WINWORD.CONCEPT: Infecta documentos realizados con el procesados de textos Microsoft Word, por lo cual se convierte en uno de los pocos virus multiplataforma, pudiendo infectar tanto bajo OS/2, Windows 3.11, Windows 95 y Windows NT como ordenadores Macintosh.

Se le identificó por primera vez en Agosto de 1995, gracias a que el virus mismo se delata: la primera vez que infecta el archivo NORMAL.DOT muestra una caja de diálogo con un "1" y espera que se pulse OK. Desde ese momento, cada nuevo documento basado en dicha plantilla contendrá una serie de macros que hacen las veces de los módulos representados en la figura.

También puede aparecer bajo los nombres WW6infector, WBMV, WordBasic Macro Virus y WW6macro.

          IV.      Los virus acompañantes.

Los virus acompañantes no modifican los ficheros, sino que crean un nuevo programa con el mismo nombre que un programa legítimo y engañan al SO para que lo ejecute.

Ejemplos:

MANUEL: Es un virus que queda residente en memoria. Ataca sólo archivos con extensión ".COM". Su activación se debe a la ejecución de un archivo infectado 3 meses antes.

Su efecto destructivo consiste en agregar 995 bytes a estos archivos y efectúa una rotación lógica del contenido de los primeros sectores del disco, creando una enorme cantidad de vínculos cruzados y cadenas perdidas e inutilizando por lo tanto casi toda la información contenida en el disco.

Es un virus bastante fácil de detectar por su largo tiempo de incubación.

            V.      Los virus de vínculo.

Estos modifican la forma en que el SO encuentra los programas, y lo engañan para que ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede infectar todo un directorio de un ordenador, y cualquier programa ejecutable al que se acceda en dicho directorio ejecutará el virus.

          VI.      Virus de macro.

Son un tipo de virus que ha cobrado mucha importancia en el mundo de la informática, lo curioso es que no se transmiten por ficheros ejecutables, sino mediante los ficheros de extensión .DOC de Microsoft Word, estos virus son capaces de cambiar la configuración de Windows, borrar ficheros de nuestro disco duro, enviar por correo cualquier archivo sin que nos demos cuenta, e incluso infectar nuestro disco duro con un virus de fichero.

Estos virus no son muy complicados de diseñar como los virus convencionales. Están codificados en forma de macros del Word y por tanto puede entrar en acción nada mas cargar un documento. El Word contiene una especie de lenguaje de programación llamado WordBasic y es con este lenguaje como se diseñan.

Ejemplos:

WIEDEROFFNEN: Troyano de origen alemán que crea el subdirectorio C:\TROJA y copia en él el archivo AUTOEXEC.BAT, borrándolo del directorio raíz. Infecta las macros AUTOOPEN y AUTOCLOSE.

LAROUX: Uno de los descubrimientos más recientes es este virus de tipo macro que infecta planillas de cálculo de Microsoft Excel versiones 5 y 7. Consiste en dos archivos macro llamados "auto_open" y "check_files" y una planilla de cálculo escondida llamada "Laroux".

         VII.      Virus e-mail.

 Un concepto sobre este tipo de virus debe quedar claro, no existen tales virus, no puede haber un virus de correo electrónico porque precisamente el correo no es auto ejecutable. Puede ser que recibamos un programa infectado con un virus pero solo pasará a tener efecto cuando lo ejecutemos. Pero debemos ejecutarlo ya desde nuestro ordenador, así que todos esos rumores de que hay correos que con sólo abrirlos nos pueden destruir toda la información de nuestro disco duro, todo eso es mentira.

Uno de los correos de este tipo más famoso era el "Good Times".

Ejemplos:

HAPPY99: No es específicamente un virus, sino un programa enviado por mail(correo electrónico) que abre una ventana titulada "Happy New Year 1999!!" con fuegos artificiales. Manipula la conectividad con Internet en Windows 95 y 98.

MELISSA: El nuevo virus de macro de Word se está expandiendo a una velocidad increíble. Infecta al MS Word y éste a todos los archivos que se abren. Se envía a sí mismo por mail y sólo funciona con Word97 y Word 2000. Existen variantes de este virus (PAPA VIRUS), pero son versiones para Excel 97.

