VIRUS INFORMATICOS:
Cuestionario:
1) ¿Qué
son?
2) Clasificación
de Virus.
3) Ejemplos
de cada tipo de virus.
4) ¿Cómo
se contagia un virus a una computadora?
5) ¿Cómo
se evita el contagio?
6) ¿Qué
hace un Anti-Virus?
7)
Investigar sobre un Virus conocido, sus características y
funcionamiento.
Respuestas:
1) Los virus informáticos se llaman
virus por compartir ciertas analogías entre los virus biológicos: mientras los
biológicos son agentes externos que invaden células para alterar su información
genética y reproducirse, los segundos son programas de infectar archivos de
ordenadores, reproduciéndose una y otra vez cuando se accede a dichos archivos,
dañando la información existente en la memoria o alguno de los dispositivos de
almacenamiento del ordenador.
Los
virus informáticos son programas de ordenador que se reproducen a sí mismos e
interfieren con el hardware de un ordenador o con su SO, estos programas están
diseñados para reproducirse y evitar su detección y como cualquier otro
programa informático, un virus debe ser ejecutado para que funcione: es decir,
el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus
instrucciones. Estas instrucciones se conocen como carga activa del virus. La
carga activa puede trastornar o modificar archivos de datos, presentar un
determinado mensaje o provocar fallos en el SO.
Existen
algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario.
Estos no-virus carecen de por lo menos una de las tres características
identificatorias de un virus (dañino, auto reproductor y subrepticio). Estos
programas se dividen en tres categorías: caballos de Troya, bombas lógicas y
gusanos. Un caballo de Troya aparenta ser algo interesante e inocuo, por
ejemplo un juego, pero cuando se ejecuta puede tener efectos dañinos. Una bomba
lógica libera su carga activa cuando se cumple una condición determinada, como
cuando se alcanza una fecha u hora determinada o cuando se teclea una
combinación de letras. Un gusano se limita a reproducirse, pero puede ocupar
memoria del ordenador y hacer que sus procesos vayan más lentos.
Lo
virus tienen el fin ineludible de causar daño en cualquiera de sus formas:
·
Módulo de Reproducción
·
Módulo de Ataque
·
Módulo de Defensa
El
módulo de reproducción se encarga de manejar las rutinas de
"parasitación" de entidades ejecutables (o archivos de datos, en el
caso de los virus macro) a fin de que el virus pueda ejecutarse
subrepticiamente. Pudiendo, de esta manera, tomar control del sistema e infectar
otras entidades permitiendo se traslade de un ordenador a otro a través de
algunos de estos archivos.
El
módulo de ataque es optativo. En caso de estar presente es el encargado de
manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus
Michelangelo, además de producir los daños que se detallarán más adelante,
tiene un módulo de ataque que se activa cuando el reloj del ordenador indica 6
de marzo. En estas condiciones la rutina actúa sobre la información del disco
duro volviéndola inutilizable.
El
módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el
de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a
evitar todo aquello que provoque la remoción del virus y retardar, en todo lo
posible, su detección.
La Historia de los Virus:
En 1949, el matemático estadounidense de origen húngaro
John von Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva
Jersey), planteó la posibilidad teórica de que un programa informático se
reprodujera. Esta teoría se comprobó experimentalmente en la década de 1950 en
los Laboratorios Bell, donde se desarrolló un juego llamado Core Wars en el que los jugadores
creaban minúsculos programas informáticos que atacaban y borraban el sistema
del oponente e intentaban propagarse a través de él. Al término
del juego, se borraba de la memoria todo rastro de la batalla, ya que estas
actividades eran severamente sancionadas por los jefes por ser un gran riesgo
dejar un organismo suelto que pudiera acabar con las aplicaciones del día
siguiente, de esta manera surgieron los programas destinados a dañar en la escena de la computación.
En 1983, el ingeniero eléctrico estadounidense Fred
Cohen, que entonces era estudiante universitario, acuñó el término de
"virus" para describir un programa informático que se reproduce a sí
mismo. En 1985 aparecieron los primeros caballos de Troya, disfrazados como un
programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA.
