Historia de los virus informáticos
El post es bastante largo pero leanlo vale la pena.Les dejo una recomendación vayan a
SÍNTOMAS TÍPICOS DE UNA INFECCIÓN,les puede servir de mucho.
En definitiva, sea cual fuere el motivo por el cual se siguen produciendo virus, se
debe destacar que su existencia no ha sido sólo perjuicios: gracias a ellos, mucha
gente a tomado conciencia de qué es lo que tiene y cómo protegerlo.
HISTORIA DE LOS VIRUS
Hacia finales de los años 60, Douglas McIlory, Víctor Vysottsky y Robert Morís
idearon un juego al que llamaron Core War (Guerra en lo Central, aludiendo a la
memoria de la computadora), que se convirtió en el pasatiempo de algunos de los
programadores de los laboratorios Bell de AT&T.
El juego consistía en que dos jugadores escribieran cada uno un programa
llamado organismo, cuyo hábitat fuera la memoria de la computadora. A partir de
una señal, cada programa intentaba forzar al otro a efectuar una instrucción
inválida, ganando el primero que lo consiguiera.
Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que
estas actividades eran severamente sancionadas por los jefes por ser un gran
riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del día
siguiente. De esta manera surgieron los programas destinados a dañar en la
escena de la computación.
Históricamente los virus informáticos fueron descubiertos por la prensa el 12 de
octubre de 1985, con una publicación del New York Times que hablaba de un virus
que fue se distribuyo desde un BBS y aparentemente era para optimizar los
sistemas IBM basados en tarjeta gráfica EGA, pero al ejecutarlo salía la
presentación pero al mismo tiempo borraba todos los archivos del disco duro, con
un mensaje al finalizar que decía "Caíste".
Bueno en realidad este fue el nacimiento de su nombre, ya que los programas con
código integrado, diseñados para hacer cosas inesperadas han existido desde que
existen las computadoras. Y ha sido siempre la obra de algún programador
delgado de ojos de loco.
Pero las primeras referencias de virus con fines intencionales surgieron en 1983
cuando Digital Equipament Corporation (DEC) empleó una subrutina para proteger
su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de
ser copia ilegal borraba todos los archivos de su unidad de disco.
Uno de los primeros registros que se tienen de una infección data del año 1987,
cuando en la Universidad estadounidense de Delaware notaron que tenían un
virus porque comenzaron a ver "© Brain" como etiqueta de los disquetes.
La causa de ello era Brain Computer Services, una casa de computación
paquistaní que, desde 1986, vendía copias ilegales de software comercial
infectadas para, según los responsables de la firma, dar una lección a los piratas.
Ellos habían notado que el sector de booteo de un disquete contenía código
ejecutable, y que dicho código se ejecutaba cada vez que la máquina se
inicializaba desde un disquete.
Lograron reemplazar ese código por su propio programa, residente, y que este
instalara una réplica de sí mismo en cada disquete que fuera utilizado de ahí en
más.
También en 1986, un programador llamado Ralf Burger se dio cuenta de que un
archivo podía ser creado para copiarse a sí mismo, adosando una copia de él a
otros archivos. Escribió una demostración de este efecto a la que llamó VIRDEM,
que podía infectar cualquier archivo con extensión .COM.
Esto atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él
desconocía lo que estaba ocurriendo en Paquistán, no mencionó a los virus de
sector de arranque (boot sector). Para ese entonces, ya se había empezado a
diseminar el virus Vienna.
Actualmente, los virus son producidos en cantidades extraordinarias por
muchisima gente alrededor del planeta. Algunos de ellos dicen hacerlo por
divercion, otros quizás para probar sus habilidades. De cualquier manera, hasta se
ha llegado a notar un cierto grado de competitividad entre los autores de estos
programas.
El hecho de escribir programas vírales da al programador cierta fuerza coercitiva,
lo pone fuera de las reglas convencionales de comportamiento. Este factor es uno
de los más importantes, pues el sentimiento de pertenencia es algo necesario para
todo ser humano, y es probado que dicho sentimiento pareciera verse reforzado
en situaciones marginales.
Por otro lado, ciertos programadores parecen intentar legalizar sus actos poniendo
sus creaciones al alcance de mucha gente, (vía Internet, BBS especializadas, etc.)
haciendo la salvedad de que el material es peligroso, por lo cual el usuario debería
tomar las precauciones del caso.
