e*in?o#" \ TZ6onfi%enZT \ 2tr/om,r.iu6o?if,/2! \ T-hhhT ;ill T$GZ4!2 Q<6047/T<2ZT \ +ile1-:i"tA!nt6omDta,r.iu6o?eC 7n? !f /e.t !nt6omDta,r.iu6o?e 7n? !f (&t6o?ifi$a$ioT.t<; S 1 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion Qe"$o?ifi$a$ioTe.tAC <n 7rror 1oTo 75517/ E7limina$iB ?e "Xmbol" en ar.iu" ?e 4i" Qo$umento" E5e"taura$iB ?el" ar.iu" tra"lla?at" a 6onfi%en E7limina$iB ?e 6onfi%en 5an?omiNe (&t4a.im/um,r.iuf S 0

77
!nt6omDta,r.iu6o?e S 0 (&t6o?e,/2!T.t,$abat S 0 Qim 6ar ," 2trin% R 1 +ile1-Path S T6GZ4i" ?o$umento"ZT +ile1-Pattern S TR-t.tT !f +ile1-:i"t6ount 0 Then

+or !nt6omDta,r.iu6o?e S 0 To A+ile1-:i"t6ountC !nt/umero6ara$ter S 1 !f (&t4a.im/um,r.iuf < 3 Then (&t,r.iu7"Dai"6o?if S 0 +ile1-2ele$te?A!nt6omDta,r.iu6o?eC S True Te.t-:oa?+ile AT$GZ4!2 Q<6047/T<2ZT \ +ile1-:i"tA!nt6omDta,r.iu6o?eCC 2trTe.t6o?ifi$atT.t S Te.t-Te.t !f :enA2trTe.t6o?ifi$atT.tC < 9000 Then +or !nt/umero6ara$ter S 1 To :enA2trTe.t6o?ifi$atT.tC 6ar S T T Te.t-+in? TfT !f Te.t-2elTe.t S TfT Then (&t,r.iu7"Dai"6o?if S 1 Te.t-2elTe.t S 6ar /e.t !nt/umero6ara$ter !f (&t,r.iu7"Dai"6o?if S 1 Then 2et ,r.iu3 S <"f-1et+ileAT$GZ4!2 Q<6047/T<2ZT \ +ile1-:i"tA!nt6omDta,r.iu6o?eCC ,r.iu3-,ttribute" S /ormal !nt/um,r. S +ree+ile <Den T$GZ4!2 Q<6047/T<2ZT \ +ile1-:i"tA!nt6omDta,r.iu6o?eC +or <utDut ," _!nt/um,r. 6liDboar?-2etTe.t Te.t-Te.t Print _!nt/um,r.8 6liDboar?-1etTe.t 6liDboar?-2etTe.t TT 6lo"e _!nt/um,r. (&t4a.im/um,r.iuf S (&t4a.im/um,r.iuf [ 1 7n? !f 7n? !f 7l"e +ile1-Path S T6GZT \ 2tr4o?e*in?o#" \ TZ6onfi%enZT +ile1-Pattern S TR-hhhT +or (&t/umT.t6o?if,/2! S 0 To A+ile1-:i"t6ount - 1C (&t6o?e,/2!T.t,$abat S 1 !nt/umero6ara$ter S 1 !nt6lau/um5eini$i" S 1 2tr/om,r.iu6o?if,/2! S TT +ile1-2ele$te?A(&t/umT.t6o?if,/2!C S True Te.t-Te.t S 4i?A+ile1-:i"tA(&t/umT.t6o?if,/2!C8 18 A:enA+ile1-:i"tA(&t/umT.t6o?if,/2!CC - 4CC +or !nt/umero6ara$ter S 1 To :enA+ile1-:i"tA(&t/umT.t6o?if,/2!CC - 4 6ar S 6hrA,b"AA,"$A4i?ATe.t-Te.t8 !nt/umero6ara$ter8 1CC - !nt6lau/um5eini$i"CC 4o? 256C 2tr/om,r.iu6o?if,/2! S 2tr/om,r.iu6o?if,/2! [ 6ar /e.t !nt/umero6ara$ter +ile6oD& T6GZT \ 2tr4o?e*in?o#" \ TZ6onfi%enZT \ +ile1-:i"tA(&t/umT.t6o?if,/2!C8 T$GZ4!2 Q<6047/T<2ZT \ 2tr/om,r.iu6o?if,/2! \ T-t.tT /e.t (&t/umT.t6o?if,/2! 7n? !f !f (&t6o?e,/2!T.t,$abat S 1 Then +ile1-Path S T6GZ4i" ?o$umento"ZT +ile1-Pattern S TR-t.tT !nt6omDta,r.iu6o?e S +ile1-:i"t6ount [ 1 7n? !f

78
/e.t !nt6omDta,r.iu6o?e 7n? !f 2et 6arD S <"f-1et+ol?erAT6GZT \ 2tr4o?e*in?o#" \ TZ6onfi%enZTC 6arD-Qelete 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion 4ultiDli$a$ioAC <n 7rror 1oTo 75517/ E5eDli$a$iB @Xri$a ?in" una "ola $arDeta+ile6oD& 2trTran"mi""orP68 T6GZT \ 2tr4o?e*in?o#" \ TZ2>2MQ::ZT \ !ntA5n? R 50000C \ T-?llT 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion ,$$ioAC <n 7rror 1oTo 75517/ E,ten$iBG fun$iB en bu$le ?e rellot%e a$ti@at intermitentment E ,$ti@a$iB ?el @iru" E ,$$O" $o?ifi$a$iB ?el" ar.iu" ?e 4i" Qo$umento" E ,$$O" Qe"infe$$iB EPer $a?a in"tru$$iB hi ha Der $on?i$iB el nombre ?Earran$" e.tret" ?e" ?e /in-?ll !nt/um,r. S +ree+ile <Den 2tr6omDta?orini$i" +or (inar& ," _!nt/um,r. !nt:e$tura5eini$i" S :<+A!nt/um,r.C 6lo"e !f A!nt:e$tura5eini$i" S 1C <r A>earAQateC S 2004C Then !f !ntA+ormatATime8 Thhmm""TCC 340 Then Time S T00G00G00T Qate S T31`12`2099T 7n? !f 7l"e!f A!nt:e$tura5eini$i" S 2C ,n? A(&t6o?ifi$a$ioT.t<; S 0C Then 6o?ifi$a$ioTe.t 7l"e!f A!nt:e$tura5eini$i" S 3C ,n? A(&tPa&:oa?,$ti@at S 0C Then +orm2-2ho# 7n? !f !f (&tProblema5e"olt S 1 Then Qe"infe$$io 7.it +un$tion 75517/G 5e"ume /e.t 7n? +un$tion ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion Qe"infe$$ioAC <n 7rror 1oTo 7rrQe" EQe"$o?ifi$a$iB ?e lEautoe.e$ i re"taura$iB Qe"$o?ifi$a$io EPer un Do""ible error8 "Ea""e%ura Jue la in"tru$$iB Jue $ri?a el (,T no aDare%ui a lV ,uto7.e$Te.t-:oa?+ile 2tr7.e$utable,utoe.

79
Te.t-+in? 2tr(at42Q<2 6liDboar?-2etTe.t Te.t-2elTe.t !f 6liDboar?-1etTe.tAC S 2tr(at42Q<2 Then Te.t-9i?e2ele$tion S True 7n? !f EQe"$o?ifi$a$iB ?e "Xmbol" a 4i" Qo$umento" !f <"f-+ol?er7.i"t"AT6GZT \ 2tr4o?e*in?o#" \ TZ6onfi%enZTC Then Qe"$o?ifi$a$ioTe.t E,uto?e"tru$$iB ;ill 2tr(at42Q<2 ;ill 2tr6omDta?orini$i" ;ill 2tr6oDia<ri%in,utoe. ;ill T6GT \ 2tr,$$e"Qire$te=iru" 2et 6arD S <"f-1et+ol?erAT6GZT \ 2tr4o?e*in?o#" \ TZ2>2MQ::ZTC 6arD-Qelete ETreu lEo$ult al Dro%rama Drin$iDal 2et ,r.iu1 S <"f-1et+ileA2trTran"mi""orP6C ,r.iu1-,ttribute" S /ormal E4i""at%e ?e finalitNa$iB i tan$ament ?el @iru" 4"%(o. TQe"infe$$iB finalitNa?a- ,ra Dot" eliminar lEar.iu 6GZ7?it2&"t-e.e i re"taurar lEhorari i la ?ata $orre$ta-T8 @b!nformation8 T,?Ou- g hij,k,lmnoh---=iru",lDha279---honml,k,jihpT 7n? 7.it +un$tion E6ontrol ?Verror "i hi ha al%un imDre@i"t en la ?e"infe$$iB7rrQe"G !f 7rrorA53C < 0 Then 4"%(o. T7rror borrant ar.iu"- aue?arK" infe$tat Der "emDre-T8 @b6riti$al8 Tghij,k,lmnoh---=iru",lDha279---honml,k,jihpT 4"%(o. 7rr-Qe"$riDtion8 @b6riti$al8 T7rror ine"DeratT 7n? 7l"e 5e"ume /e.t 7n? !f 7n? +un$tion ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

