 |
Haga click para publicitar en Alipso.com |
| Buscando Secundarios
| Universidades
| Carreras
| Test
Orientación Vocacional | Medios
| Profesores particulares
| Institutos
| Campus Material Monografias | Exámenes Secundarios | Exámenes Universitarios | Enlaces | Enviar material | Diversión Postales | Humor | Descargas | Juegos Comunidad Foros | Institucional Publicite | En su sitio | Contáctese Cursos en Buenos Aires Cursos de Informática | Cursos de apoyo al CBC | Carreras y Cursos de Diseño, Comunicación, Arte y Fotografía |
|
|
Imprimir apunte |
Recomendar a un amigo |
Recordarme el recurso |
 Descargar como PDF |
|
Más sobre este recurso: Catalogado en base de datos como: Clasificacion de los Virus.: Virus de sector de arranque (boot). Virus de archivos. Virus de macro. Virus bat. Virus del mirc. Funcionamiento. Proceso de infeccion, tecnicas de programacion , software antivirus, tratamiento y desinfección, lista de virus informaticos, etc. Agregado: 29 de AGOSTO de 2000 | Palabras: 33820 | Votar! | Sin Votos | Sin comentarios | Agregar Comentario Categoría: Apuntes y Monografías > Computación > Seguridad informatica > |
CLASIFICACION DE VIRUS
VIRUS DE
SECTOR DE ARRANQUE (BOOT).
Utilizan el sector de arranque, el cual
contiene la informacion sobre el tipo de disco, es decir, numero de pistas,
sectores,
caras, tamaño de la FAT, sector de comienzo, etc. Atodo esto hay que sumarle un
pequeño programa de
arranque
que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot
utilizan este sector de
arranque
para ubicarse, guardando el sector original en otra parte del disco. En muchas
ocasiones el virus marca los
sectores
donde guarda el Boot original como defectuosos; de esta forma impiden que sean
borrados. En el caso de
discos
duros pueden utilizar tambien la tabla de particiones como ubicacion. Suelen
quedar residentes en memoria al
hacer
cualquier operacion en un disco infectado, a la espera de replicarse. Como
ejemplo representativos esta el
Brain.
VIRUS DE
ARCHIVOS.
Infectan archivos y tradicionalmente los
tipos ejecutables COM y EXE han sido los mas afectados, aunque es
estos
momentos son los archivos (DOC, XLS, SAM...) los que estan en boga gracias a
los virus de macro (descritos
mas
adelante). Normalmente insertan el codigo del virus al principio o al final del
archivo, manteniendo intacto el
programa
infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y
luego devuelve el control al
programa
original para que se continue de modo normal. El Viernes 13 es un ejemplar
representativo de este grupo.
Dentro de la categoria de virus de
archivos podemos encontrar mas subdivisiones, como los siguientes:
Virus de accion directa. Son auellos que no
quedan residentes en memoria y que se replican en el momento de
ejecutarse
un archivo infectado.
Virus de sobreescritura. Corrompen el achivo
donde se ubican al sobreescribirlo.
Virus de compañia. Aprovechan una
caracteristica del DOS, gracias a la cual si llamamos un archivo para
ejecutarlo
sin indicar la extension el sistema operativo buscara en primer lugar el tipo
COM. Este tipo de virus no
modifica el
programa original, sino que cuando encuentra un archivo tipo EXE crea otro de
igual nombre conteniendo
el virus
con extension COM. De manera que cuando tecleamos el nombre ejecutaremos en
primer lugar el virus, y
posteriormente
este pasara el control a la aplicacion original.
VIRUS DE
MACRO.
Es una familia de virus de reciente
aparicion y gran expansion. Estos estan programas usando el lenguaje de
macros
WordBasic, gracias al cual pueden infectar y replicarse a traves de archivos
MS-Word (DOC). En la
actualidad
esta tecnica se ha extendido a otras aplicaciones como Excel y a otros
lenguajes de macros, como es el
caso de los
archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo
de virus, que son
multiplataformas
en cuanto a sistemas operativos, ya que dependen unicamente de la aplicacion.
Hoy en dia son el
tipo de
virus que estan teniendo un mayor auge debido a que son facilies de programar y
de distibuir a traves de
Internet.
Aun no existe una concienciacion del peligro que puede representar un simple
documento de texto.
Porcion de
codigo de un tipico virus Macro:
Sub MAIN
DIM dlg As FileSaveAs
GetCurValues dlg
ToolsOptionsSave.GlobalDotPrompt=0
Ifcheckit(0)=0 Then
MacroCopy FileName$() + ":autoopen",
"global;autoopen"
End If
VIRUS BAT.