Pronto les siguió un sinnúmero de virus cada vez más complejos. El virus
llamado Brain apareció en 1986, y en 1987 se había extendido por todo el mundo.
En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de
arranque inicial, y el gusano de Internet, que cruzó Estados Unidos de un día para
otro a través de una red informática. El virus Dark Avenger, el primer infector
rápido, apareció en 1989, seguido por el primer virus polimórfico en 1990. En
1995 se creó el primer virus de lenguaje de macros, WinWord Concept.
Uno
de los primeros registros que se tienen de una infección data del año 1987,
cuando en la Universidad de De laware notaron que tenían un virus porque
comenzaron a ver "© Brain" como etiqueta de los disquetes. La causa
de ello era Brain Computer Services, una casa de computación paquistaní que,
desde 1986, vendía copias ilegales de software comercial infectadas para, según
los responsables de la firma, dar una lección a los piratas. Ellos habían
notado que el sector de boot de un disquete contenía un código ejecutable, y
que dicho código se ejecutaba cada vez que la máquina se iniciaba desde un
disquete, lograron reemplazar ese código por su propio programa, residente, y
que este instalara una réplica de sí mismo en cada disquete que fuera utilizado
en ese equipo.
También
en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo
podía ser creado para copiarse a sí mismo, adosando una copia de él a otros
archivos. Escribió una demostración de este efecto a la que llamó VIRDEM, que
podía infectar cualquier archivo con extensión .COM.
Esto atrajo
tanto interés que se le pidió que escribiera un libro, pero, puesto que él
desconocía lo que estaba ocurriendo en Pakistán, no mencionó a los virus de
sector de arranque (boot sector). Para ese entonces, ya se había empezado a
diseminar el virus Vienna.
Actualmente,
los virus son producidos en cantidades extraordinarias por muchísima gente
alrededor del planeta, algunos de ellos dicen hacerlo por divertimento, otros
quizás para probar sus habilidades.
2)
Una forma de clasificar los virus es de la siguiente manera:
I.
Parásitos.
II.
Del sector de arranque inicial.
III.
Multipartitos.
IV.
Acompañantes.
V.
De vínculo.
VI.
Virus de macro.
VII.
Virus e-mail.
Además de estos tipos también existen otros programas informáticos
nocivos similares a los virus, pero que no cumplen ambos requisitos de
reproducirse y eludir su detección. Estos programas se dividen en tres
categorías:
VIII.
Caballos de Troya.
IX.
Bombas lógicas.
X.
Gusanos.
3)
I.
Los virus parásitos.
Infectan ficheros
ejecutables o programas del ordenador. No modifican el contenido del programa
huésped, pero se adhieren al huésped de tal forma que el código del virus se
ejecuta en primer lugar. Estos virus pueden ser:
·
De acción directa.
·
Residentes.
Un
virus de acción directa selecciona uno o más programas para infectar cada vez
que se ejecuta.
Un virus residente se oculta en la memoria
del ordenador e infecta un programa determinado, cuando se ejecuta dicho
programa.
Ejemplos:
Virus de Acción directa
Toadie.7800.B
(Alias: Terminate.7800): Virus de
acción directa que infecta a los ficheros ejecutables con extensión EXE cuyo
tamaño sea mayor que 7800 Bytes. Es reparable con Panda Antivirus. Su medio de
propagación es el correo electrónico e IRC. Al ser ejecutado el archivo
TOADIE.EXE muestra un mensaje si los minutos del sistema marcan 17 minutos.
Virus Residente
AntiVMOS.B (Alias: ANTI-0, ANTO-ANGE, Gaxelle, Lenart, LiXi, Anti-Cmos,
AntiCMOS): Virus de tipo Residenteo Boot, de grupo o familia Anti CMOS, que
infecta al sector de arranque de disquetes y discos duros. Borra la información
de la CMOS. Es reparable con el Panda Antivirus. Es de origen chino y su tamaño
es de dos Kbytes. Su fecha de aparición es el 01/01/99.
II.
Los virus del sector de arranque inicial.