QUÉ NO ES UN VIRUS
Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al
usuario. Estos no-virus carecen de por lo menos una de las tres características
que identifican a un virus (dañino, auto reproductor y subrepticio). Veamos un
ejemplo de estos no - virus: "Hace algunos años, la red de I. B. M., encargada de
conectar más de 130 países, fue virtualmente paralizada por haberse saturado con
un correo electrónico que contenía un mensaje de felicitación navideña que, una
vez leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas
de distribución de correo del usuario. Al cabo de un tiempo, fueron tantos los
mensajes que esperaban ser leídos por sus destinatarios que el tráfico se volvió
demasiado alto, lo que ocasionó la caída de la red".
Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento
de una computadora es necesariamente un virus.
Por ello, daré algunas de las pautas principales para diferenciar entre qué debe
preocuparnos y qué no:
BUGS (Errores en programas)
Los bugs no son virus, y los virus no son bugs. Todos usamos programas que
tienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy
extenso, eventualmente algo puede comenzar a ir mal dentro del programa, y este
a negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desde
la última grabación. Esto, en muchos casos, se debe a ERRORES del programa.
Todos los programas lo suficientemente complejos tienen bugs.
FALSA ALARMA
Algunas veces tenemos problemas con nuestro hardware o software y, luego de
una serie de verificaciones, llegamos a la conclusión de que se trata de un virus,
pero nos encontramos con una FALSA ALARMA luego de correr nuestro programa
antivirus.
Desafortunadamente no hay una regla estricta por la cual guiarse, pero
contestarse las siguientes preguntas puede ser de ayuda:
¿Es sólo un archivo el que reporta la falsa alarma (o quizás varios, pero copias del
mismo)?.
¿Solamente un producto antivirus reporta la alarma? (Otros productos dicen que el
sistema está limpio).
¿Se indica una falsa alarma después de correr múltiples productos, pero no
después de bootear, sin ejecutar ningún programa?.
Si al menos una de nuestras respuestas fue afirmativa, es muy factible que
efectivamente se trate de una falsa alarma.
PROGRAMAS CORRUPTOS
A veces algunos archivos son accidentalmente dañados, quizás por problemas de
hardware. Esto quiere decir que no siempre que encontremos daños en archivos
deberemos estar seguros de estar infectados.
QUE ES UN VIRUS
Un virus es simplemente un programa, elaborado accidental o intencionadamente
para instalarse en la computadora de un usuario sin el conocimiento o el permiso
de este.
Podríamos decir que es una secuencia de instrucciones y rutinas creadas con el
único objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa
mayoría de los casos, corromper o destruir parte o la totalidad de los datos
almacenados en el disco. De todas formas, dentro del término "virus informático"
se suelen englobar varios tipos de programas.
Todos estos programas tienen en común la creación de efectos perniciosos; sin
embargo, no todos pueden ser considerados como virus propiamente dichos.
Decimos además que es un programa parásito porque el programa ataca a los
archivos o sector es de "booteo" o arranque y se reproduce a sí mismo para
continuar su esparcimiento.
Algunos se limitan solamente a multiplicarse, mientras que otros pueden producir
serios daños que pueden afectar a los sistemas. Nunca se puede asumir que un
virus es inofensivo y dejarlo "flotando" en el sistema.
Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los
primeros son agentes externos que invaden células para alterar su información
genética y reproducirse, los segundos son programas-rutinas, en un sentido más
estricto, capaces de infectar archivos de computadoras, reproduciéndose una y
otra vez cuando se accede a dichos archivos, dañando la información existente en
la memoria o alguno de los dispositivos de almacenamiento del ordenador.
Tienen diferentes finalidades: Algunos sólo 'infectan', otros alteran datos, otros los
eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el
mismo: PROPAGARSE.
Es importante destacar que el potencial de daño de un virus informático no
depende de su complejidad sino del entorno donde actúa.
TIPOS DE VIRUS
Los virus se clasifican por el modo en que actúan infectando la computadora:
Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys /
.bin
Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.
Múltiples: Infectan programas y sectores de "booteo".
Bios: Atacan al Bios para desde allí reescribir los discos duros.
Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del
sentido común.
Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los
novatos especialmente en la Internet a pesar que los rumores lo muestran como
algo muy serio y a veces la información es tomada por la prensa especializada.
Por lo general, como ya se expresó, la difusión se hace por cadenas de e-mail con
terribles e inopinadas advertencias. En realidad el único virus es el mensaje.
Por último, cabe destacar que los HOAX están diseñados únicamente para asustar
a los novatos (y a los que no lo son tanto). Otros como el mensaje del carcinoma
cerebral de Jessica, Jessica Mydek, Anabelle, Ana, Billy y otros personajes
imaginarios tampoco son reales como tampoco lo es la dirección [email protected],
ya que fueron creados para producir congestionamiento en la Internet.