Este tipo de virus empleando ordenes DOS
en archivos de proceso por lotes consiguen replicarse y efectuar
efectos
dañinos como cualquier otro tipo virus.
En ocasiones, los archivos de proceso por
lotes son utilizados como lanzaderas para colocar en memoria virus
comunes.
Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar
ordenes como @ECHO
OFF y REM
traducidas a codigo maquina son <<comodines>> y no producen ningun
efecto que altere el
funcionamiento
del virus.
VIRUS DEL
MIRC.
Vienen a formar parte de la nueva
generacion Internet y demuestra que la Red abre nuevas forma de infeccion.
Consiste en
un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC,
donde se encuentre
alguna
persona infectada, recibe por DCC un archivo llamado "script.ini".
Hay que tener en cuenta que un virus es
simplemente un programa. Por lo tanto, debemos de dejar a un lado las
histerias y
los miedos infundados y al mismos timepo ser consientes del daño real que puede
causarnos. Para ello, lo
mejor es
tener conocimiento de como funcionan y las medidas que debemos tomar para
prevenirlos y hacerles
frente.
PROCESO DE
INFECCION.
El virus puede estar en cualquier
sitio. En ese disquete que nos deja un amigo, en el último archivo descargado
de
Internet.
Dependiendo del tipo de virus el proceso
de infección varia sensiblemente.
Puede que el disco contaminado tenga un
virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario
introduce
el disco en la computadora ( por supuesto no lo escanea con un antivirus o si
lo hace es con un antivirus
desfasado )
y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini
... ah, ahí esta, un ejecutable.
Vamos a ver
que tiene. El usuario ejecuta el programa. En ese preciso momento las
instrucciones del programa son
leídas por
el computadora y procesadas, pero también procesa otras instrucciones que no
deberían estar ahí. El virus
comprueba
si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa
a esta y puede que se
quede
residente en ella. A partir de ese momento todo programa que se ejecute será
contaminado. El virus ejecutará
todos los
programas, pero después se copiará a sí mismo y se "pegará" al
programa ejecutado "engordándolo" unos
cuantos
bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan
esos bytes de más para
que parezca
que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los
archivos de sistema,
aquellos
que están en uso en ese momento y que son los primeros en ejecutarse al
arrancar la computadora. Así,
cuando el
usuario vuelva a arrancar la computadora el virus se volverá a cargar en la
memoria cuando se ejecuten
los
archivos de arranque del sistema contaminados y tomará otra vez el control del
mismo, contaminando todos los
archivos
que se encuentre a su paso.
Puede que el virus sea también de
"Sector de arranque". En ese caso el código del virus se copiará en
el primer
sector del
disco duro que la computadora lee al arrancar. Puede que sobreescriba el sector
original o que se quede
una copia
del mismo para evitar ser detectado. Los virus de sector de arranque se
aseguran de ser los primeros en
entrar en
el sistema, pero tienen un claro defecto. Si el usuario arranca la computadora
con un disquete "limpio" el
virus no
podrá cargarse en memoria y no tendrá el control.
Un caso menos probable es que el virus
sea de "Tabla de partición". El mecanismo es muy parecido al de los
de
sector de
arranque solo que el truco de arrancar con un disquete limpio no funciona con
estos. En el peor de los
casos nos
encontraremos con un virus multipartita, que contaminará todo lo que pueda,
archivos, sector de
arranque...
TECNICAS DE PROGRAMACION
Técnicas
Stealth
Son técnicas "furtivas" que
utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente
los virus
ocultan el
tamaño real de los archivos que han contaminado, de forma que si hacemos un DIR
la información del
tamaño de
los archivos puede ser falsa. Los virus de tabla de partición guardan una copia
de la FAT original en otro
lugar del
disco que marcan como sectores defectuosos para mostrarsela al usuario cuando
haga por ejemplo un
FDISK.
Incluso hay virus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de
su propio
código "sospechoso" para cargarse de nuevo cuando estos han
finalizado su búsqueda.
Tunneling
Es una técnica usada por programadores de
virus y antivirus para evitar todas las rutinas al servicio de una
interrupción
y tener así un control directo sobre esta.
Requiere
una programación compleja, hay que colocar el procesador en modo paso a paso.
En este modo de
funcionamiento,
tras ejecutarse cada instrucción se produce la interrupción 1. Se coloca una
ISR (Interrupt Service
Routine)
para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se
ha llegado a donde se
quería
hasta
recorrer
toda la cadena de ISRs que halla colocando el parche al final de la cadena.