Estos virus residen en la primera parte del disco duro
o flexible, conocida como sector de arranque inicial, y sustituyen los
programas que almacenan información sobre el contenido del disco o los
programas que arrancan el ordenador. Estos virus suelen difundirse mediante el
intercambio físico de discos flexibles.
Ejemplos:
Stone, el primer virus de sector de arranque inicial.
One_Half.3544.A (Alias Slovak Bomber, Free Love, Explosion-II, Dis): De tipo residente,
stealth, multipartito, encriptado y polimórfico, pertenece al grupo o familia
One_Half. Infecta a ficheros con extensión COM, EXE y SYS, incluido el
intérprete de comandos COMMAND.COM, además del sector de arranque de los discos
duros (Master Boot Record - MBR). Es reparable con Panda Antivirus y su tamaño
es de 3577 Bytes. Proviene de Estados Unidos y Europa (Austria). Su fecha de
aparición es Mayo del año 1.994
III.
Los virus multipartitos.
Estos virus combinan las capacidades de los virus
parásitos y de sector de arranque inicial, y pueden infectar tanto ficheros
como sectores de arranque inicial.
Ejemplos:
WINWORD.CONCEPT:
Infecta documentos realizados con el procesados de textos Microsoft Word, por
lo cual se convierte en uno de los pocos virus multiplataforma, pudiendo
infectar tanto bajo OS/2, Windows 3.11, Windows 95 y Windows NT como
ordenadores Macintosh.
Se
le identificó por primera vez en Agosto de 1995, gracias a que el virus mismo
se delata: la primera vez que infecta el archivo NORMAL.DOT muestra una caja de
diálogo con un "1" y espera que se pulse OK. Desde ese momento, cada
nuevo documento basado en dicha plantilla contendrá una serie de macros que
hacen las veces de los módulos representados en la figura.
También puede aparecer bajo los nombres
WW6infector, WBMV, WordBasic Macro Virus y WW6macro.
IV.
Los virus acompañantes.
Los virus acompañantes no modifican los ficheros, sino
que crean un nuevo programa con el mismo nombre que un programa legítimo y
engañan al SO para que lo ejecute.
Ejemplos:
MANUEL:
Es un virus que queda residente en memoria. Ataca sólo archivos con extensión
".COM". Su activación se debe a la ejecución de un archivo infectado
3 meses antes.
Su
efecto destructivo consiste en agregar 995 bytes a estos archivos y efectúa una
rotación lógica del contenido de los primeros sectores del disco, creando una
enorme cantidad de vínculos cruzados y cadenas perdidas e inutilizando por lo
tanto casi toda la información contenida en el disco.
Es
un virus bastante fácil de detectar por su largo tiempo de incubación.
V.
Los virus de vínculo.
Estos modifican la forma en que el SO encuentra los
programas, y lo engañan para que ejecute primero el virus y luego el programa
deseado. Un virus de vínculo puede infectar todo un directorio de un ordenador,
y cualquier programa ejecutable al que se acceda en dicho directorio ejecutará
el virus.
VI.
Virus
de macro.
Son
un tipo de virus que ha cobrado mucha importancia en el mundo de la
informática, lo curioso es que no se transmiten por ficheros ejecutables, sino
mediante los ficheros de extensión .DOC de Microsoft Word, estos virus son
capaces de cambiar la configuración de Windows, borrar ficheros de nuestro
disco duro, enviar por correo cualquier archivo sin que nos demos cuenta, e
incluso infectar nuestro disco duro con un virus de fichero.
Estos
virus no son muy complicados de diseñar como los virus convencionales. Están
codificados en forma de macros del Word y por tanto puede entrar en acción nada
mas cargar un documento. El Word contiene una especie de lenguaje de
programación llamado WordBasic y es
con este lenguaje como se diseñan.
Ejemplos:
WIEDEROFFNEN:
Troyano de origen alemán que crea el subdirectorio C:\TROJA y copia en él el
archivo AUTOEXEC.BAT, borrándolo del directorio raíz. Infecta las macros
AUTOOPEN y AUTOCLOSE.