A continuación se da un pequeño repaso a cada uno de ellos poniendo de
manifiesto sus diferencias. La clasificación es la siguiente:
Virus 'Puro'
Caballo de Troya
Bomba Lógica
Gusano o Worm
Y Otros
Todos estos programas tienen en común la creación de efectos perniciosos; sin
embargo, no todos pueden ser considerados como virus propiamente dichos.
Virus Puro
Un verdadero virus tiene como características más importantes la capacidad de
copiarse a sí mismo en soportes diferentes al que se encontraba originalmente, y
por supuesto hacerlo con el mayor sigilo posible y de forma transparente al
usuario; a este proceso de auto réplica se le conoce como "infección", de ahí que
en todo este tema se utilice la terminología propia de la medicina: "vacuna",
"tiempo de incubación", etc. Como soporte entendemos el lugar donde el virus se
oculta, ya sea fichero, sector de arranque, partición, etc.
Un virus puro también debe modificar el código original del programa o soporte
objeto de la infección, para poder activarse durante la ejecución de dicho código;
al mismo tiempo, una vez activado, el virus suele quedar residente en memoria
para poder infectar así de forma trasparente al usuario.
Caballo de Troya
Al contrario que el virus puro, un Caballo de Troya es un programa maligno que se
oculta en otro programa legítimo, y que produce sus efectos perniciosos al
ejecutarse este ultimo. En este caso, no es capaz de infectar otros archivos o
soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las
ocasiones, para causar su efecto destructivo.
Bomba Lógica
Se trata simplemente de un programa maligno que permanece oculto en memoria
y que solo se activa cuando se produce una acción concreta, predeterminada por
su creador: cuando se llega a una fecha en concreto ( Viernes 13 ), cuando se
ejecuta cierto programa o cierta combinación de teclas, etc.
Gusano o Worm
Por último, un gusano en un programa cuya única finalidad es la de ir
consumiendo la memoria del sistema, mediante la realización de copias sucesivas
de sí mismo, hasta desbordar la RAM, siendo ésta su única acción maligna.
La barrera entre virus puros y el resto de programas malignos es muy difusa,
prácticamente invisible, puesto que ya casi todos los virus incorporan
características propias de uno o de varios de estos programas: por ejemplo, los
virus como el Viernes 13 son capaces de infectar otros archivos, siendo así virus
puro, pero también realizan su efecto destructivo cuando se da una condición
concreta, la fecha Viernes 13, característica propia de una bomba lógica; por
último, se oculta en programas ejecutables teniendo así una cualidad de Caballo
de Troya. De ahí la gran confusión existente a este respecto.
Virus De Macros
Esta entre las novedades surgidas últimamente en el mundo de los virus, aunque
no son totalmente nuevos, parece que han esperado hasta 1995 para convertirse
en una peligrosa realidad. Por desgracia, ya existe un número importante de virus
de este tipo catalogados, que han sido escritos en WordBasic, el potente lenguaje
incluido en Microsoft Word.
Estos virus sólo afectan a los usuarios de Word para Windows y consisten en un
conjunto de macros de este procesador de textos. Aunque el peligro del virus se
restringe a los usuarios de Word, tiene una importante propagación ya que puede
infectar cualquier texto, independientemente de la plataforma bajo la que éste se
ejecute: Mac, Windows 3.x, Windows NT, W95 y OS/2. Este es el motivo de su
peligrosidad, ya que el intercambio de documentos en disquete o por red es
mucho más común que el de ejecutables.
Virus Mutantes
Son los que al infectar realizan modificaciones a su código, para evitar ser
detectados o eliminados (NATAS o SATÁN, Miguel Angel, por mencionar
algunos).
g) Bombas de Tiempo
Son los programas ocultos en la memoria del sistema o en los discos, o en los
archivos de programas ejecutables con tipo COM o EXE. En espera de una fecha
o una hora determinadas para "explotar". Algunos de estos virus no son
destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la
"explosión". Llegado el momento, se activan cuando se ejecuta el programa que
las contiene.
Auto reproducción
Son los virus que realizan las funciones mas parecidas a los virus biológicos, ya
que se auto reproducen e infectan los programas ejecutables que se encuentran
en el disco. Se activan en una fecha u hora programadas o cada determinado
tiempo, contado a partir de su última ejecución, o simplemente al "sentir" que se
les trata de detectar. Un ejemplo de estos es el virus del Viernes 13, que se
ejecuta en esa fecha y se borra (junto con los programas infectados), evitando así
ser detectado.
Infecciones del sistema
Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros
que se alojan como residentes en memoria. Los comandos del Sistema Operativo,
como COPY, DIR o DEL, son programas que se introducen en la memoria al
cargar el Sistema Operativo y es así como el virus adquiere el control para infectar
todo disco que sea introducido a la unidad con la finalidad de copiarlo o
simplemente para ver sus carpetas (también llamadas: folders, subdirectorios,
directorios).