Antidebuggers
Un debugger es un programa que permite
decompilar programas ejecutables y mostrar parte de su código en
lenguaje
original. Los virus usan técnicas para evitar ser desemsamblados y así impedir
su análisis para la
fabricación
del antivirus correspondiente.
Polimorfismo
o automutación
Es una técnica que consiste en variar el
código virico en cada infección ( más o menos lo que hace el virus del
SIDA en los
humanos con su capa protéica ). Esto obliga a los antivirus a usar técnicas
heurísticas ya que como el
virus
cambia en cada infección es imposible localizarlo buscandolo por cadenas de
código. Esto se consigue
utilizando
un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus.
No obstante no se puede
codificar
todo el código del virus, siempre debe quedar una parte sin mutar que toma el
control y esa es la parte más
vulnerable
al antivirus.
La forma más utilizada para la codificación
es la operación lógica XOR. Esto es debido que esta operación es
reversible:
7 XOR 9 = 2
2 XOR 9 = 7
En este
caso la clave es el número 9, pero utilizando una clave distinta en cada
infección se obiene una codificación
también
distinta.
Otra forma
también muy utilizada consiste en sumar un numero fijo a cada byte del código
vírico.
TSR
Los programas residentes en memoria (TSR)
permanecen alojados en esta durante toda su ejecución.
Los virus utilizan esta técnica para
mantener el control sobre todas las actividades del sistema y contaminar todo
lo que
encuentren a su paso. El virus permanece en memoria mientras la computadora
permanezca encendido. Por
eso una de
las primeras cosas que hace al llegar a la memoria es contaminar los archivos
de arranque del sistema
para
asegurarse de que cuando se vuelva a arrancar la computadora volverá a ser
cargado en memoria.
Para combatir la avalancha de virus informáticos se creó el software antivirus. Estos programas suelen incorporar
mecanismos para prevenir, detectar y eliminar virus. Para la prevención se suelen usar programas residentes que
alertan al usuario en todo momento de cualquier acceso no autorizado o sospechoso a memoria o a disco, por lo que
resultan sumamente útiles al impedir la entrada del virus y hacerlo en el momento en que este intenta la infección,
facilitándonos enormemente la localización del programa maligno. Sin embargo presentan ciertas desventajas, ya que
al ser residentes consumen memoria RAM, y pueden también resultar incompatibles con algunas aplicaciones. Por
otro lado, pueden llegar a resultar bastante molestos, puesto que por lo general suelen interrumpir nuestro trabajo
habitual con el ordenador avisándonos de intentos de acceso a memoria o a disco que en muchos casos provienen de
programas legítimos. A pesar de todo, son una medida de protección excelente y a ningún usuario debería faltarle un
programa de este tipo.
A la hora de localizar virus, los programas usados sin los detectores o scanners. Normalmente estos programas
chequean primero la memoria RAM, después las zonas criticas del disco como el boot o partición, y por ultimo los
ficheros almacenados en él.
Los productos antivirus han mejorado considerablemente sus algoritmos de búsqueda, aunque en la actualidad la
exploración de cadenas sigue siendo la técnica más empleada. Pero el aumento imparable del número de virus y las
técnicas de camuflaje y automodificación que suelen emplear hacen que la búsqueda a través de una cadena genérica
sea una tarea cada vez más difícil. Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas
heurísticas.
La detección heurística es una de las fórmulas más avanzadas de remotoización de virus. La búsqueda de virus
mediante esta técnica se basa en el desensamblado del código del programa que se intenta analizar con el objetivo
de encontrar instrucciones (o un conjunto de ellas) sospechosas. Sin duda, lo mejor es disponer de un antivirus que
combine la búsqueda de cadenas características y además cuente con técnicas heurísticas.
Gracias a la heurística se buscan programas que puedan quedarse residentes o que sean capaces de capturar
aplicaciones que se estén ejecutando, código preparado para mover o sobreescribir un programa en memoria, código
capaz de automodificar ejecutables, rutinas de encriptación y desencriptación, y otras actividades propias de los virus.
Aunque las técnicas heurísticas han representado un gran avance en la detección de virus desconocidos, presentan
un gran inconveniente: es muy alta la posibilidad de obtener «falsos positivos y negativos». Se produce un «falso
positivo» cuando el antivirus anuncia la presencia de un virus que no es tal, mientras que se llama «falso negativo»
cuando piensa que el PC esta limpio y en realidad se encuentra infectado.
¿Que Debemos Buscar En Un Antivirus?