LAROUX:
Uno de los descubrimientos más recientes es este virus de tipo macro que
infecta planillas de cálculo de Microsoft Excel versiones 5 y 7. Consiste en
dos archivos macro llamados "auto_open" y "check_files" y
una planilla de cálculo escondida llamada "Laroux".
VII.
Virus
e-mail.
Un concepto sobre este tipo de virus debe quedar claro, no existen
tales virus, no puede haber un virus de correo electrónico porque precisamente
el correo no es auto ejecutable. Puede ser que recibamos un programa infectado
con un virus pero solo pasará a tener efecto cuando lo ejecutemos. Pero debemos
ejecutarlo ya desde nuestro ordenador, así que todos esos rumores de que hay
correos que con sólo abrirlos nos pueden destruir toda la información de
nuestro disco duro, todo eso es mentira.
Uno de los correos de este tipo más famoso era el “Good
Times”.
Ejemplos:
HAPPY99:
No
es específicamente un virus, sino un programa enviado por mail(correo
electrónico) que abre una ventana titulada "Happy New Year 1999!!"
con fuegos artificiales. Manipula la conectividad con Internet en Windows 95 y
98.
MELISSA: El nuevo
virus de macro de Word se está expandiendo a una velocidad increíble. Infecta
al MS Word y éste a todos los archivos que se abren. Se envía a sí mismo por
mail y sólo funciona con Word97 y Word 2000. Existen variantes de este virus
(PAPA VIRUS), pero son versiones para Excel 97.
VIII. Caballos de Troya.
Un
caballo de Troya aparenta ser algo interesante e inocuo, por ejemplo un juego,
pero cuando se ejecuta puede tener efectos dañinos.
Ejemplos:
FORMATC: Troyano que infecta al Word y que, al
abrir un archivo infectado, formatea el disco rígido.
WIEDEROFFNEN: Troyano de origen alemán que crea el
subdirectorio C:\TROJA y copia en él el archivo AUTOEXEC.BAT, borrándolo del
directorio raíz. Infecta las macros AUTOOPEN y AUTOCLOSE.
IX.
Bombas lógicas.
Una bomba lógica libera
su carga activa cuando se cumple una condición determinada, como cuando se
alcanza una fecha u hora determinada o cuando se teclea una combinación de
letras.
Ejemplos:
COLORS:
Virus de origen portugués que infecta el NORMAL.DOT y sobrescribe la siguientes
macros: AUTOOPEN, AUTOCLOSE, AUTOEXEC, FILENEW, FILEEXIT, FILESAVE Y
FILESAVEAS.
Posee un contador en el WIN.INI gracias
al cual, cada vez que llega a 300, cambia los colores del texto, el fondo, los
botones de herramientas, los bordes, etc.
NUCLEAR:
Infecta el NORMAL.DOT y luego, cuando se imprima un archivo, agregará un
pequeño texto al final del documento pidiendo por el cese de las pruebas
nucleares que se realizan en Francia.
FORMATC:
Troyano que infecta al Word y que, al abrir un archivo infectado, formatea el
disco rígido.
X.
Gusanos.
Un gusano se limita a
reproducirse, pero puede ocupar memoria del ordenador y hacer que sus procesos
vayan más lentos.
Ejemplos:
El Gusano de Internet, que cruzó Estados Unidos de un
día para otro a través de una red informática
4)
Cómo se contagian los Virus Informáticos:
Los virus informáticos se propagan
cuando las instrucciones que hacen funcionar los programas pasan de un
ordenador a otro. Una vez que un virus está activado, puede reproducirse
copiándose en discos flexibles, en el disco duro, en programas informáticos o a
través de redes informáticas. Estas infecciones son mucho más frecuentes en PC
que en sistemas profesionales de grandes computadoras, porque los programas de
los PC se intercambian fundamentalmente a través de discos flexibles o de redes
informáticas no reguladas.
Los virus funcionan, se reproducen y
liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador
está simplemente conectado a una red infectada o se limita a cargar un programa
infectado, no se infectará probablemente. Un usuario no ejecuta conscientemente
un código informático potencialmente nocivo como si nada; sin embargo, los
virus engañan frecuentemente al SO del ordenador o al usuario para que lo
ejecute.