Infecciones de programas ejecutables
Estos son los virus mas peligrosos, porque se diseminan fácilmente hacia
cualquier programa (como hojas de cálculo, juegos, procesadores de palabras).
La infección se realiza al ejecutar el programa que contiene al virus, que en ese
momento se posiciona en la memoria de la computadora y a partir de entonces
infectará todos los programas cuyo tipo sea EXE o COM, en el instante de
ejecutarlos, para invadirlos autocopiándose en ellos.
Aunque la mayoría de estos virus ejecutables "marca" con un byte especial los
programas infectados --para no volver a realizar el proceso en el mismo disco--,
algunos de ellos (como el de Jerusalén) se duplican tantas veces en el mismo
programa y en el mismo disco, que llegan a saturar su capacidad de
almacenamiento.
CARACTERÍSTICAS DE LOS VIRUS
El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y más
difícil de detectar), que permanece inactivo hasta que un hecho externo hace que
el programa sea ejecutado o el sector de "booteo" sea leído. De esa forma el
programa del virus es activado y se carga en la memoria de la computadora,
desde donde puede esperar un evento que dispare su sistema de destrucción o se
duplique a sí mismo.
Los virus pueden llegar a "camuflarse" y esconderse para evitar la detección y
reparación. Como lo hacen:
El virus re-orienta la lectura del disco para evitar ser detectado;
Los datos sobre el tamaño del directorio infectado son modificados en la FAT, para
evitar que se descubran bytes extra que aporta el virus;
Los virus se transportan a través de programas tomados de BBS (Bulletin Boards)
o copias de software no original, infectadas a propósito o accidentalmente.
También cualquier archivo que contenga "ejecutables" o "macros" puede ser
portador de un virus: downloads de programas de lugares inseguros; e-mail con
"attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existen
virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o Html
NO PUEDEN contener virus, aunque pueden ser dañados por estos.
Los virus de sectores de "booteo" se instalan en esos sectores y desde allí van
saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden
dañar el sector o sobreescribirlo. Lamentablemente obligan al formateo del disco
del drive infectado. En cambio los virus de programa, se manifiestan cuando la aplicación infectada es
ejecutada, el virus se activa y se carga en la memoria, infectando a cualquier
programa que se ejecute a continuación.Asimismo, se pueden distinguir tres módulos principales de un virus informático:
Módulo de Reproducción
Módulo de Ataque
Módulo de Defensa
El módulo de reproducción
se encarga de manejar las rutinas de "parasitación" de entidades ejecutables (o
archivos de datos, en el caso de los virus macro) a fin de que el virus pueda
ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistema
e infectar otras entidades permitiendo se traslade de una computadora a otra a
través de algunos de estos archivos.
El módulo de ataque
es optativo. En caso de estar presente es el encargado de manejar las rutinas de
daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de
producir los daños que se detallarán más adelante, tiene un módulo de ataque que
se activa cuando el reloj de la computadora indica 6 de Marzo. En estas
condiciones la rutina actúa sobre la información del disco rígido volviéndola
inutilizable.
El módulo de defensa
Tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede
estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que
provoque la remoción del virus y retardar, en todo lo posible, su detección.
EFECTOS Y DAÑOS
DAÑOS DE LOS VIRUS
Definiremos daño como acción una indeseada, y los clasificaremos según la
cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías
de daños hechos por los virus, de acuerdo a la gravedad.
DAÑOS TRIVIALES
Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día
18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse
del virus implica, generalmente, segundos o minutos.
DAÑOS MENORES
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los
viernes 13, todos los programas que uno trate de usar después de que el virus
haya infectado la memoria residente. En el peor de los casos, tendremos que
reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.
d) DAÑOS MODERADOS
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicación de Archivos), o sobreescribe el disco rígido.
En este caso, sabremos inmediatamente qué es lo que está sucediendo, y
podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás
nos lleve una hora.
DAÑOS MAYORES.
Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar
desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al
último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que
infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este
contador llega a 16, elige un sector del disco al azar y en él escribe la frase:
"Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el
día en que detectemos la presencia del virus y queramos restaurar el último
backup notaremos que también él contiene sectores con la frase, y también los
backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron
creados con posterioridad a ese backup.
DAÑOS SEVEROS
Los daños severos son hechos cuando un virus realiza cambios mínimos,
graduales y progresivos. No sabemos cuándo los datos son correctos o han
cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es
decir, no podemos buscar la frase Eddie lives ...).