A la hora de decidirnos por un antivirus, no debemos dejarnos seducir por la propaganda con mensajes como "detecta
y elimina 56.432 virus". Realmente existen miles de virus, pero en muchísmos casos son mutaciones y familias de
otros virus; esto está bien, pero hay que tener en cuenta que una inmensa mayoría de virus no han llegado ni llegaran
a nuestro país.
Por lo que de poco nos sirve un antivirus que detecte y elimine virus muy extendidos en América y que desconozca
los más difundidos en España. Por tanto, estaremos mejor protegidos por un software que, de alguna forma, esté más
"especializado" en virus que puedan detectarse en nuestro país. Por ejemplo "Flip", "Anti Tel", "Barrotes", "Coruña",
etc. Por otro lado, hemos de buscar un software que se actualice el mayor numero posible de veces al año; puesto
que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha frecuencia, el estar al día es
absolutamente vital.
La prevención y la compra de un buen antivirus son las mejores armas con las que cuenta el usuario ante el ataque de
los virus. Sin embargo, siempre cabe la posibilidad de que en un descuido se introduzca un inquilino no deseado en el
PC. Ante esta situación lo primero que debemos hacer es arrancar el ordenador con un disco de sistema totalmente
libre de virus. Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que si es antiguo corremos
el riesgo de que no remotoice mutaciones recientes o nuevos virus.
En el disco de sistema limpio (que crearemos con la orden «format a: /s») incluiremos utilidades como «mem.exe»,
«chkdsk.exe», «sys.com», «fdisk.exe» y todos los controladores para que el teclado funcione correctamente. Si
disponemos de dos o más antivirus es muy recomendable pasarlos todos para tener mayor seguridad a la hora de
inmunizar el PC.
Si la infección se ha producido en el sector de arranque podemos limpiar el virus con la orden «sys c:», siempre y
cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la tabla de particiones podemos
ejecutar «fdisk /mbr».
Software AntiVirus Comercial
Hay que señalar una marcada mejoría en las técnicas de detección heurísticas, que aunque en determinadas
condiciones siguen provocando «falsos positivos», muestran una gran efectividad a la hora de remotoizar virus
desconocidos. En este apartado debemos destacar al ThunderByte, ya que la técnica heurística de este antivirus le
ha permitido detectar 42 de los virus no remotoizados mediante el método adicional. De hecho, la mayoría de estos
virus son desarrollos nacionales de reciente aparición, por lo que o ha habido tiempo de incluirlos en la última versión.
Además, este producto destaca por una relación de «falsos positivos» realmente baja.
Otros productos que permiten la detección heurística son Artemis Profesional, Dr. Solomon´s y F-Prot 2.20. En todos
los casos esta técnica ha servido para aumentar el porcentaje de virus detectados, aunque de esta forma no se
identifica el virus, sino que sólo se sospecha de su presencia. Por otra parte, el Dr. Solomon´s combina
perfectamente una gran base de datos de virus conocidos con su análisis heurístico.
Búsqueda específica
Aunque algunos antivirus engordan su porcentaje de efectividad gracias a técnicas de remotoización genérica
(heurísticamente), muchos usuarios pueden preferir la seguridad aportada por un sistema específico que identifique, e
incluso elimine, sin problemas ni dudas el mayor número de virus posible.
Los usuarios más inexpertos probablemente no sepan enfrentarse a las alarmas producidas por el análisis heurístico,
por lo que en todos los antivirus es posible realizar la exploración de las unidades de disco sin dicha posibilidad. En
tal caso será necesario conocer cuál es la efectividad del producto prescindiendo de tal análisis.
Por este motivo, si nos basamos en técnicas tradicionales como la búsqueda de cadenas y dejamos a un lado
métodos heurísticos tenemos que reconocer que el producto dominante es el antivirus Artemis Profesional 4.0,. tras
él, el conocido Scan de McAfee demuestra el porqué de su prestigio, seguido muy de cerca por el F-Prot.
Muchas personas se quedan realmente
petrificadas cuando descubren la existencia de un virus
en su
sistema. Conozco casos de personas que apagaron el ordenador y no lo volvieron
a encender
durante
meses por miedo a que se estropeara, esperando que el virus se
"muriera". En torno a los
virus
informáticos hay un halo de pánico a medio camino entre el "miedo
tecnológico" y el mito.
En un principio los medios de comunicación
hablaban de los virus informáticos como si estos
pudieran
contagiar a las personas. Había gente que desenchufaba los ordenadores de la
red eléctrica
para evitar
que los virus entraran en su ordenador.