Los virus también pueden residir en
las partes del disco duro o flexible que cargan y ejecutan el SO cuando se
arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En
las redes, algunos virus se ocultan en el software que permite al usuario
conectarse al sistema.
Puntos de Infección:
Los puntos de infección son los lugares o programas del
sistema en donde los virus insertan su código ejecutable para posteriormente
entrar en acción cuando este punto o programa sea ejecutado, hay virus que
infectan el sector de arranque, el interprete de comandos, archivos
ejecutables, drivers de dispositivos, monitores residentes en memoria, etc.
Cada técnica de infección proporciona ventajas y desventajas a los
programadores de virus, algunos métodos son mejores porque es más difícil que
un software antivirus los detecte, pero exigen técnicas de programación muy
rigurosas y mucho tiempo de desarrollo.
Algunas de las técnicas frecuentemente usadas utilizan los siguientes puntos de
infección:
Contaminación del
sector de arranque.
El virus sustituye el sector de booteo original del
ordenador cambiando así la secuencia normal de booteo. De esta manera, lo
primero que se ejecuta al encender el sistema es el código del virus, el cual
queda residente en memoria y luego carga el núcleo del SO.
Las principales ventajas de este tipo de infección son
que, por un lado, es fácil de programar un virus de estas características y,
por otro lado, al quedar el virus por debajo del SO tiene virtualmente un
control total sobre las acciones del mismo e incluso puede engañar mas
fácilmente a muchos antivirus.
Su principal desventaja es que son fácilmente
detectables y eliminables ya que basta con reinstalar nuevamente un sector de
arranque "bueno" para eliminar el virus.
- Contaminación
del interprete de comandos.
Este tipo de infección es muy similar a la anterior, ya
que el virus únicamente infecta un solo programa del SO, el interprete de
comandos. La principal ventaja de estos virus es que pueden
"interceptar" todas las ordenes que el usuario le da al sistema y en
algunos casos (dependiendo de la función del virus) solapar las acciones que se
deben realizar con otras acciones falsas introducidas por el mismo virus. Por
ejemplo: Cuando el usuario quiere ver el contenido de un directorio el virus se
lo muestra, pero lo que en realidad hace es borrar totalmente ese directorio.
El engaño puede llegar incluso hasta el punto de que durante toda la sesión
presente, el virus muestre el contenido del directorio como si aun existiese,
aunque en realidad ya esta borrado.
- Contaminación
de propósito general.
Este método de infección es uno de los mas usados, ya
que los virus de este tipo contagian todos los archivos ejecutables que
encuentren en el sistema de archivos. Independientemente de la acción
destructiva que realizan, son extremadamente difíciles de erradicar, ya cuando
se los detecta posiblemente ya hayan contaminado decenas o cientos de programas
del sistema, los cuales en muchos casos no se pueden recuperar e incluso es
posible que el virus haya contagiado algún otro sistema al cual se llevo alguno
de los programas infectados.
Por lo general este tipo de virus asegura su permanencia
contagiando cierta cantidad de archivos antes de iniciar sus acciones
destructivas, con lo cual, al momento de detectarlo, el virus puede haber
infectado todo el sistema e incluso otros sistemas. Una variante de este tipo
de virus son los virus de propósitos específicos diseñados generalmente con
fines de competencia entre empresas de software o para castigar la piratería de
algún paquete de software en particular. Este tipo de virus solamente ataca
determinados programas o paquetes de software de determinadas empresas y por lo
general termina destruyéndolo o modificándolo para que “en apariencia” funcione
mal. Algunas variantes de estos virus también contagian otros archivos
ejecutables en general persiguiendo dos fines fundamentales:
·
Poder actuar en el futuro ante una
reinstalación del software que combaten
·
Y por otro lado, la infección de otros
archivos en general desvía las sospechas sobre las verdaderas intenciones del
virus.
- Virus
residentes en memoria.