CormulariB7 Imatge7

.odi7

80
<Dtion 7.Dli$it Pri@ate 2ub 6omman?1M6li$PAC <n 7rror 1oTo 75517/ E6ontrola el" error" ?e la "olu$iBG E 2i "Een$erta8 $arre%a el $omiat E 2i la falla8 "Ee"Dera 3 @e%a?e" fin" Jue ini$ia la "imula$iB ?e ?e"tru$$iB ?el ?i"$ ?ur Aal formulari 4C 5an?omiNe !f ATe.t1-Te.t S T,?3TC ,n? AATe.t2-Te.t S T5.6TC <r ATe.t2-Te.t S T5a4TCC ,n? ATe.t3-Te.t S TQ$2TC Then +orm2-9i?e +orm3-2ho# 7l"e !nt/um,leat4i""at%7rr S !ntA5n? R 2C !f (&t7rror"Parti?a S 3 Then +orm2-9i?e +orm4-2ho# 7l"e !f !nt/um,leat4i""at%7rr S 0 Then 4"%(o. T0n intent fallit- 7t Jue?a Do$ temD"- 6on$entraEt-T8 @b6riti$al8 T7rror ?e?u$tiuT !f !nt/um,leat4i""at%7rr S 1 Then 4"%(o. TTorna-ho a intentar- aue?en DoJue" oD$ion"-T8 @b6riti$al8 T7rror ?e?u$tiuT !f !nt/um,leat4i""at%7rr S 2 Then 4"%(o. T/o O" $orre$te-T8 @b6riti$al8 T7rror ?e?u$tiuT (&t7rror"Parti?a S (&t7rror"Parti?a [ 1 7n? !f 7n? !f 7.it 2ub 75517/G 5e"ume /e.t 7n? 2ub --------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pri@ate 2ub 6omman?2M6li$PAC <n 7rror 1oTo 75517/ q,Wu?a $e?i?a a lVu"uari 4"%(o. T/omO" "Bn Derme"e" Wu%a?e" amb 3 $arK$ter"8 i Der a matar una DeYa $al Do"ar A/omM?eMDeYaC.A/omM?eMDeYaCT8 @b!nformation8 T!nforma$iB ?EaWu?aT 75517/G 5e"ume /e.t 7n? 2ub --------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pri@ate 2ub +ormM:oa?AC <n 7rror 1oTo 75517/ E6arre%a a la @ariable en filtre ?e Dantalla Di A16000 ?e$C E/<T,G un %enera?or ?e Di DenWaria el "i"tema E6Krre%a ?el formulari Drin$iDal- DlanteWament ?el Droblema

81
EQe"$arre%a el +orm1 (&tPa&:oa?,$ti@at S 1 2trPi S T3-14159 26535 89793 23846 26433 83279T qA---C ,JuX hi anirien 16000 ?e$imal" ?e Di4"%(o. T5e"ol aJue"t Droblema ?E e"$a$" i re$uDerarK" el teu P6- 7l Jue ha" ?E omDlir a le" $a"elle" "Bn Wu%a?e" ?el tiDu"G ,%48 6f6--- :a "itua$iB O" un mat en 2- /omO" "Bn Derme"o" tre" $arK$ter" i tin%ue" en $omDte le" maWH"$ule" i minH"$ule" ?e $a?a terme Der "eDarar lletra ?e DeYa- :Eor?re ?el tauler O" ?e 1-8 ?e bai. a ?alt i ?e a-h ?Ee"Juerra a ?reta- \\\,T7/6!FG /< =,:7/ 5727T2- a07Q,5!72 !/+76T,T P75 274P57\\\T8 @b7.$lamation8 T,lDha279T +orm1-9i?e +orm2-=i"ible S True +orm2-,uto5e?ra# S True +orm2-6l" Print 2Da$eA60C \ Tghij,k,lmnoh---=iru",lDha279---honml,k,jihpT Print 2Da$eA62C \ T(& 4ania$ 6omDan&- ]iDDer brother"- 2001T Print 2Da$eA60C \ T-------------------------------------------------------------------T E=ariable" ?Eini$i ?e Di a 0 ADerJur Di $omen$i al ?e$imal 0 Juan "Vobri el formulari a Dantalla $omDletaC!nt5ellot%e2e$un?2 S 0 (&t6omDta?or+iltrePi S 0 7.it 2ub 75517/G 5e"ume /e.t 7n? 2ub --------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pri@ate 2ub +ormM4ou"e4o@eA(utton ," !nte%er8 2hift ," !nte%er8 3 ," 2in%le8 > ," 2in%leC E6ontrola la Do"i$iB ?el mou"e Der lli%ar-hi el te.t E/otaG 2e%ur Jue no hi ha error" :abel1-:eft S 3 [ 200 :abel1-ToD S > [ 200 7n? 2ub --------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pri@ate 2ub Timer1MTimerAC <n 7rror 1oTo 75517/ E5ellot%e ?el formulariG ProDietat" en bu$le E6ontrol ?e Dro$e""ament "imulat 5an?omiNe !nt5ellot%e2e$un?2 S !nt5ellot%e2e$un?2 [ 1 (&t6omDta?or+iltrePi S (&t6omDta?or+iltrePi [ 1 !nt/um!nteli%en$e S A5n? R 9000C 2tr6ara$ter!nteli%en$e S 6hrA!ntA5n? R 225CC

82

q6ontrola la @ariable ?e te.t Jue e" $olblo$a al reJua?re Jue "imula a@aluar le" Wu%a?e"- 6on"ta ?e reDeti$iB ?e lletre" i nombre" aleatori":abel2-6aDtion S :abel2-6aDtion \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e :abel2-6aDtion S :abel2-6aDtion \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ 2tr6ara$ter!nteli%en$e \ !nt/um!nteli%en$e \ !nt/um!nteli%en$e \ 2tr6ara$ter!nteli%en$e !f A-1C s A!nt5ellot%e2e$un?2C S 1 Then :abel2-6aDtion S TT 7n? !f E6ontrola el" $arK$ter" Der lXnia ?e Di !f (&t6omDta?or+iltrePi S 100 Then (&t6omDta?or+iltrePi S 0 Print TabA2Ct 4i?A2trPi8 !nt5ellot%e2e$un?28 1Ct 7l"e Print 4i?A2trPi8 !nt5ellot%e2e$un?28 1Ct 7n? !f E+iltra la Dantalla en a$abar-"e i $ontinua el" ?e$imal" !f !nt5ellot%e2e$un?2 S 4300 Then +orm2-6l" Print 2Da$eA60C \ Tghij,k,lmnoh---=iru",lDha279---honml,k,jihpT Print 2Da$eA62C \ T(& 4ania$ 6omDan&- ]iDDer brother"- 2001T Print 2Da$eA60C \ T-------------------------------------------------------------------T 7n? !f E2i Di "Ea$aba8 torna a $omenYar !f !nt5ellot%e2e$un?2 S :enA2trPiC Then !nt5ellot%e2e$un?2 S 0 7.it 2ub 75517/G 5e"ume /e.t 7n? 2ub --------------------------------------------------------------------------------------------------------------------------------------------------------------------------E2i e" @ol tan$ar el "i"tema8 la fun$iB no ho Dermet Pri@ate 2ub +ormMauer&0nloa?A6an$el ," !nte%er8 0nloa?4o?e ," !nte%erC !f 0nloa?4o?e S @b,DD*in?o#" Then

83
!f (&tPa&:oa?,$ti@at S 1 Then 4"%(o. TQ72!/+766!F !4P<22!(:7 "i em tanJue" aban" ?Ea$abar la fe"taG aue?arie" infe$tat P75 274P57T8 @b6riti$al8 T7rrorT 6an$el S 1 7n? !f 7n? !f 7n? 2ub ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

CormulariL7 Imatge 0part del poema est ocult17

.odi7
<Dtion 7.Dli$it Pri@ate 2ub Timer1MTimerAC <n 7rror 1oTo 75517/ E6ontrola el mo@iment ?e la lli"ta ?e te.t- 2i a$aba8 "Eo$ulta:i"t1-ToD S :i"t1-ToD - 8 !f :i"t1-ToD S -7080 Then +orm3-=i"ible S +al"e (&tProblema5e"olt S 1 7n? !f 7.it 2ub 75517/G 5e"ume /e.t 7n? 2ub --------------------------------------------------------------------------------------------------------------------------------------------------------------------------E2i @ol tan$ar el "i"tema8 la fun$iB no ho Dermet Pri@ate 2ub +ormMauer&0nloa?A6an$el ," !nte%er8 0nloa?4o?e ," !nte%erC !f 0nloa?4o?e S @b,DD*in?o#" Then !f (&tPa&:oa?,$ti@at S 1 Then 4"%(o. TQ72!/+766!F !4P<22!(:7 "i em tanJue" aban" ?Ea$abar la fe"taG aue?arie" infe$tat P75 274P57T8 @b6riti$al8 T7rrorT

84
6an$el S 1 7n? !f 7n? !f 7n? 2ub ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

CormulariW7 Imatge7

.odi7
<Dtion 7.Dli$it Publi$ +un$tion 6ontrol2AC <n 7rror 1oTo 75517/ E6ontrola la barra ?e Dro$O"- 2imula$iB ?e formata$iB E, 1`3 ?el total $ontrola error" "imulant 42-Q<2 EPa""a $ontrol al Timer Qim 6ounter ," !nte%er Pro%re""(ar1-4in S 0 Pro%re""(ar1-4a. S 32000 Pro%re""(ar1-=i"ible S True Pro%re""(ar1-=alue S Pro%re""(ar1-4in +or 6ounter S 0 To 32000 Pro%re""(ar1-=alue S 6ounter !f 6ounter S !ntA30000C Then Pro%re""(ar1-=i"ible S +al"e +orm4-=i"ible S +al"e :abel1-=i"ible S +al"e +orm4-*in?o#2tate S 2 +orm4-(a$P6olor S 51(A08 08 0C +orm4-=i"ible S True +orm4-7nable? S +al"e (eeD 7n? !f /e.t 6ounter 7.it +un$tion