       VIII.      Caballos de Troya.

Un caballo de Troya aparenta ser algo interesante e inocuo, por ejemplo un juego, pero cuando se ejecuta puede tener efectos dañinos.

Ejemplos:

FORMATC: Troyano que infecta al Word y que, al abrir un archivo infectado, formatea el disco rígido.

WIEDEROFFNEN: Troyano de origen alemán que crea el subdirectorio C:\TROJA y copia en él el archivo AUTOEXEC.BAT, borrándolo del directorio raíz. Infecta las macros AUTOOPEN y AUTOCLOSE.

           IX.      Bombas lógicas.

Una bomba lógica libera su carga activa cuando se cumple una condición determinada, como cuando se alcanza una fecha u hora determinada o cuando se teclea una combinación de letras.

Ejemplos:

COLORS: Virus de origen portugués que infecta el NORMAL.DOT y sobrescribe la siguientes macros: AUTOOPEN, AUTOCLOSE, AUTOEXEC, FILENEW, FILEEXIT, FILESAVE Y FILESAVEAS.

Posee un contador en el WIN.INI gracias al cual, cada vez que llega a 300, cambia los colores del texto, el fondo, los botones de herramientas, los bordes, etc.

NUCLEAR: Infecta el NORMAL.DOT y luego, cuando se imprima un archivo, agregará un pequeño texto al final del documento pidiendo por el cese de las pruebas nucleares que se realizan en Francia.

FORMATC: Troyano que infecta al Word y que, al abrir un archivo infectado, formatea el disco rígido.

             X.      Gusanos.

Un gusano se limita a reproducirse, pero puede ocupar memoria del ordenador y hacer que sus procesos vayan más lentos.

Ejemplos:

El Gusano de Internet, que cruzó Estados Unidos de un día para otro a través de una red informática

4)

Cómo se contagian los Virus Informáticos:

Los virus informáticos se propagan cuando las instrucciones que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a través de discos flexibles o de redes informáticas no reguladas.

Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente conectado a una red infectada o se limita a cargar un programa infectado, no se infectará probablemente. Un usuario no ejecuta conscientemente un código informático potencialmente nocivo como si nada; sin embargo, los virus engañan frecuentemente al SO del ordenador o al usuario para que lo ejecute.

Los virus también pueden residir en las partes del disco duro o flexible que cargan y ejecutan el SO cuando se arranca el ordenador, por lo que dichos virus se ejecutan automáticamente. En las redes, algunos virus se ocultan en el software que permite al usuario conectarse al sistema.

Puntos de Infección:

Los puntos de infección son los lugares o programas del sistema en donde los virus insertan su código ejecutable para posteriormente entrar en acción cuando este punto o programa sea ejecutado, hay virus que infectan el sector de arranque, el interprete de comandos, archivos ejecutables, drivers de dispositivos, monitores residentes en memoria, etc.

Cada técnica de infección proporciona ventajas y desventajas a los programadores de virus, algunos métodos son mejores porque es más difícil que un software antivirus los detecte, pero exigen técnicas de programación muy rigurosas y mucho tiempo de desarrollo.
Algunas de las técnicas frecuentemente usadas utilizan los siguientes puntos de infección:

Contaminación del sector de arranque.

El virus sustituye el sector de booteo original del ordenador cambiando así la secuencia normal de booteo. De esta manera, lo primero que se ejecuta al encender el sistema es el código del virus, el cual queda residente en memoria y luego carga el núcleo del SO.

Las principales ventajas de este tipo de infección son que, por un lado, es fácil de programar un virus de estas características y, por otro lado, al quedar el virus por debajo del SO tiene virtualmente un control total sobre las acciones del mismo e incluso puede engañar mas fácilmente a muchos antivirus.

Su principal desventaja es que son fácilmente detectables y eliminables ya que basta con reinstalar nuevamente un sector de arranque "bueno" para eliminar el virus.

- Contaminación del interprete de comandos.