Una de las cosas más importantes cuando
se encuentra un virus es conservar la calma. Lo
verdaderamente
peligroso no es el virus... sino la reacción del que se lo encuentra frente a
sí. Un virus
es
fácilmente desinfectable si contamos con la calma y las herramientas adecuadas.
Estas
herramientas
son:
* Copias de
seguridad de los datos importantes.
* Disquete de
arranque del sistema.
* Antivirus
actualizado ( muy recomendable )
Como eliminar virus:
Virus de fichero.
1º ) Arranque el ordenador con un "disquete de arranque
100% libre de virus". El arranque del ordenador debe ser total,
es decir, no es suficiente con rearrancar el ordenador con las
teclas Ctrl +
Alt + Sup.
2º) Utilizar un antivirus y testear el disco
duro y todos los
disquetes y unidades de soporte magnético utilizadas en ese
sistema. El antivirus desinfectará todos los virus. Si no se
contara con antivirus se podría proceder a eliminar los ficheros
que tenemos la certeza de que están contaminados,
sustituyéndolos por ficheros originales procedentes de las
copias de seguridad.
Virus de sector de arranque.
1º) Arranque el ordenador con un "disquete de arranque 100%
libre de virus". El arranque del ordenador debe ser total, es
decir, no es
suficiente con rearrancar el ordenador con las
teclas Ctrl +
Alt + Sup.
2º) Utilice un antivirus o en caso de no ser capaz
este de
desinfectar el virus reemplace los archivos de sistema por otros
que sepa con certeza que están limpios. Puede hacer esto
usando el comando Sys
c: desde un disquete de arranque del
sistema y con ese comando del sistema operativo.
Virus de tabla de partición.
1º ) Arranque el ordenador con un "disquete de arranque
100% libre de virus". El arranque del ordenador debe ser total,
es decir, no es suficiente
con rearrancar el ordenador con las
teclas Ctrl +
Alt + Sup.
2º) Utilice un
antivirus o en caso de no poder este desinfectar
el sistema destruya la tabla de
partición y cree una nueva,
teniendo luego que recuperar todos los datos desde los
backups.
Nombre:
CMOS.Erase
Alias:
DelCMOS.B, Int7F-E9, Feint
Tipo:
Boot
Infecta a:
Sector de arranque de disquetes y discos duros, así como la Tabla de Particiones
Reparable:
Sí, con Panda Antivirus
Origen:
España
Tamaño:
512 KBytes
Visto "In The
Wild":
Sí
Características
CMOS.Erase (DelCMOS.B) es un virus de BOOT que infecta el sector de arranque de los discos duros (Master Boot Record - MBR) y el de los
disquetes (Boot). También infectará la Tabla de particiones del disco infectado. La única para que se infecte un disco duro es que el ordenador se
arranque desde un disquete que ya tiene infectado su Boot, no existe otra posibilidad. El virus se coloca en memoria (residente) y desde ella trata de
infectar todos los disquetes con los que se trabaje (en caso de que éstos no estén protegidos contra escritura).
Método de Propagación
Cuando un ordenador se intenta arrancar desde un disquete ya infectado, el virus CMOS.Erase (DelCMOS.B) infecta el disco duro y se coloca
automáticamente en la memoria (residente). Por tanto, los disquetes son el medio que el virus utiliza para propagarse.
Síntomas de la infección
Deja corruptos e inservibles todos los disquetes que infecta. Esto es debido a que considera que todos ellos serán de 1.44 Mb, sin tener en cuenta la
posibilidad de trabajar con disquetes de 720 Kb.
Método de infección
CMOS.Erase (DelCMOS.B) se copia en el MBR del disco duro que infecta. A partir de este momento cada vez que arranquemos el equipo tendremos
el virus en memoria, con lo que éste será capaz de infectar todos aquellos disquetes a los que accedamos.
En cualquiera de los casos (infección de un disco duro o de un disquete) el Boot correspondiente a cada uno de ellos, se almacena en otra sección del
disco, sustituyéndose éste por una copia del mismo, pero infectada.
Nombre:
Lokky.336
Alias:
Exeheader.336,
LadyJ.Cav.336
Tipo:
Virus de DOS, Residente en memoria
Infecta a:
Ficheros con extensión EXE
Reparable:
Sí, con Panda Antivirus
Visto "In The Wild":
No
Características
Se trata de un virus de MS/DOS, residente que infecta ficheros ejecutables, con extensión EXE. El virus emplea dos técnicas especiales: Cavity y
Full-Stealth (o Disinfection on the fly). No obstante, el virus no produce ningún tipo de efecto destructivo.