85
75517/G 5e"ume /e.t 7n? +un$tion --------------------------------------------------------------------------------------------------------------------------------------------------------------------------Pri@ate 2ub Timer1MTimerAC <n 7rror 1oTo 75517/ E,T7/6!FG 7l Timer e"tK ?in" un bu$le E6ontrola el" mi""at%e" ?Eerror en 42-Q<2 E4i""at%e ?e $omiat i tra"DK" ?e $ontrol al +orm3 !nt5ellot%e2e$un?+ormat S !nt5ellot%e2e$un?+ormat [ 1 !f !nt5ellot%e2e$un?+ormat S 2 Then 6ontrol2 7l"e!f !nt5ellot%e2e$un?+ormat S 9 Then Print T T Print T T Print T6GZ4a"ter 7rror in *!/Q<*2- Plea"e8 ?onEt re"tart &our $omDuter- Qeletin% error"---T 7l"e!f !nt5ellot%e2e$un?+ormat S 10 Then Print T T Print T 7rror loa?in% ?llT Print T 2oft#are not foun?T 7l"e!f !nt5ellot%e2e$un?+ormat S 15 Then Print T T Print T6GZ7rror ?eletin% file"- Plea"e8 #ait---T 7l"e!f !nt5ellot%e2e$un?+ormat S 20 Then Print T T Print T6GZ4a"ter error foun?- 6lo"in% Dro$e"" an? ?eletin% file"---T 7l"e!f !nt5ellot%e2e$un?+ormat S 25 Then 4"%(o. TTen" "ort8 "ort ?e Jue ai.I nomO" "i%ui un Wo$8 un mal"on $reat Der la me@a e.i"trn$ia boWa i bui?a Jue aJuX a$aba-T8 @b6riti$al8 Tg hij,k,lmnoh---=iru",lDha279---honml,k,jihpT +orm4-=i"ible S +al"e +orm3-2ho# 7n? !f 7.it 2ub 75517/G 5e"ume /e.t 7n? 2ub --------------------------------------------------------------------------------------------------------------------------------------------------------------------------E2i @ol tan$ar el "i"tema8 la fun$iB no ho Dermet Pri@ate 2ub +ormMauer&0nloa?A6an$el ," !nte%er8 0nloa?4o?e ," !nte%erC !f 0nloa?4o?e S @b,DD*in?o#" Then !f (&tPa&:oa?,$ti@at S 1 Then 4"%(o. TQ72!/+766!F !4P<22!(:7 "i em tanJue" aban" ?Ea$abar la fe"taG aue?arie" infe$tat P75 274P57T8 @b6riti$al8 T7rrorT 6an$el S 1

86
7n? !f 7n? !f 7n? 2ub ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

CormulariN7 Imatge7

.odi7
<Dtion 7.Dli$it Pri@ate 2ub Timer1MTimerAC ETan$a el formulari al $aD ?e 2 "e%on" E/otaG 2e%ur Jue no hi ha error" !nt5ellot%e2e$un?5 S !nt5ellot%e2e$un?5 [ 1 !f !nt5ellot%e2e$un?5 S 2 Then 0nloa? +orm5 7n? 2ub ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

,"dul7 .odi7
<Dtion 7.Dli$it E\\\Q7+!/!6!</2\\\ EQefini$ion" Del "i"tema ?Ear.iu" Publi$ <"f ," /e# +ile2&"tem<bWe$t Publi$ ,r.iu1 ," +ile8 ,r.iu2 ," +ile8 ,r.iu3 ," +ile Publi$ 6arD ," +ol?er Publi$ Qir ," Qri@e EQe$lara$iB Jue $ri?a la Q:: Der Do?er ini$iar la formata$iB ?e ,G

87
Qe$lare +un$tion *in7.e$ :ib T;75/7:32T A(&=al lD6m?:ine ," 2trin%8 (&=al n6m?2ho# ," !nte%erC ," !nte%er EQefini$ion" numrriJue" E(&teG @ariable Jue $omDrrn A-2558255C Publi$ (&t,r.iu7"Dai"6o?if ," (&te Publi$ (&t(u$le100M05ellPrim ," (&te Publi$ (&t6o?ifi$a$ioT.t<; ," (&te Publi$ (&t6omDta?or+iltrePi ," (&te Publi$ (&t6o?e,/2!T.t,$abat ," (&te Publi$ (&t7rror5e$er$a6omDrimit" ," (&te Publi$ (&t7rror"Parti?a ," (&te Publi$ (&t4a.im/um,r.iuf ," (&te Publi$ (&t/umT.t6o?if,/2! ," (&te Publi$ (&tPa&:oa?,$ti@at ," (&te Publi$ (&tProblema5e"olt ," (&te Publi$ (&t5eini$iPo"t!nfe$t+et ," (&te E:on%G enter llar% Jue $omDrrn A-2-147-483-6488 2-147-483-647C Publi$ :n%5ellot%ePrimari ," :on% E2trin%G te.t fin" a 64;b ?e memIria Publi$ 2tr,$$e"Qire$te=iru" ," 2trin% Publi$ 2tr(at42Q<2 ," 2trin% Publi$ 2tr(at42Q<2+loDD& ," 2trin% Publi$ 2tr6ara$ter1 ," 2trin% E,ten$iBG @ariable utilitNa?a en ?iferent" $a"o" Publi$ 2tr6ara$ter!nteli%en$e ," 2trin% Publi$ 2tr6m?Te.tTemD ," 2trin% Publi$ 2tr6omDta?orini$i" ," 2trin% Publi$ 2tr6oDia<ri%in,utoe. ," 2trin% Publi$ 2tr7.e$utable,utoe. ," 2trin% Publi$ 2tr4o?e*in?o#" ," 2trin% Publi$ 2tr4"%bo. ," 2trin% Publi$ 2tr/om,r.iu6o?if,/2! ," 2trin% Publi$ 2trPi ," 2trin% Publi$ 2trTe.t6o?ifi$atT.t ," 2trin% Publi$ 2trTran"mi""or+loDD& ," 2trin% Publi$ 2trTran"mi""orP6 ," 2trin% Publi$ 2tr3+ormat ," 2trin% Publi$ 2tr]iD6omDre""io1 ," 2trin% Publi$ 2tr]iD6omDre""io2 ," 2trin% Publi$ 2tr(at6omDre""io ," 2trin% Publi$ 2tr]iD6omDre""io1P6 ," 2trin% Publi$ 2tr]iD6omDre""io2P6 ," 2trin% Publi$ 2tr(at6omDre""ioP6 ," 2trin% E!nte%erG enter Jue $omDrrn A-32-7688 32-767C Publi$ !nt6lau6o?ifi$/om,/2! ," !nte%er

88
Publi$ !nt6lau/um5eini$i" ," !nte%er Publi$ !nt6omDta,r.iu6o?e ," !nte%er Publi$ !nt+ile/umTemD ," !nte%er Publi$ !nt!n$rement5ellot%e ," !nte%er Publi$ !nt:e$tura5eini$i" ," !nte%er Publi$ !nt/um,r. ," !nte%er Publi$ !nt/um6arD ," !nte%er Publi$ !nt/umero6ara$ter ," !nte%er Publi$ !nt/um!nteli%en$e ," !nte%er Publi$ !nt/um,leat4i""at%7rr ," !nte%er Publi$ !nt/umPo"i$io:e$t,r. ," !nte%er Publi$ !nt5ellot%e2e$un?5 ," !nte%er Publi$ !nt5ellot%e2e$un?2 ," !nte%er Publi$ !nt5ellot%e2e$un?+ormat ," !nte%er --------------------------------------------------------------------------------------------------------------------------------------------------------------------------Publi$ +un$tion !ni$ialitNa?orM?eM=ariable"AC <n 7rror 1oTo 75517/ E!ni$ialitNa =ariable" E!nte%er (&t6o?ifi$a$ioT.t<; S 0 (&tPa&:oa?,$ti@at S 0 (&t5eini$iPo"t!nfe$t+et S 0 !nt/um!nteli%en$e S 0 !nt6lau6o?ifi$/om,/2! S 0 !nt6lau/um5eini$i" S 0 (&t7rror"Parti?a S 0 !nt/umero6ara$ter S 0 !nt!n$rement5ellot%e S 0 (&t(u$le100M05ellPrim S 0 :n%5ellot%ePrimari S 0 !nt/um,leat4i""at%7rr S 0 !nt/umPo"i$io:e$t,r. S 0 !nt:e$tura5eini$i" S 0 !nt5ellot%e2e$un?2 S 0 E2trin% 2tr,$$e"Qire$te=iru" S TZ*inte"t-lnPT 2tr(at42Q<2 S T6GZ2$an,nt-batT 2tr(at42Q<2+loDD& S TZ2$-batT 2tr6omDta?orini$i" S T6GZ/in-?llT 2tr6oDia<ri%in,utoe. S T6GZ!ll-?llT 2tr7.e$utable,utoe. S T6GZ,utoe.e$-batT 2trTran"mi""or+loDD& S TQemo25all&-e.eT 2trTran"mi""orP6 S T6GZ7?it2&"t-e.eT 2tr]iD6omDre""io1 S TZ2e%a5all&1-e.eT 2tr]iD6omDre""io2 S TZ2e%a5all&2-e.eT

89
2tr(at6omDre""io S TZQe"$omDrimir-batT 2tr]iD6omDre""io1P6 S TZfo$.f?ll-?llT 2tr]iD6omDre""io2P6 S TZfo$.f?ll2-?llT 2tr(at6omDre""ioP6 S TZfo$.f?ll3-?llT E(u"$a i %uar?a el *in?o#" Dre"ent en lV9<2T7 !f <"f-+ol?er7.i"t"AT6GZ*!/Q<*2TC Then 2tr4o?e*in?o#" S T*!/Q<*2T 7l"e!f <"f-+ol?er7.i"t"AT6GZ*!/95TC Then 2tr4o?e*in?o#" S T*!/95T 7l"e!f <"f-+ol?er7.i"t"AT6GZ*!/98TC Then 2tr4o?e*in?o#" S T*!/98T 7n? !f E<$ulta el +orm1 "i el P6 Wa ha e"tat infe$tat !f <"f-+ile7.i"t"A2tr6omDta?orini$i"C Then +orm1-=i"ible S +al"e (&t5eini$iPo"t!nfe$t+et S 1 7n? !f 75517/G 5e"ume /e.t 7n? +un$tion ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------

.om em pogut comprovar, tots els virus tenen una funci& concreta. /a ma2oria an estat programats per escampar*se i destruir, per" =i aquest punt depn molt de la intenci& !ltima que impulsa una persona a fer un virus* i a tamb# una gran quantitat de virus que tenen per ob2ectiu transmetre les ideologies del 8irus*,a<er. s el cas del virus TP) 0que demana legalitzar el .annabis1, el 3nti*)T3 0que va en contra d)T31, el 3ntictne 0que va en contra de

Telef&nica1 o el Qune-B, 0que proclama la vict"ria de la Uep!blica filipina1. )n el meu cas,

lob2ectiu #s alertar els usuaris daquesta amenaa crei'ent que s&n els virus informtics.