Este tipo de infección es muy similar a la anterior, ya que el virus únicamente infecta un solo programa del SO, el interprete de comandos. La principal ventaja de estos virus es que pueden "interceptar" todas las ordenes que el usuario le da al sistema y en algunos casos (dependiendo de la función del virus) solapar las acciones que se deben realizar con otras acciones falsas introducidas por el mismo virus. Por ejemplo: Cuando el usuario quiere ver el contenido de un directorio el virus se lo muestra, pero lo que en realidad hace es borrar totalmente ese directorio. El engaño puede llegar incluso hasta el punto de que durante toda la sesión presente, el virus muestre el contenido del directorio como si aun existiese, aunque en realidad ya esta borrado.

- Contaminación de propósito general.

Este método de infección es uno de los mas usados, ya que los virus de este tipo contagian todos los archivos ejecutables que encuentren en el sistema de archivos. Independientemente de la acción destructiva que realizan, son extremadamente difíciles de erradicar, ya cuando se los detecta posiblemente ya hayan contaminado decenas o cientos de programas del sistema, los cuales en muchos casos no se pueden recuperar e incluso es posible que el virus haya contagiado algún otro sistema al cual se llevo alguno de los programas infectados.

Por lo general este tipo de virus asegura su permanencia contagiando cierta cantidad de archivos antes de iniciar sus acciones destructivas, con lo cual, al momento de detectarlo, el virus puede haber infectado todo el sistema e incluso otros sistemas. Una variante de este tipo de virus son los virus de propósitos específicos diseñados generalmente con fines de competencia entre empresas de software o para castigar la piratería de algún paquete de software en particular. Este tipo de virus solamente ataca determinados programas o paquetes de software de determinadas empresas y por lo general termina destruyéndolo o modificándolo para que "en apariencia" funcione mal. Algunas variantes de estos virus también contagian otros archivos ejecutables en general persiguiendo dos fines fundamentales:

•         Poder actuar en el futuro ante una reinstalación del software que combaten

•         Y por otro lado, la infección de otros archivos en general desvía las sospechas sobre las verdaderas intenciones del virus.

- Virus residentes en memoria.

El último tipo de infección son lo virus residentes en memoria, los cuales, a diferencia de los anteriores que solo actuaban mientras se ejecutaba el programa infectado, se instalan en memoria y allí permanecen hasta que se apague el sistema. Estando en memoria el virus puede realizar todas las acciones de contagio y destrucción que desee en cualquier momento.

5)  Los usuarios pueden prepararse frente a una infección creando regularmente copias de seguridad del software original y de los ficheros de datos, para poder recuperarlo en caso necesario.

Para detectar la presencia de un virus pueden emplearse varios tipos de programas antivíricos. Los programas de rastreo pueden reconocer las características del código de un virus y buscar estas características en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados periódicamente para resultar eficaces. Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución de un programa (el "residente" del Panda Antivirus).

Una vez detectada una infección, ésta puede contenerse aislando los ordenadores de la red, parando el intercambio de ficheros y empleando sólo discos protegidos contra escritura. Para que un sistema informático se recupere de una infección, primero hay que eliminar el virus.

Algunos programas antivirus intentan eliminar los virus detectados, pero a veces fallan. Se obtienen resultados más fiables desconectando el ordenador infectado, arrancándolo de nuevo desde un disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyéndolos por copias de seguridad de ficheros originales y borrando los virus que pueda haber en el sector de arranque inicial.

6) Para combatir la avalancha de virus informáticos se creó el software antivirus. Estos programas suelen incorporar mecanismos para prevenir, detectar y eliminar virus. Para la prevención se suelen usar programas residentes que alertan al usuario en todo momento de cualquier acceso no autorizado o sospechoso a memoria o a disco, por lo que

resultan sumamente útiles al impedir la entrada del virus y hacerlo en el momento en que este intenta la infección, facilitándonos enormemente la localización del programa maligno. Sin embargo presentan ciertas desventajas, ya que al ser residentes consumen memoria RAM, y pueden también resultar incompatibles con algunas aplicaciones. Por

otro lado, pueden llegar a resultar bastante molestos, puesto que por lo general suelen interrumpir nuestro trabajo habitual con el ordenador avisándonos de intentos de acceso a memoria o a disco que en muchos casos provienen de

programas legítimos. A pesar de todo, son una medida de protección excelente y a ningún usuario debería faltarle un programa de este tipo.