Método de propagación
Lokky.336 utiliza cualquiera de los medios habitualmente empleados por los virus para extenderse y producir sus infecciones en otros ordenadores:
disquetes, CD-ROM, ordenadores conectados en red, Internet, recepción como un fichero (infectado) adjunto o incluido en un mensaje de correo
electrónico,... etc.
Síntomas de Infección
Este virus no realiza ninguna acción, como consecuencia de su infección.
Método de Infección
Las técnicas que emplea el virus son:
Cavity. Aprovechando su reducido tamaño se copia en el interior del fichero que infecta.
Full-Stealth o "Disinfection on the fly". Mientras el virus se encuentra residente en memoria los programas antivirus son incapaces de
detectarlo.
Nombre:
O97M/Jerk.B
Tipo:
Macro y Polimórfico
Infecta a:
Documentos de Microsoft Word 97 y hojas de cálculo (libros) de Microsoft Excel 97
Reparable:
Sí, con Panda Antivirus
Fecha de Activación:
Día 14 de alguno de los siguientes meses: Junio, Julio, Agosto, Septiembre, Noviembre o Diciembre
Condición de Activación:
Apertura del fichero infectado. Día de la fecha igual al número de minutos del reloj
Características
O97M/Jerk.B es un virus de macro y polimórfico que afecta documentos de Microsoft Word 97 (DOC) así como hojas de cálculo (libros XLS) de
Microsoft Excel 97. Se activa, presentando un mensaje por pantalla y desactivando la protección antivirus en macros el día 14, en cualquiera de los
siguientes meses: Junio, Julio, Agosto, Septiembre, Noviembre o Diciembre.
Método de Propagación
Se propaga mediante los ficheros que previamente ha infectado (documentos de Word o libros de Excel). Estos pueden llegar a otros ordenadores por
alguno de los siguientes medios: disquetes, CD-ROM, redes, Internet, mensajes de correo electrónico en los que se incluye alguno de los ficheros
infectados,... etc.
Síntomas de la infección
Al activarse, el día 14 de los meses comprendidos entre Junio y Diciembre (ambos inclusive), O97M/Jerk.B presenta un cuadro de diálogo en
pantalla, dentro del cual se puede leer un mensaje de texto.
Tras la presentación de este mensaje y la pulsación del botón Aceptar, impide al usuario determinar si desea activar o no las protecciones antivirus
para macros, cuando se abre un fichero (que contenga macros).
Método de infección
Se le considera polimórfico, ya que no se comporta del mismo modo en cada una de las infecciones que realiza. Guarda un historial con cada una de
sus infecciones.
Nombre:
Pieck.4444.A
Tipo:
Residente, Multipartite, Encriptado, y Stealth
Infecta a:
Ficheros con extensión EXE y MBR del disco duro
Reparable:
Sí, con Panda Antivirus
Fecha de Activación:
3 de Marzo
Origen:
Polonia
Visto "In
The Wild":
Sí
Características
Pieck.4444.A es un virus de MS-DOS que infecta ficheros con extensiones EXE. Cuando esto ocurre y el fichero EXE que se encuentra infectado se
ejecuta, el virus infecta el MBR (Master Boot Record - Sector de arranque) del disco duro. Se trata de un virus que en el siguiente arranque a una
infección previa, se colocará como residente en memoria. Además tiene las características de ser multipartite, stealth y encriptado. Una vez que se
encuentra en memoria, infecta sólo los ficheros EXE que se encuentren en disquetes y si un fichero infectado es ejecutado o accedido en el disco
duro, éste se desinfecta. Pieck.4444.A se activa el 3 de Marzo de cualquier año, produciendo un efecto visual que consiste en unas sacudidas de la
pantalla de forma continua.
Método de propagación
Pieck.4444.A emplea cualquiera de los medios utilizados habitualmente por los virus para extenderse dentro de un sistema en el que ya existen
ficheros infectados o propagarse a otros ordenadores: disquetes, CD-ROM, trabajo con ficheros en redes de ordenadores, Internet, envío y recepción
de ficheros adjuntos o incluidos en mensajes de correo electrónico,... etc.
Síntomas de Infección
La infección de los ficheros EXE, produce la infección del sector de arranque en el disco duro. Por otro lado, se activa el día 3 de Marzo de cualquier
año realizando "sacudidas" de pantalla.