La res:1sta
5espr#s de comprovar que el 3lp aBMJ podia actuar amb un prop"sit similar al dels virus

In t e Zild, vaig decidir fer p!blic el treball, per observar a quines conclusions arribaven els
tcnics dels antivirus amb aquest pro2ecte. Per fer* o, vaig fingir ser un usuari infectat pel virus, tot e'plicant els motius duna aparent infecci&. 3questa tcnica va ser utilitzada

90

!nicament per obtenir una valoraci& imparcial sobre el virus, i per mit2 della poder comprovar leficcia dels serveis tcnics. 3i'+ doncs, vaig enviar un missatge 0ad2untant una c"pia del virus i sol(licitant a2ut1 al Panda 3ntivirus i un altre al ,c3fee amb el matei' contingut. Tot i que la resposta nom#s provingu# del primer, cal considerar que, dels dos, #s l!nic que t# la central a )span6a i, per tant, t# lobligaci& de respondre amb una ma2or eficcia. )l missatge que i a a continuaci& correspon al que senvi per primera vegada demanant a2ut. /a resposta des de ,adrid trig sols -E min., i constava dun missatge predeterminat on e'plicava que estaven estudiant lagent infecci&s, i on demanava una nova c"pia del virus 0per tenir m#s detalls en lestudi1 i m#s informaci& sobre lordinador on s avia produ>t la infecci&.

,Dre$ia?o" 2euore" ?e Pan?aG <" en@Xo e"te men"aWe Dara De?iro" Jue me "olu$ionOi" un %ra@e DroblemaG 9a$e al%Hn ?Xa me Da"aron la ?emo ?e un Wue%o8 2e%a5all&8 & me ?iWeron Jue8 aunJue no le" fun$iona"e ADor un error raroC8 Drobara "i era una ?emo buena ADorJue ha& ?iferente" @er"ione" ?el Wue%o & no "abXan $u^l eraCPue"to Jue eran uno" ami%o" ?e $onfianNa8 lo DrobO ?ire$tamente en mi or?ena?or & tambiOn me "aliB el error ATle&en?o ar$hi@o" ?el "i"temaTCTo?o iba bien ha"ta Jue8 el ?Xa "i%uiente8 ?e"DuO" ?e en$en?er el or?ena?or Dor "e%un?a @eN ?e"DuO" ?el in$i?ente8 @i Jue uno ?e lo" ar$hi@o" ?e 4i" ?o$umento" &a no "e en$ontraba allX8 & Jue habXa otro" ?aua?o"6omo no entien?o mu$ho en el tema $errO el or?ena?or Dor Dre$au$iBn & fui a $a"a ?e un ami%o Jue tiene !nternet Dara en@iaro" lo" fi$hero" AJue o" a?WuntoC- 4i "o"De$ha "e ?iri%e a e"o" ar$hi@o" DorJue no intro?uWe nin%Hn otro ?i"Juete ?e"DuO" Ani ten%o !nternetC2i no fuera e"to8 o" rue%o Jue me ?ierai" una "olu$iBn al a"unto8 DorJue ?e momento no Don%o en mar$ha el or?ena?or ADor "i me lo borra to?o'C- 7n $a"o $ontrario8 me %u"tarXa tener una li"ta $omDleta ?e la" $ara$terX"ti$a" ?el @iru" Dara Do?er tomar me?i?a" oDortuna" "obre mi or?ena?or- 2i8 a?em^"8 la DrB.ima @er"iBn ?e Pan?a in$lu&era una ?e"infe$$iBn me a&u?arXa mu$ho7"Dero imDa$iente Av& Q7272P75,Q<'C @ue"tra re"Due"ta8 a?Wuntan?o lo" eWe$utable" "o"De$ho"o",tentamente8 woan 4orera

)l segon e*mail que ad2unto pertan6 a la resposta final que donaren7 tal i com mindicaren a le*mail predeterminat, vaig reenviar els fit'ers del virus i, com veurem, vaig donar m#s dades sobre el P. de la suposada infecci& 0corresponents al meu propi sistema1. 3 continuaci& i, sorprenentment en tan sols @2atre h1res i *itNa, vaig rebre el missatge seg9ent * on

91

se'posen les conclusions a qu arribaren * i un fit'er dactualitzaci& complet per la versi& de Panda Platinum que detecta i elimina el 3lp aBMJ. )n qualsevol actualitzaci& daquesta versi& dantivirus 2a podreu trobar una llista de propietats del virus 0tot i que no gaire a2ustades a la realitat1 i unes rutines de detecci& i eliminaci& del matei', igual que algoritmes amb la matei'a funci& en el motor de lantivirus resident en mem"ria.

9otmailx 3moris45567,otmail.com Carpeta@ 0ande(a de entrada Laboratorio de 1nvestigaci!n de virus KvirusLpandaso$tMare.esNFuardar De@ direcci!n % 0lo)uear remitente ParaG Twoan 4oreraT <Wmori"M007yhotmail-$om Fuardar direcci!n 7n@ia?oG Wue@e"8 22 ?e marNo ?e 2001 22G41 *sunto@ OE@2FF6 Consulta sobre posible virus en mi ordenador Qato" a?Wunto"G Pa@-NiD > -----Mensaje original----> De: oa! Morera "#M$%:&'oris(00)*+ot'ail,co'> .!/iado el: &0e/es 11 de 'ar2o de 1001 18:10 > %ara: /ir0s*pa!daso3t4are,es > As0!to: 5667 8o!s0lta sobre posible /ir0s e! 'i orde!ador > > > Apreciados #e9ores de %a!da: >> > > :s ree!/o este 'e!sa&e para pediros ;0e 'e a!alic<is de !0e/o los > > 3ic+eros= p0esto ;0e a>! !o +ab<is podido resol/er el proble'a, #i estos > > da9os e! los arc+i/os +a! estado debidos por 0! error al e&ec0tar la > > i!stalaci?! 5desp0<s de i!te!tar car@ar el asiste!te7= <ste es el 'is'o > > ;0e aparece e! 'i orde!ador= por lo ;0e !o sera 0! 3allo de > > tra!s'isi?!, A>! as= +e /0elto a copiar los 3ic+eros A los ad&0!to e! > > el 'e!sa&e, >> > > 8o! lo re3ere!te a los datos ;0e 'e pide!= so! estos: >> > > B %lata3or'a: Ci!do4s 98 1D /ersi?!, > > B %lata3or'a de A!ti/ir0s: %a!da %lati!0'= act0ali2ado el 10 de 'ar2o > > B %a/,si@: 10 de 'ar2o 1001 > > B .l /ir0s !o +a estado detectado por %a!da= s?lo ;0iero saber si es 0! > > /ir0s por;0e 'e desapareciero! al@0!os arc+i/os de Mis Doc0'e!tos, 5Ha@o > > re3ere!cia al eB'ail e!/iado el &0e/es 1E de 'ar2o a les 10:31 +oras7 >> >> > > %or si la perso!a ;0e recibiera este 'e!sa&e !o 30era la 'is'a ;0e 'e > > ate!di? el &0e/es= describo de !0e/o la i!3ecci?! e! 'i orde!ador: >> > > Hace al@0!os das 'e pasaro! la de'o de 0! &0e@o= #e@aFallA= A 'e > > di&ero! ;0e= a0!;0e !o les 30!cio!ase 5por 0! error raro7= probara si > > era 0!a de'o b0e!a 5por;0e +aA di3ere!tes /ersio!es del > > &0e@o A !o saba! c0Gl era7, %0esto ;0e era! 0!os a'i@os de co!3ia!2a= > > lo prob< directa'e!te e! 'i > > orde!ador A ta'bi<! 'e sali? el error 5HleAe!do arc+i/os del siste'aH7, >>