DAÑOS ILIMITADOS
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros,
obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe
aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un
nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la
clave. El daño es entonces realizado por la tercera persona, quien ingresará al
sistema y haría lo q Modificación de programas para que dejen de funcionar.
Modificación de programas para que funcionen erróneamente.
Modificación sobre los datos.
Eliminación de programas y/o datos.
Acabar con el espacio libre en el disco rígido.
Hacer que el sistema funcione mas lentamente.
Robo de información confidencial.
HARDWARE
Borrado del BIOS
Quemado del procesador por falsa información del sensor de temperatura
Rotura del disco rígido al hacerlo leer repetidamente sectores específicos que
fuercen su funcionamiento mecánico.
SÍNTOMAS TÍPICOS DE UNA INFECCIÓN.
El sistema operativo o un programa toma mucho tiempo en cargar sin razón
aparente.
El tamaño del programa cambia sin razón aparente.
El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea
necesariamente así.
Si se corre el CHKDSK no muestra "655360 bytes available".
En Windows aparece "32 bit error".
La luz del disco duro en la CPU continua parpadeando aunque no se este
trabajando ni haya protectores de pantalla activados. (Se debe tomar este
síntoma con mucho cuidado, porque no siempre es así).
No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
Aparecen archivos de la nada o con nombres y extensiones extrañas.
Síntomas que indican la presencia de Virus
Cambios en la longitud de los programas
Cambios en la fecha y / u hora de los archivos
Retardos al cargar un programa
Operación más lenta del sistema
Reducción de la capacidad en memoria y / o disco rígido
Sectores defectuosos en los disquetes
Mensajes de error inusuales
Actividad extraña en la pantalla
Fallas en la ejecución de los programas
Fallas al bootear el equipo
Escrituras fuera de tiempo en el disco
a) Cómo se propagan los virus
Disquetes u otro medio de almacenamiento removible
Software pirata en disquetes o CDs
Redes de computadoras
Mensajes de correo electrónico
Software bajado de Internet
Discos de demostración y pruebas gratuitos
Añadidura o empalme:
El código del virus se agrega al final del archivo a infectar, modificando las
estructuras de arranque del archivo de manera que el control del programa pase
por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus
tareas específicas y luego entregue el control al programa. Esto genera un
incremento en el tamaño del archivo lo que permite su fácil detección.
Inserción:
El código del virus se aloja en zonas de código no utilizadas o en segmentos de
datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas
muy avanzadas de programación, por lo que no es muy utilizado este método.
Reorientación:
Es una variante del anterior. Se introduce el código principal del virus en zonas
físicas del disco rígido que se marcan como defectuosas y en los archivos se
implantan pequeños trozos de código que llaman al código principal al ejecutarse
el archivo. La principal ventaja es que al no importar el tamaño del archivo el
cuerpo del virus puede ser bastante importante y poseer mucha funcionalidad. Su
eliminación es bastante sencilla, ya que basta con rescribir los sectores marcados
como defectuosos.
Polimorfismo:
Este es el método mas avanzado de contagio. La técnica consiste en insertar el
código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño
del archivo infectado, el virus compacta parte de su código y del código del archivo
anfitrión, de manera que la suma de ambos sea igual al tamaño original del
archivo. Al ejecutarse el programa infectado, actúa primero el código del virus
descompactando en memoria las porciones necesarias. Una variante de esta
técnica permite usar métodos de encriptación dinámicos para evitar ser detectados
por los antivirus.
Sustitución:
Es el método mas tosco. Consiste en sustituir el código original del archivo por el
del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para
disimular este proceder reporta algún tipo de error con el archivo de forma que
creamos que el problema es del archivo.
FormatC: Troyano que infecta el Word, al abrir un archivo infectado formatea el
disco rígido.
Back Orifice2000 (BO2K): Funcionalmente es un virus y sirve para el robo de
información. Permite tomar control remoto de la PC o del servidor infectados, con
la posibilidad de robar información y alterar datos.
VBS/Bubbleboy: Troyano que se ejecuta sin necesidad de abrir un attachment, y
se activa inmediatamente después de que el usuario abra el mail. No genera
problemas serios.
FORMAS DE OCULTAMIENTO
Un virus puede considerarse efectivo si, además de extenderse lo más
ampliamente posible, es capaz de permanecer oculto al usuario el mayor tiempo
posible; para ello se han desarrollado varias técnicas de ocultamiento o sigilo.