-=> T.R.E.M.O.R. was
done by NEUROBASHER / May-June '92, Germany<=-
-MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-
Al producirse la infección, el ordenador trabajará de modo más lento, siendo perceptible por el usuario cuando el PC emplea demasiado tiempo en
realizar determinadas acciones que se le han requerido.
Método de Infección
Pieck.4444.A tiene las siguientes características:
Multipartite, lo que significa que cada vez que realiza una de sus infecciones, lo hace de diferente forma.
Stealth, con lo que hace difícil su localización y detección
Encriptado, ya que se encuentra codificado para que el análisis de su código sea complicado y por tanto bastante difícil de desinfectar.
Residente, ya que al ser ejecutado el fichero que se encuentra infectado, Pieck.4444.A infecta también el MBR del disco duro y en el
siguiente arranque se queda residente infectando los ficheros EXE cuando son ejecutados o accedidos. No obstante esto sólo sucede con los
ficheros que se encuentren en disquetes.
Nombre:
Quox.A
Alias:
IHC, Newboot, Newboot_1, Parity.Boot, Parity.enc, Quandry, WeRSilly
Tipo:
Boot y Residente
Infecta a:
Sector de arranque de disquetes y discos duros
Reparable:
Sí, con Panda Antivirus
Origen:
Alemania
Fecha de Aparición:
Enero del año 1996
Visto "In The Wild":
Sí
Características
Quandary es un virus de MS-DOS que infecta el sector de arranque de los discos duros (MBR - Master Boot Record) y el de los disquetes (Boot). El
virus se queda residente para infectar el MBR de los discos duros que se encuentren conectados al ordenador infectado y el BOOT de los disquetes
con los que se trabaje.
Método de Propagación
Al realizar su infección, Quandary se coloca como residente en memoria. Desde ella infecta todos los disquetes con los que se trabaje. Estos serán
los que llevarán la infección a otros ordenadores, infectado el sector de arranque del disco duro infectado en otros ordenador.
Comentarios Adicionales
Fue distribuido en Alemania el mes de enero del año 1996 mediante unos disquetes que contenían el programa "VoiceType Vokabular" de IBM.
Nombre:
Satan Bug
Alias:
S-Bug, Sat Bug.Sat Bug
Tipo:
Virus polimorfico y residente en memoria
Infecta a:
Ficheros con extensión EXE o COM (programas ejecutables). Los ficheros COM que tengan más de 60016 bytes y los
ficheros EXE con menos de 1024 bytes no son atacados por el virus
Reparable:
Sí, con Panda Antivirus
Origen:
España
Visto "In The Wild":
No
Características
Se trata de un virus diseñado para infectar ordenadores con MS/DOS. Al infectar, se coloca como residente en memoria. Desde ella espera la
ejecución de programas (ficheros ejecutables EXE y COM), para infectarlos. Los ficheros con extensión COM cuyo tamaño sea superior a 60016
bytes y los ficheros con extensión EXE con menos de 1024 bytes no son atacados por el virus.
No tiene efectos destructivos sobre los ficheros que se vean afectados, aunque puede producir errores en los ficheros con extensiones EXE u OVL, al
ejecutarlos.
Método de Propagación
Satan Bug emplea cualquiera de los medios habitualmente utilizados por los virus: disquetes, CD-ROM, Internet, envío de mensajes de correo
electrónico en los que se incluye el fichero infectado, ...etc.).
Síntomas de la infección
Los ficheros ejecutables que infecta, aumentan de tamaño en 4 ó 5 Kbytes, ya que el virus se copia dentro de su código.
Nombre:
Stealth.Boot
Alias:
StealthBoot.C, HavocSt-Boot.Amse,
Nops.B, Stelboo, Stealth, StealthBoot.A, StealthBoot.B, Stealth_Boot
Tipo:
Boot y Residente
Infecta a:
Boot de disquetes y Master Boot de discos duros
Reparable:
Sí, con Panda Antivirus
Visto "In The Wild":
Sí
Características
Los términos BOOT, MASTER BOOT (MBR) y sector de arranque identifican una sección específica de un disco en la que se almacenan las
propiedades o características de ese disco y los posibles programas que permiten que éste sea capaz de iniciar o arrancar el ordenador. Por otro
lado, un disco de arranque, de sistema, o de inicio es aquel con el que es posible iniciar o arrancar el ordenador.
En este caso, StealthBoot, es un virus de Boot que infecta el sector de arranque de los disquetes (BOOT) y el sector de arranque de los discos duros
(MASTER BOOT - MBR). Para que sea efectiva la infección del sector de arranque del disco duro, se debería haber utilizado previamente un disquete
infectado en el ordenador, ya que es la única forma de contagio posible. Más concretamente, se debería haber iniciado o arrancado el ordenador desde
un disquete infectado, como disco de arranque o inicio.