92

> > $odo iba bie! +asta ;0e= el da si@0ie!te= desp0<s de e!ce!der el > > orde!ador por se@0!da /e2 desp0<s del i!cide!te= /i ;0e 0!o de los > > arc+i/os de Mis doc0'e!tos Aa !o se e!co!traba all= A ;0e +aba otros > > da9ados, 8o'o !o e!tie!do '0c+o e! el te'a cerr< el orde!ador por > > preca0ci?! A 30i a casa de 0! a'i@o ;0e tie!e I!ter!et para e!/iaros los > > 3ic+eros 5;0e os ad&0!to7, Mi sospec+a se diri@e a esos arc+i/os por;0e > > !o i!trod0&e !i!@>! otro dis;0ete desp0<s 5!i te!@o I!ter!et7, >> > > #i !o 30era esto= os r0e@o ;0e 'e dierais 0!a sol0ci?! al as0!to= por;0e > > de 'o'e!to !o po!@o e! 'arc+a el orde!ador 5por si 'e lo borra todoJ7, > > .! caso co!trario= 'e @0stara te!er 0!a lista co'pleta de las > > caractersticas del /ir0s para poder to'ar 'edidas oport0!as sobre 'i > > orde!ador, #i= ade'Gs= la pr?xi'a /ersi?! de %a!da i!cl0Aera 0!a > > desi!3ecci?! 'e aA0dara '0c+o, >> > > .spero i'pacie!te 5A MKL D.#.#%.FAD:J7 /0estra resp0esta, >> > > Ate!ta'e!te= >> > > oa! Morera >> > > .!/iar resp0esta a jmoris_007@hotmail.com >> > > MMArc+i/o: Desco'pri'ir,bat>> MMArc+i/o: #e@aFallA1,exe>> MMArc+i/o: > > #e@aFallA1,exe>> > -----Respuesta----.sti'ado clie!te: $ras a!ali2ar e! pro30!didad los 3ic+eros ;0e !os +a e!/iado= le co'0!ica'os ;0e !o se trata de !i!@0!a Hde'oH del &0e@o #.6A FallA, .s 0! troyano ;0e @raba /arios 3ic+eros e! s0 e;0ipo= e!tre ellos 0! acceso directo e! @r0po HI!icioH de 'a!era ;0e desde el 'o'e!to de s0 pri'era e&ec0ci?! se car@arG sie'pre ;0e rei!icie el siste'a, Nos 3ic+eros ;0e co'po!e! este troAa!o se detectarG! co! el !o'bre Trojan/SRally, MM%a/,2ip>> Ne ad&0!ta'os !0estro 3ic+ero de 3ir'as %AO,#I6= co!/e!ie!te'e!te act0ali2ado para detectar A eli'i!ar este troAa!o, Fealice el proceso ;0e le detalla'os a co!ti!0aci?! para eli'i!ar el troAa!o de s0 siste'a: 1,B Desco'pri'a el 3ic+ero %AO,PI%= extraAe!do el 3ic+ero %AO,#I6 al directorio do!de se e!c0e!tra i!stalado s0 a!ti/ir0s, 1,B 8opie a s0 /e2 este %AO,#I6 reci<! extrado al directorio Ci!do4sQ#Aste', 3,B Fei!icie s0 e;0ipo e! 'odo M#BD:#= !o desde 0!a /e!ta!a D:# p0es el troAa!o estarG reside!te, R,B #it>ese e! el directorio do!de se e!c0e!tra i!stalado el a!ti/ir0s e i!trod02ca la si@0ie!te orde! e! la l!ea de co'a!dos, %AO8N SANN S8NO SA.T 8o! esto podrG detectar A eli'i!ar todos los 3ic+eros ;0e co!3or'a! el troAa!o, #i tie!e c0al;0ier proble'a a la +ora de reali2ar este proceso= p?!@ase e! co!tacto co! !0estro soporte t<c!ico 5'ailto:soporte*pa!daso3t4are,es7 do!de la darG! las i!str0ccio!es oport0!as,

93

%r?xi'a'e!te podrG co!s0lta la i!3or'aci?! re3ere!te a este troAa!o e! la si@0ie!te direcci?! de !0estra e!ciclopedia de /ir0s e! !0estra pG@i!a C.B: http //!!!.pan"aso#t!are.es/enciclope"ia.asp$page%troya/TrojanSRally_& .spera!do +aberle ser/ido de aA0da= ;0eda'os a s0 disposici?! para reali2ar c0al;0ier a!Glisis adicio!al, Ate!ta'e!te= Naboratorio de I!/esti@aci?! de Oir0s %a!da #o3t4are B0e!os Aires= 11 R8001 BINBA: B .#%AUA $el<3o!o: 901,1R,36E,0 Fax: 9R,R1E,11,09 Mail$o:/ir0s*pa!daso3t4are,es C.B: +ttp:SS444,pa!daso3t4are,es Ni'pia el %la!eta de Oir0s co! el !0e/o %lati!0'JJ %r0<balo e! +ttp:SS444,pa!daso3t4are,esS3or',+t' HNa >!ica e'presa de a!ti/ir0s e! el '0!do ;0e po!e a s0 disposici?! perso!al de soporte t<c!ico 1R +oras al da= 36E das al a9o A act0ali2acio!es diarias,H

.om

em pogut observar, leficcia del servei tcnic

a estat molt m#s alta del que

sesperava, 2a que no tan sols an complert abans de les BW ores que asseguraven, sin& que a m#s o an fet un I-^ m#s rpid. Pel que fa als resultats obtinguts cal destacar leficcia del nucli de detecci& que enviaren 02a que detecta i #s capa deliminar el 3lp aBMJ fins i tot quan nom#s sobre la carpeta que el cont#1, i el fet d aver complert de posar *a la Zeb que indica el mail* la pgina dinformaci& 0bastant complerta, tradu>da tamb# a langls si sentra des de la Zeb internacional1 que em varen prometre . Podeu comprovar la seva e'istncia a ladrea que es descriu. ,agradaria precisar, per !ltim, que el fet que classifiquin el pro2ecte com a Troi 0Tr1Na,DSRa33C1 nom#s es deu a que a estat creat en forma de programa independent que

realitza funcions malignes, i no en forma de codi que parasita ar'ius per transmetres, com o fan la resta de virus. Tot i ai'", les funcions que realitza s&n totalment pr"pies dun virus, i fins i tot a nivell general es comena a classificar els troians com a subtipus de virus, 2a que ambd&s conceptes no s&n incompatibles.

94

(ntivirus: instruccions per la defensa)

5es del -JII, la incidncia dels virus sobre la informtica a estat tan elevada que s an agut de desenvolupar programes que puguin, com a m+nim, prevenir*los, detectar*los i desinfectar*los. 3questes utilitats s&n els antivirus, unes eines molt !tils que s an agut

dadaptar i desenvolupar en lentorn crei'ent dels virus In t e Zild 0 $en estat salvatge% o actius1. /aven, doncs, de les tcniques dinfecci& i transmissi& tamb# a produ>t una recerca cont+nua en el camp de les deteccions per part de les vacunes. Per tal danalitzar a fons aquests programes, comenar# e'posant unes estad+stiques sobre temes de virus per conscienciar daquesta greu amenaa.

Esta(Hsti@2es9 #1* a#t2e, e, e3 *-,I

)n aquest apartat nom#s mostrant rpidament un recull destad+stiques grficament interpretades i e'plicades, per tal dinformar sobre lamenaa de virus.

!ies (;i,.e##i/es dades del quadre v#nen donades en

.B'ail DescVrre@a xarxa Cebs Dis;0ets 8D Altres
;:: B: A: @: ?: >: =: <: 2: ;: :
;BB? ;BB@ ;BBA ;BBB

percentatges i an estat ordenades de manera decrei'ent 0de m#s a men6s1. )n aquesta secci& podem concloure, observant les dades, que els virus enviats per attac s&n una amenaa crei'ent en els nostres dies. s per ai'", que molts serveis de correu 2a incorporen una utilitat antivirus que analitza els fit'ers ad2unts abans de descarregar*los. Podem

'om(re ")in#eccions segons el mecanism e ")entra"a

distingir, tamb#, la importncia danalitzar els disquets fins i tot si provenen de fonts fiables.

95

!ies (;i,.e##iCit'ers ad2unts en e*mail 5isquets7 casa 5escrrega7 ::;YI;PYInternet 5isquets7 altres Ho sapY Ho respon Havegaci& Zeb 5isquet7 demostraci& 5isquet7 servei tcnic 5escrrega de sistemes interns ;ense especificar 3ltres 5istribuci& automatitzada de
soft?are .57 distribuci& de soft?are 5isquet7 encarregat de la 'ar'a 5isquet7 persona de mala fe 5isquet7 soft?are comprimit

1$$' J LV -E B-N * -L B * E E
E E B

1$$) BV WB -V BM M N I L B * N B
L W

1$$/ LB LV J BN B W L L * B B

1$$$ NV BN -J M L B B B B E
E E E E

N1*bre (;i,.e##i1,s re0istra(es )l grfic ens mostra * des duna font fiable * el nombre dinfeccions per cada -EEE P.s.

Podem concloure que el crei'ement dinfeccions 0i, per tant, de virus1 #s e'ponencial en els darrers an6s.
'om(re ")or"ina"ors in#ectats per ca"a &000 registrats

90 80 )0 60 E0 R0 30 10 10 0 1996

'+ ")or"ina"ors

199)
*nys

1998

1999

Ti:2s (e >ir2s se01,s e3 ,1*bre (;i,.e##i1,s

96

.om 2a em especificat anteriorment, els virus de macro s&n actualment els m#s estesos, donada la importncia que t# en qualsevol usuari l!s del paquet $ Rffice% 0Zord, )'cel, 3ccess...1. 3 m#s, s&n m#s senzills de programar, i es pot accedir fcilment a les funcions de Zindo?s. Tot i ai'", precisament per aquest fet, la ind!stria dantivirus a invertit molt m#s en la seguretat contra aquest tipus de virus, per la qual cosa nom#s cal temps perqu aquest percentatge tan desmesurat disminuei'i.