A la hora de localizar virus, los programas usados sin los detectores o scanners. Normalmente estos programas chequean primero la memoria RAM, después las zonas criticas del disco como el boot o partición, y por ultimo los ficheros almacenados en él.

Los productos antivirus han mejorado considerablemente sus algoritmos de búsqueda, aunque en la actualidad la exploración de cadenas sigue siendo la técnica más empleada. Pero el aumento imparable del número de virus y las técnicas de camuflaje y automodificación que suelen emplear hacen que la búsqueda a través de una cadena genérica sea una tarea cada vez más difícil. Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas

heurísticas.

La detección heurística es una de las fórmulas más avanzadas de remotoización de virus. La búsqueda de virus mediante esta técnica se basa en el desensamblado del código del programa que se intenta analizar con el objetivo de encontrar instrucciones (o un conjunto de ellas) sospechosas. Sin duda, lo mejor es disponer de un antivirus que

combine la búsqueda de cadenas características y además cuente con técnicas heurísticas.

Gracias a la heurística se buscan programas que puedan quedarse residentes o que sean capaces de capturar aplicaciones que se estén ejecutando, código preparado para mover o sobreescribir un programa en memoria, código capaz de automodificar ejecutables, rutinas de encriptación y desencriptación, y otras actividades propias de los virus.

 Aunque las técnicas heurísticas han representado un gran avance en la detección de virus desconocidos, presentan un gran inconveniente: es muy alta la posibilidad de obtener falsos positivos y negativos. Se produce un falso positivo cuando el antivirus anuncia la presencia de un virus que no es tal, mientras que se llama falso negativo cuando piensa que el PC esta limpio y en realidad se encuentra infectado.

¿Que Debemos Buscar En Un Antivirus?

A la hora de decidirnos por un antivirus, no debemos dejarnos seducir por la propaganda con mensajes como "detecta y elimina 56.432 virus". Realmente existen miles de virus, pero en muchísmos casos son mutaciones y familias de otros virus; esto está bien, pero hay que tener en cuenta que una inmensa mayoría de virus no han llegado ni llegaran a nuestro país.

Por lo que de poco nos sirve un antivirus que detecte y elimine virus muy extendidos en América y que desconozca los más difundidos en España. Por tanto, estaremos mejor protegidos por un software que, de alguna forma, esté más "especializado" en virus que puedan detectarse en nuestro país. Por ejemplo "Flip", "Anti Tel", "Barrotes", "Coruña".

etc. Por otro lado, hemos de buscar un software que se actualice el mayor numero posible de veces al año; puesto que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha frecuencia, el estar al día es absolutamente vital.

Cómo Reaccionar Ante Una Infección

La prevención y la compra de un buen antivirus son las mejores armas con las que cuenta el usuario ante el ataque de los virus. Sin embargo, siempre cabe la posibilidad de que en un descuido se introduzca un inquilino no deseado en el PC. Ante esta situación lo primero que debemos hacer es arrancar el ordenador con un disco de sistema totalmente libre de virus. Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que si es antiguo corremos el riesgo de que no remotoice mutaciones recientes o nuevos virus.

En el disco de sistema limpio (que crearemos con la orden format a: /s) incluiremos utilidades como mem.exe, chkdsk.exe, sys.com, fdisk.exe y todos los controladores para que el teclado funcione correctamente. Si disponemos de dos o más antivirus es muy recomendable pasarlos todos para tener mayor seguridad a la hora de inmunizar el PC.

Si la infección se ha producido en el sector de arranque podemos limpiar el virus con la orden sys c:, siempre y cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la tabla de particiones podemos ejecutar fdisk /mbr.