Método de Propagación
El único medio de propagación es la utilización de disquetes, que se encuentren infectados, entre diferentes ordenadores. Para que esta infección se
propague al disco duro de un sistema es condición indispensable haber arrancado el ordenador desde el disquete que contiene al virus. Cuando ya se
ha producido la infección, pueden continuar las infecciones a otros discos utilizados.
Síntomas de la infección
No presenta ningún mensaje ni realiza acciones que el usuario pueda apreciar.
Método de infección
Para realizar sus infecciones StealthBoot utiliza los disquetes. Desde la memoria, en la que se instala automáticamente al realizar una infección,
puede infectar todos los discos que se utilicen en el ordenador.
Nombre:
Stoned.NoInt.A
Alias:
Bloomington, Stoned III, LastDirSect
Tipo:
Boot y Residente
Grupo o Familia:
Stoned
Infecta
a:
Sector de arranque en disquetes y discos duros
Indice de Peligrosidad:
Alto
Reparable:
Sí, con Panda Antivirus
Tamaño:
2.048 Bytes
Fecha de Aparación:
01/06/91
Fecha de Activación:
Al arrancar el ordenador con un disco infectado
Visto "In The Wild":
Sí
Características
Stoned.NoInt.A es un virus de la familia Stoned, que infecta el sector de arranque de disquetes (BOOT) y de discos duros (MASTER BOOT, o Master
Boot record - MBR). Además se trata de un virus que tras realizar la infección, se coloca en memoria (residente) esperando infectar todos los discos
que se utilicen. Si el disco es capaz de iniciar el ordenador (disco de arranque), tras la infección le será imposible hacerlo. Por otra parte,
Stones.NoInt.A o Bloomington puede causar daños indirectos en los ficheros contenidos en el directorio (carpeta) raíz del disco infectado y utiliza
técnicas para evitar a los programas antivirus (stealth).
Método de Propagación
El modo empleado por este virus para transmitirse de un ordenador a otro, o contagiar varios ordenadores, es el manejo de disquetes entre los
distintos PC's. Cuando el disquete infectado es de arranque (permite iniciar el ordenador) y es utilizado para este fin, se infectará al ordenador
destino haciendo que Stoned.NoInt.A infecte su disco duro.
Síntomas de la infección
Si el disco infectado fuese un disco de arranque (disco que permite iniciar el ordenador), desde ese momento el disco no será capaz de iniciarse o
arrancar. Por otro lado, al producirse la infección y haber arrancado el ordenador con el disco infectado, la imposibilidad de hacerlo hará que el
sistema operativo presente el mensaje con el que se informa al usuario de que el sector de arranque tiene fallos ("Disk boot failure")
Nombre:
Tai-Pan.438.A
Alias:
Whisper
Tipo:
Residente
Infecta a:
Ficheros ejecutables con extensión EXE
Reparable:
Sí, con Panda Antivirus
Tamaño:
438 Bytes
Condición de Activación:
Al ejecutar un fichero EXE ya infectado
Visto "In The Wild":
Sí
Características
Tai-Pan.438.A es un virus de MS-DOS que, tras realizar su infección, se coloca en memoria como residente. Desde ella aguarda la ejecución de
programas con extensión EXE, para infectarlos en ese momento. No realiza acciones tras la infección salvo colocarse en memoria y propagarse,
infectando otros ficheros.
Método de propagación
Para extenderse, utiliza cualquiera de los medios que habitualmente emplean los virus. El virus siempre se encontrará en el interior de los ficheros
infectados. Por este motivo, al manipularlo con cualquiera de los siguientes métodos, estaremos contribuyendo a su propagación: disquetes,
CD-ROM, trabajo con ordenadores conectados en red, Internet, fichero adjunto o incluido en un mensaje de correo.
Síntomas de Infección
El único síntoma apreciable de su infección (ya que no produce acción alguna), es que el fichero infectado aumenta su tamaño en 438 Bytes.
Método de Infección
Tai-Pan.438.A realiza los siguientes pasos en su proceso de infección:
1.Comprueba si ya se encuentra residente en memoria.
2.Si no lo está, se coloca en la zona de memoria más alta disponible.
3.Desde esa posición espera la ejecución de un fichero con extensión EXE, para infectarlo.
4.Al infectar un fichero, se introduce en él, aumentando el tamaño de éste en 438 bytes. El virus se coloca al final del fichero infectado.