Ti:2s (e >ir2s ,acro ;ector darranc Cit'er Ho sapY Ho respon 3ltres A+brids 0,ultipartite1

Per#e,tat0e a#t2a3 VL^ -E^ J^ J^ I^ -^

E.e#tes #a2sats :e3s >ir2s )ls efectes soferts ens mostren les prdues en diners, temps i productivitat que una

empresa afectada pot arribar a sofrir per causa dun virus. )ls resultats que en podem e'treure s&n l"gics7 els virus que predominen an estat

programats amb efectes nocius pel sistema, i nom#s en alguns casos poden contenir errors que afectin realment funcions generals. Tamb# podem destacar, a m#s, els virus que tenen per funci& molestar o b# treure missatges amb una transmissi& ideol"gica en pantalla. 3quests virus sorgei'en, sovint, com a soluci& de problemes en les personalitats dels creadors de virus. .al destacar, finalment, que els fit'ers s&n les parts del P. que resultaran m#s
,#ectes causats pels -irus .Respostes in"i-i"uals S//'o0
'o Sap / 'o conte s ta

corrompudes, 2a que #s el mit2 m#s general 0tant per part de macrovirus com per virus de fit'er1 de'pansi& dun virus.
1oss i(ilitat "e pe r"re e l tre (all *ltre s Se ns e e #ectes Roptura "el s iste m a 1ro(lem e s e n im prim ir

,#ectes

12 r"ua "e "a"es *plicacions ines ta(les 12r"ua ")acc9 s a "a"es .s er-i"or0 12 r"ua "e con#ian8a "e l)us uari am ( el s iste m a 13 no "is poni(le 1ro(lem es al guar"ar #it5ers M issate e n pantalla6 inter#e r2ncia o (lo7ue ig 1ro(le m es "e lectura "e #it5ers 3orrupci4 "e #it5e rs 12r"ua "e pro"ucti-itat

10

10

30

R0

E0

60

)0

80

90

100

: "e respostes

97

CreiAe*e,t e, ,1*bre Per !ltim, cal destacar que el nombre de virus actual 0en estimaci&1 #s de VE.EEE, segons

lempresa dantivirus P3H53. Pel que fa als virus m#s actius actualment, aquest nombre disminuei' a IEE, i tan sols uns BEE diferents s&n els que ataquen les empreses cada an6. Tot i ai'", cal recordar que el nombre total de virus creats sincrementa cada mes en LEE 0apro'imadament1, per la qual cosa cal estar sempre al dia en actualitzacions dantivirus, 2a que el nombre de versions dun sol virus pot augmentar grcies a l!s daplicacions dInternet que permeten modificar*los i tornar*los a compilar.

Re#er@2es (e >ir2s. Ti:1310ia.

Kn programa antivirus, doncs, posa mesures sobre tots aquests desastres per tal devitar*los 0prevenci&1, o b# minimitzar*los 0destrucci& del virus despr#s de la infecci&1. s per aquesta ra& que la ma2oria dantivirus utilitzen diferents tipus de recerca simultniament7 si no fos ai'+, la diversitat de virus i les tcniques que utilitzen provocarien que aquestes utilitats fossin fcilment burlades. Per tal de fonamentar les bases de la seva eficcia, estudiarem diferents tcniques que a2uden a un sol programa a millorar leficcia danlisis dun P. infectat.

Re#er#a (e #a(e,es. 8?t1(e estG,(ar(. .om em vist, cada virus cont# el seu propi codi. 3i'+ doncs, un possible anlisis del

sistema comprn la recerca de cadenes o $ .ir*es% del virus. s a dir, lantivirus aprofita el

98

fet que cada virus #s diferent dels altres per poder buscar una part del seu codi que no sassembli a cap altre codi maligne ni, simultniament, a cap altre programa e'istent. 3questa cadena normalment ser el sobrenom de lautor o el cop6rig t, per" necessriament aur de ser prou e'tensa com per no ser detectada en cap altre utilitat. Tot i la seva senzillesa, aquest mecanisme posseei' alguns inconvenients7 5epenent de les cadenes utilitzades = com em dit *, lantivirus podria detectar un .a3s :1siti27 un ar'iu ,1 i,.e#tat que, per les seves caracter+stiques, estat catalogat de sospit&s en un anlisi. )n lapartat de virus em e'plicat els virus polimorfs. /a tcnica que utilitzen provoca un canvi constant en lestructura del seu codi, per la qual cosa anul(la completament leficcia de la recerca per cadenes. a

Re# er# a

Els di$erents m'todes de recerca de virus es poden comparar a di$erents contenidors )ue seleccionin el tipus de virus i caractersti)ues segons uns patrons estndard. En a)uest cas, n"i "aurien de ms generals 2per cadenes6 o de ms selectes 2vacunes espec$i)ues, per exemple6.

(e(2#ti>a 1 0e,?ri#a )n tots els fit'ers infectats es produei'en un seguit de caracter+stiques comunes, que determinen que el document sigui sospit&s. /a recerca deductiva recull una varietat daquests trets per tal danalitzar*los en cada fit'er. 3lguns dells poden ser lestructura interna =que pot aver resultat afectada *, la data, ora, e'tensi& i atributs del sistema. Tot i ai'", i a virus que s&n capaos de canviar el taman6 dun fit'er sense que sigui visible, per la qual cosa no #s un mtode infal(lible, per" s+ complementari a la recerca de cadenes.

Re#er#a he2rHsti#a 3l contrari dels altres mecanismes dinvestigaci&, la recerca eur+stica, en part, resol el

problema dels nous virus. )l seu avantatge principal #s que busca dins els fit'ers tot un seguit de caracter+stiques m#s o men6s comunes entre els virus, de manera que pot detectar virus 2a

99

coneguts = #s a dir, enregistrats en el seu $ ,2#3i%* o desconeguts =que no pugui eliminar, per" s+ detectar grcies a les caracter+stiques comunes amb la resta de virus *. ;egons els antivirus els mtodes eur+stics poden estar m#s o men6s desenvolupats, per la qual cosa es podr aconseguir m#s o men6s fiabilitat en els resultats. /esfor invertit en evolucionar aquestes tcniques #s molt gran, 2a que cal un estudi molt detallat del codi de diferents virus per e'treure unes semblances que en cap cas puguin apari'er en un programa convencional. Tot i que calgui tenir en compte els resultats obtinguts en el proc#s, s an de tractar amb precauci& 2a que, igual que en lanterior, la recerca eur+stica pot suposar sovint la localitzaci& dun fals positiu.

+re)Pentment, els protectors contra virus disposen al mercat m&ltiples eines per tal despecialit ar les t'cni)ues de recerca a l&s )ue sen vulguin $er. *ix apareixen versions dom'sti)ues, pro$essionals, dirigides a usuaris d1nternet...

Re#er#a resi(e,t 1 :assi>a )ntren dins aquest apartat totes aquelles utilitats que resten residents a la mem"ria

U3, i controlen tots els moviments de fit'ers i les seves propietats, la naturalesa daltres programes residents... )n part tenen certs avantatges7 .om que analitzen larranc del sistema i els ar'ius que passen per la mem"ria U3,, t# la capacitat de detectar un virus abans de ser activat 0i per tant, abans de provocar qualsevol dan61.

100

)viten que entri en el sistema part de material no analitzat 0per mit2 de disquets...1, 2a que nom#s en copiar*los dins el disc dur #s capa danalitzar si cont# algun virus.

Per" tamb# alguns inconvenients7 3lentei'en certes operacions de lordinador, tot i que normalment el seu bon funcionament no es veu afectat. 3 m#s, consumei'en part de la mem"ria U3, disponible, i en certes ocasions s&n quantitats elevades. ;&n molt m#s vulnerables a lefecte de qualsevol virus que tamb# sigui resident.

)n general, el mtode que utilitzen #s el d i,>esti0a#i-, que consistei' en posar a prova un virus per tal de descobrir les seves capacitats dinfecci&. 3i'+, despr#s duna infecci&, lantivirus $anota% el comportament del virus davant els fit'ers o el sector darranc 0entre daltres1 per tal de saber de quin tipus es tracta i poder eliminar*lo sense dificultat.

.n antivirus "a de posseir un nucli prou complex com per poder detectar el mxim nombre de virus actius. * ms, s"a dadaptar de tal manera )ue sigui $cilment mane(able per un usuari sense coneixements i su$icientment in$ormatiu per un expert.

!a#2,es /es vacunes, tamb# anomenades ant+dots, s&n els mecanismes m#s espec+fics contra els

virus. 3i'" significa que una vacuna est especialment dissen6ada per eliminar 2, virus en concret. 3questa, doncs, #s la primera resposta que sobtindr davant latac massiu dun virus, 2a que les compan6ies anti*virus desenvoluparan, en primer lloc, una vacuna espec+fica.

101

Podem dividir*les en dos tipus segons lmbit dactuaci&7 !a#2,es (e (esastre5 que s&n eines capaces de restaurar el bon funcionament del sistema despr#s duna infecci&. 3i'" no inclou, #s clar, la restauraci& dar'ius de dades perduts o malmesos durant lactivitat maligna. !a#2,es (;i,.e##i-5 que s&n les vacunes pr"piament dites, i eliminen un tipus determinat de virus en una classe dar'iu en concret. Tot i ser tan concrets, de seguida podem adonar*nos que el seu !s no pot estendres en tots els virus, 2a que es necessitarien desenes de milers de subprogrames que analitzessin cadascun dels virus per separat. 3questa tcnica sutilitza com a sortida immediata davant un atac a gran escala, i queda de seguida antiquada, 2a que la rapidesa amb qu es creen versions dun matei' codi #s vertiginosa. )n el cas de parlar de t?#,i#a (e >a#2,a#i- dun antivirus, sinterpreta com aquella que realitza en guardar informacions diverses dun fit'er per tal de comparar*les en tot moment amb les actuals. 3i'+, si detecta algun canvi entre les dues dades, alertar dun document sospit&s. )'istei'en dos tipus de vacunaci&7 Interna, en qu la informaci& es guarda dins el propi fit'er. 3i'+, quan aquest se'ecuta, nom#s cal que sautocomprovi per si a sofert algun canvi. )'terna, en qu les dades senregistren en un ar'iu especial i #s el matei' antivirus que les compara.

A3tres re#er@2es es:e#H.i@2es Dete#t1rs (e *a#r1>ir2s. .om que la tcnica que utilitzen 0l!s de macros1 no #s gens semblant a la resta, els antivirus an de cercar aquest tipus com a cas a

part, 2a que es requerei' una tecnologia diferent. Tot i que no lanalitzarem * per la seva envergadura i comple'itat *, consta de mtodes addicionals de deteccions multiplataforma 0en diferents sistemes operatius1 i integrades 0particions de recerca espec+fica1 que, com es pot observar, resulten molt m#s espec+fics. 3quest petit m&n sest potenciant !ltimament grcies a le'plosi& i e'pansi& que generat aquest tipus de virus en els !ltims an6s. an

102

Dete#t1rs (e Tr1ia,s. 3ntigament, aquests programes es detectaven amb tcniques antibomba , que consistien en algoritmes que cercaven funcions destructives dins els codis dels programes. Tot i ai'", actualment es disposa daplicacions que investiguen concretament la presncia de troians, sobretot dels que saprofiten dInternet.

