Introducción a la Ingeniería de Sistemas

Evolución de los Virus Informáticos

 En 1949 el matemático John Von Neumann describió programas que se

reproducían a sí mismos y que podrían asemejarse a los que hoy conocemos
como virus informáticos.

 En los años 60 se desarrolló un juego llamado Core Wars (precursor de los

virus actuales). Se reproducía cada vez que se ejecutaba y podía llegar a
saturar la memoria del equipo de otro jugador.

 En 1986 aparece el virus Brain, un código malicioso originario de Pakistán que

infecta los sectores de arranque de los discos. Aparece también el primer
troyano en forma de una aplicación llamada PC-Write.

 En 1987 aparece Suriv-02, un virus que infectaba ficheros COM y que dio
origen al famoso virus Jerusalem o Viernes 13.

 En 1988 hace su aparición el famoso “gusano de Morris” que llegó a infectar

6000 ordenadores.

 En 1989 aparece el DARK AVENGER. Este infecta los programas rápidamente

pero el daño subsiguiente se produce lentamente, lo que permite que el virus
pase sin ser detectado durante largo tiempo.

 En 1991 aparecen juegos para la construcción de virus, que permiten casi a

cualquier persona crear un virus fácilmente, aparecen las tablillas de mensajes
para intercambio de información.
 En 1992 aparece MICHELANGELO, configurado para reescribir partes del
disco duro infectado.
 En 1995 aparece CONCEPT, el primer virus de macro. Escrito en el lenguaje
Word Basic de Microsoft.
 En 1999 aparece el virus CHERNOBYL, que hace todo el disco duro y la
información del usuario totalmente inaccesible, ataca en el mes de abril. El
virus MELISSA ataca a cientos de miles de computadoras en todo el mundo.

 En 2000 el virus LOVE LETTER, lanzado desde la Filipinas, barre gran parte
de Europa y EEUU en solo 6 horas. Infecta a 2,5 a 3 millones de máquinas,
con un estimado de $ 8700 millones en daños.

CARACTERISTICAS DE LOS VIRUS INFORMATICOS

1. Los virus informáticos están hechos en Assembler, un lenguaje de programación

de bajo nivel. Las instrucciones compiladas por Assembler trabajan
directamente sobre el hardware, esto significa que no es necesario ningún
software intermedio.

2. El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y

más difícil de detectar), que permanece inactivo hasta que un hecho externo
hace que el programa sea ejecutado o el sector de "booteo" sea leído.

Escuela profesional de Ingeniería de Sistemas - Ing. Erick Martín Amaya Ordinola

Introducción a la Ingeniería de Sistemas

3. Normalmente este tipo de programas se pega a alguna entidad ejecutable que le

facilitará la subida a memoria principal y la posterior ejecución.

4. Los más comunes son los residentes en la memoria que pueden replicarse
fácilmente en los programas del sector de "booteo".

5. Menos comunes son los no-residentes que no permanecen en la memoria

después que el programa-huésped es cerrado.

6. Según sus características un virus puede contener tres módulos principales: el

módulo de ataque, el módulo de reproducción, y el módulo de defensa.

FORMAS DE INFECCIÓN

1. Añadidura o empalme. Por este método el código del virus se agrega al final
del archivo ejecutable a infectar, modificando las estructuras de arranque del
archivo anfitrión de manera que el control del programa pase primero al virus
cuando se quiera ejecutar el archivo.

2. Inserción. Los virus que utilizan el método de inserción buscan alojarse en

zonas de código no utilizadas o en segmentos de datos dentro de los archivos
que contagian, de esta manera la longitud total del archivo infectado no varía.

3. Reorientación. Este método es una variante interesante del anterior. Bajo este
esquema se introducen centrales virósicas (los códigos principales del virus) en
zonas físicas del disco rígido marcadas como defectuosas o en archivos
ocultos del sistema.

4. Polimorfismo. Este es el método más avanzado de contagio logrado por los

programadores de virus. La técnica básica usada es la de inserción del código
viral en un archivo ejecutable, pero para evitar el aumento de tamaño del
archivo infectado, el virus compacta parte de su código y del código del archivo
anfitrión de manera que la suma de ambos sea igual al tamaño original del
archivo.

DETECCION Y PREVENCIÓN

Detección:

Esta es una lista de síntomas que pueden observarse en una computadora de la que
se sospeche esté infectada por alguno de los virus más comunes:

 Operaciones de procesamiento más lentas.

 Los programas tardan más tiempo en cargarse.
 Los programas comienzan a acceder por momentos a las disqueteras y/o al
disco rígido.
 Disminución no justificada del espacio disponible en el disco rígido y de la
memoria RAM disponible, en forma constante o repentina.
 Aparición de programas residentes en memoria desconocidos.

Escuela profesional de Ingeniería de Sistemas - Ing. Erick Martín Amaya Ordinola

Introducción a la Ingeniería de Sistemas

¿Cómo realizan las detecciones los Antivirus?

Búsqueda de Cadenas:
Cada uno de los virus contiene en su interior determinadas cadenas de caracteres que
le identifican (firmas del virus). Los programas antivirus incorporan un fichero
denominado "fichero de firmas de virus" en el que guardan todas estas cadenas, para
hacer posible la detección de cualquiera de ellos.

Excepciones:
Es otra alternativa en lo que se refiere a la detección de virus. Cuando un virus utiliza
una cadena para realizar una infección, pero en posteriores infecciones emplea otras
distintas, es difícil detectarlo. En ese caso lo que el programa antivirus consigue es
realizar directamente la búsqueda de un virus en concreto.

Análisis Heurístico:
Se analizan los archivos, obteniendo determinada información (tamaño, fecha y hora
de creación, posibilidad de colocarse en memoria,...etc.). Esta información es
contrastada por el programa antivirus con las informaciones anteriores a cerca de
cada uno de los ficheros objeto del análisis. El antivirus será quien decida si puede
tratarse de una infección vírica, o no.

Protección Permanente:
La protección permanente vigila constantemente todas aquellas operaciones
realizadas en el ordenador que sean susceptibles de permitir una infección por un
virus. No hay que estar pendiente de analizar todo lo que se recibe: la protección
permanente se encarga de ello automáticamente.

Medidas de prevención:
 La primera medida de prevención a ser tenida en cuenta es contar con un
sistema antivirus y utilizarlo correctamente. Controlar la entrada de archivos al
disco rígido de la computadora, lo cual se logra revisando con el antivirus todos
los disquetes o medios de almacenamiento en general y, por supuesto,
disminuyendo al mínimo posible todo tipo de tráfico.

 Una forma bastante eficaz de proteger los archivos ejecutables es utilizar un

programa chequeador de integridad que verifique que estos archivos no sean
modificados.

 Para prevenir la infección con un virus de sector de arranque, lo más

indicado es no dejar disquetes olvidados en la disquetera de arranque y contar
con un antivirus.

Escuela profesional de Ingeniería de Sistemas - Ing. Erick Martín Amaya Ordinola