Para que estas técnicas sean efectivas, el virus debe estar residente en memoria,
puesto que debe monitorizar el funcionamiento del sistema operativo. La base
principal del funcionamiento de los virus y de las técnicas de ocultamiento,
además de la condición de programas residentes, la intercepción de
interrupciones. El DOS y los programas de aplicación se comunican entre sí
mediante el servicio de interrupciones, que son como subrutinas del sistema
operativo que proporcionan una gran variedad de funciones a los programas. Las
interrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco,
abrir ficheros, fijar la hora del sistema, etc. Y es aquí donde el virus entra en
acción, ya que puede sustituir alguna interrupción del DOS por una suya propia y
así, cuando un programa solicite un servicio de esa interrupción, recibirá el
resultado que el virus determine.
Entre las técnicas más usuales cabe destacar el ocultamiento o stealth, que
esconde los posibles signos de infección del sistema. Los síntomas más claros del
ataque de un virus los encontramos en el cambio de tamaño de los ficheros, de la
fecha en que se crearon y de sus atributos, y en la disminución de la memoria
disponible.
Estos problemas son indicadores de la posible presencia de un virus, pero
mediante la técnica stealth es muy fácil (siempre que se encuentre residente el
virus) devolver al sistema la información solicitada como si realmente los ficheros
no estuvieran infectados. Por este motivo es fundamental que cuando vayamos a
realizar un chequeo del disco duro arranquemos el ordenador con un disco de
sistema totalmente limpio.
El módulo de reproducción
Se encarga de manejar las rutinas de "parasitación" de entidades ejecutables (o
archivos de datos, en el caso de los virus macro) a fin de que el virus pueda
ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar control del sistema
e infectar otras entidades permitiendo se traslade de una computadora a otra a
través de algunos de estos archivos.
El módulo de ataque
es optativo. En caso de estar presente es el encargado de manejar las rutinas de
daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de
producir los daños que se detallarán más adelante, tiene un módulo de ataque que
se activa cuando el reloj de la computadora indica 6 de Marzo. En estas
condiciones la rutina actúa sobre la información del disco rígido volviéndola
inutilizable.
El módulo de defensa
tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar
o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que
provoque la remoción del virus y retardar, en todo lo posible, su detección.
Formas De Infección
Antes de nada, hay que recordar que un virus no puede ejecutarse por si solo,
necesita un programa portador para poder cargarse en memoria e infectar;
asimismo, para poder unirse a un programa portador necesita modificar la
estructura de este, para que durante su ejecución pueda realizar una llamada al
código del virus.
Las partes del sistema más susceptibles de ser infectadas son el sector de
arranque de los disquetes, la tabla de partición y el sector de arranque del disco
duro, y los ficheros ejecutables (*.EXE y *.COM). Para cada una de estas partes
tenemos un tipo de virus, aunque muchos son capaces de infectar por sí solos
estos tres componentes del sistema.
En los disquetes, el sector de arranque es una zona situada al principio del disco,
que contiene datos relativos a la estructura del mismo y un pequeño programa,
que se ejecuta cada vez que arrancamos desde disquete.
En este caso, al arrancar con un disco contaminado, el virus se queda residente
en memoria RAM, y a partir de ahí, infectara el sector de arranque de todos los
disquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco,
dependiendo de cómo esté programado el virus).
El proceso de infección consiste en sustituir el código de arranque original del
disco por una versión propia del virus, guardando el original en otra parte del
disco; a menudo el virus marca los sectores donde guarda el boot original como en
mal estado, protegiéndolos así de posibles accesos, esto suele hacerse por dos
motivos: primero, muchos virus no crean una rutina propia de arranque, por lo que
una vez residentes en memoria, efectúan una llamada al código de arranque
original, para iniciar el sistema y así aparentar que se ha iniciado el sistema como
siempre, con normalidad. Segundo, este procedimiento puede ser usado como
técnica de ocultamiento.
Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de
arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el
resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos
como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no
marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser
sobrescritos y así dejar de funcionar el virus.
La tabla de partición esta situada en el primer sector del disco duro, y contiene una
serie de bytes de información de cómo se divide el disco y un pequeño programa
de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus
de partición suplanta el código de arranque original por el suyo propio; así, al
arrancar desde disco duro, el virus se instala en memoria para efectuar sus
acciones. También en este caso el virus guarda la tabla de partición original en
otra parte del disco, aunque algunos la marcan como defectuosa y otros no.
Muchos virus guardan la tabla de partición y a ellos mismos en los últimos
sectores de disco, y para proteger esta zona, modifican el contenido de la tabla
para reducir el tamaño lógico del disco. De esta forma el DOS no tiene acceso a
estos datos, puesto que ni siquiera sabe que esta zona existe.
Casi todos los virus que afectan la partición también son capaces de hacerlo en el
boot de los disquetes y en los ficheros ejecutables; un virus que actuara sobre
particiones de disco duro tendría un campo de trabajo limitado, por lo que suelen
combinar sus habilidades.