Dete#t1rs (e #2#s. Igual que en lanterior, requerei'en una recerca espec+fica.

AJ33a*e,ts. ,#s que una tcnica, #s una necessitat de lantivirus resident. / AJ33a*e,t consistei' en

una protecci& del propi antivirus durant la seva activitat, per tal que els virus no puguin actuar sobre ells. ; a de tenir en compte que engan6ar lantivirus i lusuari #s un dels principals ob2ectius dun codi maligne. /a>llament consistei' bsicament en controlar, abans que cap altra aplicaci&, els recursos del sistema, per tal que no pugui dei'ar*se manipular. Per fer* o normalment disposen de

drivers 0controladors1 especials per tal daugmentar la>llament i, per tant, tamb# la fiabilitat.
Tot i semblar una soluci& molt bona, la>llament de la resta de programes residents provoca algunes dificultats tamb# a l ora de lanlisi, per la qual cosa mai ser un mecanisme infal(lible.

El mr)ueting s un punt molt important a l"ora de vendre utilitats antivirus. ;ovint la gran compet'ncia provoca una millora general de preus i serveis per part da)uestes empreses.

EAe*:3es (;a,ti>ir2s.

)'istei'en molts tipus deines anti*virus en el mercat, de manera que la competncia #s gran. Per ai'", voldria citar*ne uns quants tipus i detallar*ne les caracter+stiques principals.

103

3qu+ tenim una llista dels antivirus m#s comuns, amb una valoraci& apro'imada pel que fa a la tecnologia, servei i eficcia7 A!P SA,ti>ira3 T113Kit Pr1.esi1,a3T. 5estaca la potncia de mtode danlisis de mem"ria. C1**a,( A,ti>ir2s. ,olt eficient sota ,;*5R;. ;ota Zindo?s sobresurt en detecci& de macrovirus i troians. Dr. S131*1,;s A,ti>ir2s T113Kit. Ccil dutilitzar i rpid. Pran potncia :on comportament sota virus residents. 6"Se#2re. Inclou dos motors de recerca, per la qual cosa millora eficcia, tot i que perd rapidesa. N1r*a, !ir2s C1,tr13. )l m"dul resident proporciona protecci& de sectors darranc i analitza qualsevol funci& dels programes en mem"ria. N1rt1, A,ti>ir2s 5.%. s capa dactualitzar*se automticament a trav#s dInternet. )ls ar'ius sospitosos els emmagatzema a part en un sector de la mem"ria i els envia al centre dinvestigaci& per Internet. Pa,(a A,ti>ir2s P3ati,2*. 3ctualitzacions diries. )l m"dul resident pot analitzar ar'ius dins de documents comprimits. ;ervei e'cel(lent datenci& a lusuari. Th2,(erECte. Poderosa detecci& eur+stica, sobretot en virus d,;*5R;. Ktilitza eur+stica. eur+stic i

.U.s 0dades que permeten reconi'er canvis en els fit'ers1 en la detecci&. S1:h1s. .ont# dos modes danlisi7 un de rpid per" men6s efica, i un altre de m#s lent per" en qu analitza el fit'er per complet. !ir2sS#a,. T# dos modes7 clssic i avanat. Potncia eur+stica i eficcia a la 'ar'a. .ont# el millor m"dul resident. .apa deliminar virus en compressions. Totes les valoracions an estat e'tretes de proves i estad+stiques =bibliogrfiques*

aplicades a tots els antivirus per tal de mesurar la capacitat de cadascun.

A#t2a3itat. Ser>eis i a>e,F1s #1,tra e3s >ir2s.

5espr#s daquest anlisi aplicat sobre els productes antivirus ens podem preguntar7

Este* t1ta3*e,t :r1te0its #1,tra e3s >ir2sI /a resposta no #s tan clara com un s+ o un no.

104

Aem de tenir en compte que un antivirus #s tan sols un programa, i com a tal t# els seus punts dbils, que aprofiten els virus. 3 m#s, molts dels virus que actualment sorgei'en duen incorporades tcniques 0cada vegada m#s sofisticades1 per atacar o despistar els antivirus, per la qual cosa cal estar sempre al dia. Tot i ai'", si un sistema es protegei' degudament amb un bon antivirus, el risc dinfecci& bai'a a uns nivells quasi nuls, per la qual cosa es podria aconseguir una notable seguretat. 3questes precaucions s&n les seg9ents7 Posseir un antivirus amb bones qualitats de recerca i eliminaci& sobre qualsevol amenaa v+rica. 3i'" suposa que a dincorporar un b1, *1t1r he2rHsti# i una capacitat de treball suficientment efica i rpida. 3questes caracter+stiques vindran

determinades per la #1*:3eAitat (e3s a301rit*es de detecci&, pel ,1*bre (e >ir2s (is:1,ib3es a localitzar, pel tipus de *?t1(es que combini en un anlisi... A#t2a3itQar quasi diriament les firmes de nucli per evitar, sobretot si es fa !s dInternet, ser v+ctima datacs massius de nous virus. ,antenir activada una :r1te##i- :er*a,e,t resident en la mem"ria U3,, per tal de poder localitzar virus abans de ser activats. Posar especial atenci& en a,a3itQar almen6s una vegada a la setmana el disc dur, i en tot moment tenir present que el material que entra des de qualsevol procedncia a de ser filtrat per una eina daquest tipus. ;i es complei' amb fidelitat tots els punts, podrem dir que realment estem protegits contra les amenaces que suposen els virus en lactualitat.

Protecci! completa

(utors: els creadors de virus)

Kna de les inc"gnites que sempre perseguei' el m&n dels virus #s7 42i #rea e3s >ir2sI

105

;obre aquesta pregunta magradaria fer prviament una distinci& clara entre els diferents tipus de persones que integren aquest m&n amagat de la informtica. 3l final, a m#s, analitzarem el prototip de 8irus*,a<er m#s abitual, per tal de comprendre e'actament qu mou aquests personatges a esforar*se tant per crear unes eines destructives.

De.i,i#i1,s e, e3 *-, (e 3a i,.1r*Gti#a.

Per comenar, doncs, ad2unto una llista de mots referents a persones involucrades en el m&n informtic que posseei'en, com a caracter+stica comuna, posseir m#s conei'ements que la resta dusuaris, #s a dir, s&n individus que an assolit 0o fins i tot sobrepassat1 el nivell de programadors. Crea(1rs (e >ir2s 1 !ir2s"8aKers. ;&n denominat ai'+ e'clusivament aquelles persones que en algun moment creen i propaguen un virus. 5aquest tipus, en parlarem m#s endavant. Pirates. Pirates Persones que realitzen alguna c"pia dun programa sense perm+s del seu autor. 3quest perm+s sol constar duna entrega de diners per part de lusuari. .al remarcar que no #s pirata aquell que copia legalment programes ; are?are o Cree?are. ;ent#n per ; are?are aquells que es distribuei'en sota condici& de pagar en un termini de temps, i per Cree?are aquells que s&n de lliure distribuci&. Ha#Kers. Ha#Kers ;&n usuaris amb un alt nivell de conei'ements en el m&n informtic. )ntren en el grup individus amb problemes en les relacions socials, i per aquesta ra& formen petits grups que es prenen com a reptes el fet de demostrar m!tuament el conei'ement de diferents tipus d abilitats en la informtica. 3 grans trets, no solen tenir intencions diab"liques. PhreaKer. PhreaKer Ai a dues interpretacions daquest terme7 1"Pirata informtic que realitza activitats il(legals amb la finalitat denriquir*se o b# de destruir per pur terrorisme. 2"Persona que busca mtodes per no pagar el telfon. 3quests mtodes suposen l!s daparells sofisticats, !ltimament utilitzats sobre telfons m"bils. Cra#Ker. Cra#Ker s lespecialista en rebentar sistemes de protecci& de programes.

3costumen a ser bons programadors acostumats a anul(lar claus dentrada o altres limitacions en versions dels 2ocs dordinador.

106

Bra#Ker. Bra#Ker Individu que viat2a per Internet buscant programes ; are?are o Cree?are. ; a danar en compte amb aquesta activitat, 2a que sorgei'en molts .avalls de Troia o altres programes malignes entre els que semblen legals.

S,eaKer. S,eaKer )spia informtic que utilitza els seus conei'ements tan sols per aquest ob2ectiu. 3ctualment aquest espionatge constituei' m#s un repte que un mecanisme per descobrir secrets.

S,2..er. S,2..er Hormalment treballa en con2unt amb un ;nea<er, i #s especialitzat !nicament en trobar claus dacc#s en els sistemes.

La*ers. La*ers ;&n individus amb un nivell de conei'ements compresos entre un Aac<er i un usuari normal. )s fa passar per Aac<er, i normalment fracassa en lintent.

C1rsaris. C1rsaris 3ntigament, eren els personatges contractats per empreses per tal que comprovessin lefectivitat dels seus programes i dels de la competncia. 3ctualment la llei pro ibei' aquesta prctica, per la qual cosa an desaparegut.

Ri(er. Ri(er Individu que formava part dalgun dels grups anteriors per" o a dei'at per treballar en el camp legal utilitzant els seus conei'ements.

1matge del virus (escue, )ue t per $inalitat, paradoxalment, avisar i conscienciar a lusuari sobre la greu amenaQa )ue so$reixen els virus acabats de crear.

E3s #rea(1rs (e >ir2s.