Software AntiVirus Comercial

Análisis heurístico:

Hay que señalar una marcada mejoría en las técnicas de detección heurísticas, que aunque en determinadas condiciones siguen provocando falsos positivos, muestran una gran efectividad a la hora de remotoizar virus desconocidos. En este apartado debemos destacar al ThunderByte, ya que la técnica heurística de este antivirus le ha permitido detectar 42 de los virus no remotoizados mediante el método adicional. De hecho, la mayoría de estos virus son desarrollos nacionales de reciente aparición, por lo que o ha habido tiempo de incluirlos en la última versión. Además, este producto destaca por una relación de falsos positivos realmente baja.

 Otros productos que permiten la detección heurística son Artemis Profesional, Dr. Solomon´s y F-Prot 2.20. En todos los casos esta técnica ha servido para aumentar el porcentaje de virus detectados, aunque de esta forma no se identifica el virus, sino que sólo se sospecha de su presencia. Por otra parte, el Dr. Solomon´s combina perfectamente una gran base de datos de virus conocidos con su análisis heurístico.

Búsqueda específica:

Aunque algunos antivirus engordan su porcentaje de efectividad gracias a técnicas de remotoización genérica (heurísticamente), muchos usuarios pueden preferir la seguridad aportada por un sistema específico que identifique, e incluso elimine, sin problemas ni dudas el mayor número de virus posible.

 Los usuarios más inexpertos probablemente no sepan enfrentarse a las alarmas producidas por el análisis heurístico, por lo que en todos los antivirus es posible realizar la exploración de las unidades de disco sin dicha posibilidad. En tal caso será necesario conocer cuál es la efectividad del producto prescindiendo de tal análisis.

Por este motivo, si nos basamos en técnicas tradicionales como la búsqueda de cadenas y dejamos a un lado métodos heurísticos tenemos que reconocer que el producto dominante es el antivirus Artemis Profesional 4.0,. tras  él, el conocido Scan de McAfee demuestra el porqué de su prestigio, seguido muy de cerca por el F-Prot.

8)       Un Virus conocido es el Virus O97M/Tristate.C.

Resumen de características

O97M/Tristate.C es un virus de macro diseñado para infectar ficheros creados con Microsoft Office 97. Por tanto, el virus infectará documentos de Microsoft Word97 (ficheros con extensión DOC) y la plantilla NORMAL.DOT que éste emplea, hojas de cálculo de Excel 97 (Ficheros con extensión XLS) y ficheros de presentaciones Power Point (ficheros con extensión PPT).

Método de Propagación

El virus O97M/Tristate.C se propaga como la mayoría de los virus existentes. Para ello utiliza cualquiera de los ficheros que previamente ha infectado (documentos de Word, hojas de cálculo de Excel, o presentaciones de Power Point). Estos ficheros pueden ser localizados en otros ordenadores gracias a cualquiera de los siguientes medios: unidades de disco (disquetes, CD-ROM y otros tipos de unidades de almacenamiento), redes de ordenadores, download desde Internet, envío y recepción de mensajes de correo electrónico en los que se incluye o adjunta alguno de los ficheros infectados,... etc.

Síntomas de la infección

El virus inserta, en el interior de cada uno de los ficheros infectados (documentos de Word, hojas de cálculo de Excel, o presentaciones Power Point), el siguiente texto:

Triplicate v0.21 /1nternal

Sólo en al caso de Microsoft Word o Microsoft Excel, se desactiva la protección antivirus. De este modo, cuando se abra un fichero que contiene macros, no se presentará el cuadro de diálogo mediante el cual es posible que el usuario desactive (o no) dichas macros.

Método de infección

El virus realiza las infecciones de diferente forma, dependiendo del tipo de fichero a infectar:

Infecciones en Microsoft Word 97. Comprueba si la plantilla ya se encuentra infectada. Si no fuese así, la infecta. Finalmente, desactiva la protección antivirus para las macros.

Infecciones en Microsoft Excel 97. Comprueba la existencia del fichero BOOK1 en el directorio de inicio de Excel (INICIOXLS, INICIO, XLSSTART...). En caso de encontrarlo, O97M/Tristate.C guarda una hoja de calculo con el nombre BOOK1., en el directorio de inicio de Excel, realizando de este modo su infección.

Infecciones en Microsoft Power Point 97. Para realizar las infecciones de Power Point, el virus procede a infectar su plantilla.