Con todo, el tipo de virus que más abunda es el de fichero; en este caso usan
como vehículo de expansión los archivos de programa o ejecutables, sobre todo
.EXE y . COM, aunque también a veces .OVL, .BIN y .OVR. AL ejecutarse un
programa infectado, el virus se instala residente en memoria, y a partir de ahí
permanece al acecho; al ejecutar otros programas, comprueba si ya se encuentran
infectados. Si no es así, se adhiere al archivo ejecutable, añadiendo su código al
principio y al final de éste, y modificando su estructura de forma que al ejecutarse
dicho programa primero llame al código del virus devolviendo después el control al
programa portador y permitiendo su ejecución normal.
Este efecto de adherirse al fichero original se conoce vulgarmente como
"engordar" el archivo, ya que éste aumenta de tamaño al tener que albergar en su
interior al virus, siendo esta circunstancia muy útil para su detección. De ahí que la
inmensa mayoría de los virus sean programados en lenguaje ensamblador, por ser
el que genera el código más compacto, veloz y de menor consumo de memoria;
un virus no seria efectivo si fuera fácilmente detectable por su excesiva ocupación
en memoria, su lentitud de trabajo o por un aumento exagerado en el tamaño de
los archivos infectados. No todos los virus de fichero quedan residentes en
memoria, si no que al ejecutarse se portador, éstos infectan a otro archivo, elegido
de forma aleatoria de ese directorio o de otros.
La autoencriptación o self-encryption es una de las técnicas víricas más
extendidas. En la actualidad casi todos los nuevos ingenios destructivos son
capaces de encriptarse cada vez que infectan un fichero, ocultando de esta forma
cualquier posible indicio que pueda facilitar su búsqueda. No obstante, todo virus
encriptado posee una rutina de desencriptación, rutina que es aprovechada por los
antivirus para remotoizar el origen de la infección.
El mayor avance en técnicas de encriptación viene dado por el polimorfismo.
Gracias a él un virus no sólo es capaz de encriptarse sino que además varía la
rutina empleada cada vez que infecta un fichero. De esta forma resulta imposible
encontrar coincidencias entre distintos ejemplares del mismo virus, y ante esta
técnica el tradicional método de búsqueda de cadenas características se muestra
inútil.
Otra técnica básica de ocultamiento es la intercepción de mensajes de error del
sistema. Supongamos que un virus va a infectar un archivo de un disco protegido
contra escritura; al intentar escribir en el obtendríamos el mensaje: "Error de
protección contra escritura leyendo unidad A Anular, Reintentar, Fallo?", por lo que
descubriríamos el anormal funcionamiento de nuestro equipo. Por eso, al virus le
basta con redireccionar la interrupción a una rutina propia que evita la salida de
estos mensajes, consiguiendo así pasar desapercibido.
VIRUS EN INTERNET
En ocasiones se propagan rumores que dan por cierto noticias de dudosa
procedencia. Más o menos esto es lo que ha sucedido de un tiempo a esta parte
con el virus por correo electrónico de Internet conocido por Good Times.
Lógicamente las primeras noticias de esta maligna creación aparecieron en la «red
de redes», en un mensaje alarmante que decía que si algún usuario recibía un
mensaje con el tema «Good Times» no debía abrirlo o grabarlo si no quería perder
todos los datos de su disco duro. Posteriormente el mensaje recomendaba que se
informara a todo el mundo y se copiara el aviso en otros lugares. En esta ocasión
el rumor es totalmente falso, aunque todavía sigue existiendo gente que se lo cree
y no es raro encontrar en algún medio de comunicación electrónica nuevo
reenvíos del mensaje original. De hecho, es totalmente inviable la posibilidad de
una infección vía correo electrónico.
El riesgo de contraer un virus en la Internet es menor que de cualquier otra
manera, tanto los mensajes de correo, como las página WEB transfieren datos.
Sólo si se trae un software por la red y lo instala en su máquina puede contraer un
virus
Una infección se soluciona con las llamadas "vacunas" (que impiden la infección)
o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de
los archivos infectados. Hay cierto tipo de virus que no son desactivables ni
removibles, por lo que se debe destruir el archivo infectado.
¿Mi computadora puede contraer una infección cuando navego por
internet?
Por el simple hecho de estar conectado a internet no se transfiere ningun tipo de
virus informático. Existe quizá algún peligro, examinando páginas web o "bajando"
archivos de la red.
Las páginas web que utilizan objetos ActiveX pueden contener virus, puesto que
ellos son realmente ficheros ejecutables, recogidos por nuestro navegador y
ejecutados en nuestras PC. Podrían eventualmente ser utilizados
inescrupulosamente para propagar un virus.