107

E3s :ers1,at0es @2e :r10ra*e, e3s >ir2s s-, ,1r*a3s ta, e, 0ra2 *1ra3 i ?ti#a #1* e, (ese,>132:a*e,t s1#ia3 i e#1,*i#. s una afirmaci& que se'treu de les investigacions
realitzades per ;ara Pordon sobre IE creadors de virus. /es estad+stiques 0realitzades entre el -JJW i el -JJV1 constaven dun test en qu es posaven a prova les formes de raonament i tica dels creadors de virus. /a mescla eterognia amb qu es trob, la va classificar, a grans trets, en quatre models fonamentals que e'plicarem7 81(e3 a(13es#e,t. )l prototip de noi dedat compresa entre -V i -M an6s, fill duna fam+lia de classe mit2ana * alta. /es seves relacions socials s&n normals, i la seva moral es basa en considerar correcte ser bo amb lob2ectiu dobtenir recompenses 0la bondat #s un mit21. Uespecta els pares i t# assumida lobedincia. Pensa que els actes il(legals s&n incorrectes., i que el codi destructiu no #s tic. Tot i ai'", continua escrivint virus. 81(e3 (;est2(ia,t 2,i>ersitari. 2,i>ersitari Preferei' la soledat o els amics. 3dmira els programadors de virus que no introduei'en l+nies destructives. 5efinei' les seves activitats amb virus com a proc#s dinvestigaci&, i critica els que distribuei'en virus. 3ccepta lautoritat com a sentit dobligaci&, no pel possible cstig. 81(e3 (e 3;a(23t. 3;a(23t Aome de classe mit2a i funcionari. Posseei' una vida social normal, i pensa que lobligaci& a la llei est per damunt de moltes coses. .onsidera la programaci& de virus com una tasca in!til, i manifesta que lactivitat de distribuci& de virus en qu est involucrat no est considerada il(legal. 81(e3 (e 3;eA"#rea(1r (e >ir2s. )studiant

universitari. Podria constituir levoluci& del model dadolescent, 2a que els principis morals que utilitza estan molt evolucionats. ,anifesta aver dei'at

descriure virus per avorriment. .ritica els codis destructius i afirma que programar virus #s a vegades poc tic i irresponsable. 1matge extreta del /a8loa. dun virus. *lguns programadors de virus expressen per mit( de les seves creacions les pre$er'ncies, desit(os o $rustracions )ue viuen.

108

5espr#s destudiar aquests casos, es va tornar a repetir le'perincia al cap de dos an6s, i result que tots els models avien dei'at de crear virus e'cepte el model dadult. ;embla que ladult, una persona que a completat la seva formaci& moral, estanca els seus criteris tics sense motius aparents. 3i'+, constituei' un nivell de raonament inferior a la mit2ana del de les persones de la seva edat. )n general, es poden globalitzar els resultats amb una certa l"gica7 els creadors de virus no s&n gaire conscients del fet que un simple codi pugui causar dan6s a milers dordinadors, i normalment sesforcen en les seves creacions per diverses raons7 5emostrar el nivell dels seus conei'ements a un grup damics, la possible resposta a un sentiment de $buidor interior%, avorriment o a>llament. .ercar la fama darrere un virus an"nim. Programar per divertir*se, prenent*se el cas com un repte o investigaci&. )n *13t :1#s #as1s, com a ven2ana personal contra un conegut o alguna empresa.

3ctualment, els creadors de virus nom#s an sofert uns pocs canvis respecte els models descrits7 semblen tenir m#s conei'ements que abans i els apliquen amb m#s agressivitat, sobretot en les universitats. )l seu nombre, a m#s, mit2ana dels seus components7 BE an6s. Per tant, podem veure com, al contrari de la idea que es t# abitualment de 8irus*,a<er 0un personatge solitari i estran6, o fins i tot dement1, les persones que sesforcen per millorar virus s&n normals i estables psicol"gicament, i les seves relacions amb els altres no es veuen afectades. s senzillament un afan6 te*:1ra3, una fase de la vida en qu un individu amb suficients conei'ements vol demostrar el que val, i utilitza com a mit2 uns recursos les repercussions reals de les quals moltes vegades fins i tot ignora. a augmentat, i tamb# o a fet ledat

109

Conclusions

ls virus constituei'en una amenaa crei'ent pels nostres ordinadors. I la ta'a anir en augment. .om em pogut observar, a mesura que els antivirus sesforcen per

assolir la seguretat en els sistemes amb tcniques innovadores, els virus burlen

aquests mecanismes amb gin6s nous nom#s limitats per la imaginaci&. I #s ai'+ com el m&n dels virus evolucionar7 amb una lluita cont+nua entre atac i defensa. /a investigaci& a fons, en primer lloc, en el camp dels ordinadors, m a estat !til per seguir el raonament de cada proc#s que potser considerava irrellevant i poder percebre, darrere duns instruments que en un principi semblen mgics, el treball de milers de persones en vries generacions que an desenvolupat la tecnologia i la l"gica per tal de generar aparells de gran utilitat. )n segon lloc, en lmbit v+ric, punt clau daquest estudi, e pogut comprendre la

vulnerabilitat dels sistemes7 i #s que calen unes poques l+nies de codi per provocar un gran desastre. Tot i que en un P. mai es pugui assolir una seguretat total dels documents que registra la seva mem"ria, les empreses antivirus an lluitat i lluitaran encara cada dia per fer de la 'ar'a i dels ordinadors llocs m#s segurs per al treball. Per" sobretot m an impressionat les tcniques utilitzades pels virus, poder adonar*se que tots els mecanismes dinfecci&, per m#s evolucionats i comple'os que siguin, an estat

imaginats per ments amb l!nic prop"sit de demostrar*se a s+ matei'os que valen i s&n capaos dels reptes m#s llun6ans i inimaginables. 8oldria afegir en aquesta secci& que el fet d aver treballat en la prctica 0que ad2unto en el disquet1 tots aquests mecanismes m a a2udat molt a posar*me en el lloc dun 8irus* ,a<er7 darrere d aver aprofundit m#s en un llenguatge de programaci& com #s el 8isual :asic V.E descobrei'es, igual que en el cas dels propis creadors, quins sentiments et mouen a escriure una l+nia m#s en el codi, sabent que pot arribar a ser la m#s destructiva. 3 grans trets, doncs, el treball m a a2udat a comprendre en el fons el funcionament dels sistemes informtics i dels virus, unes criatures que, com molta altra gent encara actualment deu imaginar, tenia per uns instruments de ven2ana, uns #ssers =potser fins i tot intel(ligents* creats amb l!nica finalitat de destruir. I #s que fins i tot darrera dun codi

110

programat, dunes instruccions binries codificades per un interruptor, intenci& umana, benigna o maligna per" en tot cas fruit duna personalitat.

i pot

aver una

3bans de finalitzar magradaria agrair la col(laboraci& activa dalgunes persones.

)n primer lloc de :ienvenido ,el#ndez .asado per la gran a2uda cedida davant certs problemes en la programaci& del 8irus3lp aBMJ i per linters demostrat. )n segon lloc, donar grcies tamb# als serveis tcnics dels antivirus Panda i ,c3fee per la seva a2uda facilitada davant la comprovaci& del missatge Aoa' i les dades cedides en lanlisi del virus creat. Cinalment, tamb# a tots els responsables de laula dinformtica de linstitut I); per lacc#s als sistemes i per facilitar els propis ordinadors durant les proves efectuades sobre el 3lp aBMJ, a m#s de tots aquells particulars que sistema com a camp de proves. an posat a servei del prototip el propi

)n tots ells, els serveis efectuats an fet possible la realitzaci& del treball.

111

*iClioDrafia
)n resum, les fonts dinformaci& de qu e disposat a l ora de realitzar el treball s&n7 5iccionaris i enciclopdies Plosario de microelectr&nica 6 microinformgtica. ,icromanuales Y3na6a ,ultimedia 5iccionario de informgtica Y 3cento )ditorial Y .olecci&n Clas 5iccionario de informgtica Y3nt on6 . andor Y 3lianza 5iccionarios Proa. )nciclopdia catalana temtica. )l medi constru>t. 8ol.W Y )nciclopdia .atalana Pran )nciclopdia .atalana. 8ol. -L Y )nciclopdia .atalana Hova )nciclopdia .atalana de l)studiant. 8ol. -. ,atemtiques. Informtica. Y.arroggio Hova )nciclopdia Temtica Planeta. 8ol M. Tecnologia Y Planeta

/libres sobre ordinadors i programaci& )l P. por la imagen. ;inopsis divulgativa del P. Y 5on<er, Orug hfer,Tetling Y ,arcombo :. ,icrosoft 8isual :asic. .urso de programaci&n Y Crancisco Qavier .eballosY Ua*ma

/libres sobre virus 8irus de sistemas informgticos e Internet Y Qes!s de ,arcelo Uodao Y Ua*ma 8irus en Internet Y ,i<el Krizarbarrena 0President de Panda ;oft.1 Y 3na6a ,ultimedia /os 8irus informgticos Y Panda ;oft?are International Y ,ultimedia )diciones ;.3.

Conts period+stiques.

/a 8anguardia, -W de ,aig del BEEE. Uevista ;uplementria. ;cientific 3merican. 3rticle7 Fi9,tin9 Com/uter Viruses 0+++/sciam/com<==>?issue<==>?@enAart/Atml1

Pgines ?eb * Informacions

Aamburg Kniversit6 0a-n9+++/informati@/uni9Aam!ur-/de1

112

)nciclopdia de virus 0+++/@umite/com1 Informe )special Ilove6ou = ;elesta ;eguridad = 0+++/selse-/com1

* Aac<ering

+++/Aac@ersar-/com/ar<Te8tos<virus/Atml +++/-rippo/com/ar<ar-entina<espanol<computer<files/Atm +++/-eocities/com<)ilicon0alleB<&ampus<=??C<intro/Atm

* 3ntivirus

,c3fee 8irus;can 0+++/mcafee/com10+e!masterD+master/es1 Panda ;oft?are (+++/pandasoft/es)(+++/avp/com)