El último tipo de infección son lo virus residentes en
memoria, los cuales, a diferencia de los anteriores que solo actuaban mientras
se ejecutaba el programa infectado, se instalan en memoria y allí permanecen
hasta que se apague el sistema. Estando en memoria el virus puede realizar todas
las acciones de contagio y destrucción que desee en cualquier momento.
5) Los usuarios pueden prepararse frente a una infección creando
regularmente copias de seguridad del software original y de los ficheros de
datos, para poder recuperarlo en caso necesario.
Para detectar la presencia de un virus pueden emplearse varios tipos de
programas antivíricos. Los programas de rastreo pueden reconocer las
características del código de un virus y buscar estas características en los
ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando
aparecen, los programas de rastreo deben ser actualizados periódicamente para
resultar eficaces. Los programas caparazones de integridad establecen capas por
las que debe pasar cualquier orden de ejecución de un programa (el “residente”
del Panda Antivirus).
Una vez detectada una infección, ésta puede contenerse aislando los
ordenadores de la red, parando el intercambio de ficheros y empleando sólo
discos protegidos contra escritura. Para que un sistema informático se recupere
de una infección, primero hay que eliminar el virus.
Algunos programas antivirus intentan eliminar los virus detectados, pero
a veces fallan. Se obtienen resultados más fiables desconectando el ordenador
infectado, arrancándolo de nuevo desde un disco flexible protegido contra
escritura, borrando los ficheros infectados y sustituyéndolos por copias de
seguridad de ficheros originales y borrando los virus que pueda haber en el
sector de arranque inicial.
6) Para combatir la avalancha de virus informáticos
se creó el software antivirus. Estos programas suelen incorporar mecanismos
para prevenir, detectar y eliminar virus. Para la prevención se suelen usar
programas residentes que alertan al usuario en todo momento de cualquier acceso
no autorizado o sospechoso a memoria o a disco, por lo que
resultan sumamente útiles al
impedir la entrada del virus y hacerlo en el momento en que este intenta la
infección, facilitándonos enormemente
la localización del programa maligno. Sin embargo presentan ciertas
desventajas, ya que al ser residentes consumen memoria RAM, y pueden también
resultar incompatibles con algunas aplicaciones. Por
otro lado, pueden llegar a
resultar bastante molestos, puesto que por lo general suelen interrumpir
nuestro trabajo habitual con el ordenador avisándonos de intentos de acceso a
memoria o a disco que en muchos casos provienen de
programas legítimos. A pesar
de todo, son una medida de protección excelente y a ningún usuario debería
faltarle un programa de este tipo.
A la hora de localizar virus,
los programas usados sin los detectores o scanners. Normalmente estos programas
chequean primero la memoria RAM, después las zonas criticas del disco como el
boot o partición, y por ultimo los ficheros almacenados en él.
Los productos antivirus han
mejorado considerablemente sus algoritmos de búsqueda, aunque en la actualidad
la exploración de cadenas sigue siendo la técnica más empleada. Pero el aumento
imparable del número de virus y las técnicas de camuflaje y automodificación
que suelen emplear hacen que la búsqueda a través de una cadena genérica sea
una tarea cada vez más difícil. Por ello, es cada día es más frecuente el
lanzamiento de antivirus con técnicas
heurísticas.
La detección heurística es
una de las fórmulas más avanzadas de remotoización de virus. La búsqueda de
virus mediante esta técnica se basa en el desensamblado del código del programa
que se intenta analizar con el objetivo de encontrar instrucciones (o un
conjunto de ellas) sospechosas. Sin duda, lo mejor es disponer de un antivirus
que
combine la búsqueda de
cadenas características y además cuente con técnicas heurísticas.
Gracias a la heurística se
buscan programas que puedan quedarse residentes o que sean capaces de capturar
aplicaciones que se estén ejecutando, código preparado para mover o
sobreescribir un programa en memoria, código capaz de automodificar
ejecutables, rutinas de encriptación y desencriptación, y otras actividades
propias de los virus.
Aunque las técnicas heurísticas han representado un gran avance en
la detección de virus desconocidos, presentan
un
Monografías