La "seguridad" de los objetos ActiveX consiste simplemente en un certificado
digital de autenticidad, "firmado" por quien ha creado el objeto. Pero un simple
certificado de autenticidad no puede garantizar que no esté un virus presente.
También podemos recibir páginas que utilizan Applets de Java. Estos programas
no llegan a ser descargados por nuestro navegador, se ejecutan en un entorno
muy restringido, y no hay acceso a la PC, o al disco duro, con lo que resulta
prácticamente imposible infectarnos con applets (al menos hoy por hoy).
Durante el proceso de descarga de ficheros, también es muy difícil recoger un
virus, tenemos las mismas condiciones que con los applets de java, pero una vez
que el fichero ha llegado completamente a nuestro PC, debe ser chequeado
antes de ejecutarse, ya que podria contener un virus.
¿Qué hacer con los virus del correo electrónico?
Con estos podemos estar tranquilos, ya que un virus no puede copiarse ni romper
nuestro disco duro tan solo por leer un correo electrónico, porque se trata
simplemente de un archivo de texto (no ejecutable).
Una cosa muy diferente, son los ficheros adjuntos (attachments), ya que podemos
recibir un fichero ejecutable que podria contener un virus. Lo mejor es no ejecutar
directamente los archivos desde nuestro navegador, sino almacenarlos en
nuestro disco duro y antes de ejecutarlos, chequearlos con un anti-virus confiable.
Es recomendable por lo mismo, abstenerse en lo posible de enviar archivos
adjuntos, por idéntico riesgo que representa para nuestros corresponsales.
Si su programa de correo electrónico esta configurado para leer los mensajes
automáticamente con Microsoft Word, es posible recibir un virus-macro e infectar a
nuestro Ms-Word. Si tiene esta opción activada; desactívala, y chequea los
ficheros recibidos antes de ejecutarlos.
Finalmente, y por si quedara alguna duda, lo mejor es tomar por norma eliminar
los ficheros recibidos por corresponsales desconocidos, aquellos que no hemos
solicitado. No exponga sus datos a un riesgo innecesario por abrir (o ejecutar) un
archivo desconocido.
¿QUÉ ES UN ANTIVIRUS?.
No para toda enfermedad existe cura, como tampoco existe una forma de
erradicar todos y cada uno de los virus existentes.
Es importante aclarar que todo antivirus es un programa y que, como todo
programa, sólo funcionará correctamente si es adecuado y está bien configurado.
Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz
para el 100% de los casos, sino que nunca será una protección total ni
definitiva.
Medidas antivirus
Nadie que usa computadoras es inmune a los virus de computación.
Un programa antivirus por muy bueno que sea se vuelve obsoleto muy
rápidamente ante los nuevos virus que aparecen día a día.
Desactivar arranque desde disquete en el setup para que no se ejecuten virus de
boot.
Desactivar compartir archivos e impresoras.
Analizar con el antivirus todo archivo recibido por e-mail antes de abrirlo.
Actualizar antivirus.
Activar la protección contra macrovirus del Word y el Excel.
Sea cuidadoso al bajar archivos de Internet (Analice si vale el riesgo y si el sitio es
seguro)
No envíe su información personal ni financiera a menos que sepa quien se la
solicita y que sea necesaria para la transacción.
No comparta discos con otros usuarios.
No entregue a nadie sus claves, incluso si lo llaman del servicio de Internet u otro.
Enseñe a sus niños las practicas de seguridad, sobre todo la entrega de
información.
Cuando realice una transacción asegúrese de utilizar una conexión bajo SSL
Proteja contra escritura el archivo Normal.dot
Distribuya archivos RTF en vez de DOCs
Realice backups
Hechos Criminales
Entre los hechos criminales más famosos en los E.E.U.U. están:
El caso del Banco Wells Fargo donde se evidencio que la protección de archivos
era inadecuada, cuyo error costo USD 21.3 millones.
El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
El caso de un muchacho de 15 años que entrando a la computadora de la
Universidad de Berkeley en California destruyo gran cantidad de archivos.
También se menciona el caso de un estudiante de una escuela que ingreso a una
red canadiense con un procedimiento de admirable sencillez, otorgándose una
identificación como un usuario de alta prioridad, y tomo el control de una
embotelladora de Canadá.
También el caso del empleado que vendió la lista de clientes de una compañía de
venta de libros, lo que causo una perdida de USD 3 millones.
Conclusión
Estos hechos y otros nos muestran claramente que los componentes del sistema
de información no presentaban un adecuado nivel de seguridad. Ya que el delito
se cometió con y sin intención, utilizando siempre alguno de los diferentes tipos de
virus.
http://www.mundopc.net/cursos
Comenten.
