Los Virus Informáticos
son programas maliciosos (malwares) que
“infectan” a otros archivos del sistema con la intención de modificarlo o
dañarlo.
La infección consiste en
incrustar su código malicioso en el interior del archivo “víctima” (normalmente
un ejecutable) de forma que a partir de ese momento dicho ejecutable pasa a ser
portador del virus y por tanto, una nueva fuente de infección.
¿Cuál
es el funcionamiento básico de un virus?
·
Se ejecuta un programa
que está infectado.
·
El código del virus
queda residente en la memoria RAM de la computadora.
·
El virus toma entonces
el control de los servicios básicos del sistema operativo, infectando, de
manera posterior, archivos ejecutables.
·
Finalmente se añade el
código del virus al programa infectado y se graba en el disco, con lo cual el
proceso de replicado se completa.
.
Las
principales vías de infección son:
·
Redes Sociales.
·
Sitios webs
fraudulentos.
·
Redes P2P (descargas con
regalo)
·
Dispositivos
USB/CDs/DVDs infectados.
·
Sitios webs legítimos
pero infectados.
·
Adjuntos en Correos no
solicitados (Spam)
.
.
¿Cómo
protegernos de los virus informáticos?
Hay tres puntos vitales que son:
·
Un “poco” de sentido común.
CLASIFICACIÓN DE ALGUNOS VIRUS INFORMÁTICOS
Los
virus se pueden clasificar por diferentes criterios pero, los más comunes son:
Por
su capacidad de propagación
Virus: Sólo pueden
existir infectando a otros programas, generalmente ejecutables o macros.
Gusanos:
intentan realizar el mayor número de copias posibles de si mismos. Para su
transmisión es mediante E-mail (I
loveyou), películas de actualidad… Al no afectar a ningún archivo suelen ser
más fáciles de eliminar.
Troyanos: es
un programa aparentemente legítimo pero al ejecutarlo ocasiona los daños para
los que está diseñado. Los troyanos no propagan el infección por si mismos. Su
principal utilidad es crear una puerta trasera en el ordenador infectado para
emplearla en otras actividades como el robo de contraseñas, control remoto,
ataques a terceros, distribución de spam…
Por
las acciones que realizan
En
este caso la clasificación puede ser muy amplia pero, principalmente, podemos
encontrar:
Adware: muestran
publicidad no deseada.
Bloqueador: impiden la
ejecución de determinados programas y la conexión a ciertas direcciones de
Internet, sobre todo centros de seguridad.
Bomba
lógica: se
activa cuando se cumplen una serie de condiciones.
Bulo
(Hoax): típico
mensaje alertándonos de algo que no es cierto.
Capturador
de pulsaciones: intenta robar nuestras claves, sobre todo
bancarias. Como buena práctica SIEMPRE utilizaremos en teclado virtual que nos
ofrece la entidad bancaria para introducir nuestras claves.
Espía
(Spyware): roba información del usuario para enviarla a un servidor
remoto para su análisis.
CLASIFICACIÓN
Dependiendo del lugar donde se alojan, la técnica de replicación o la
plataforma en la cual trabajan, podemos diferenciar en distintos tipos de
virus.
o
Virus de accion directa.
o
Virus de sobreescritura.
o
Virus de compañia.
VIRUS DE
SECTOR DE ARRANQUE (BOOT).
Utilizan el sector de arranque, el cual contiene la información sobre el tipo
de disco, sector de comienzo. A todo esto hay que sumarle un pequeño programa
de arranque que verifica si el disco puede arrancar el sistema operativo. Los
virus de Boot utilizan este sector de arranque para ubicarse,
guardando el sector original en otra parte del disco. En muchas ocasiones el
virus marca los sectores donde guarda el Boot original como
defectuosos; de esta forma impiden que sean borrados
VIRUS DE
ARCHIVOS.
Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido
los mas afectados, aunque es estos momentos son los archivos (DOC, XLS, SAM...)
los que están en boga gracias a los virus de macro. Normalmente insertan el
código del virus al principio o al final del archivo, manteniendo intacto el
programa infectado. Cuando se ejecuta, el virus puede hacerse residente en
memoria y luego devuelve el control al programa original para que se continúe
de modo normal.
Dentro de la categoría de virus de archivos podemos encontrar
mas subdivisiones, como los siguientes:
Virus de acción directa. Son aquellos que no quedan residentes en
memoria y que se replican en el momento de ejecutarse un archivo infectado.
Virus de sobreescritura. Corrompen el archivo donde se ubican al
sobreescribirlo.
Virus de compañía. Aprovechan una característica del DOS, si
llamamos un archivo para ejecutarlo sin indicar la extensión el sistema
operativo buscara en primer lugar el tipo COM. Este tipo de virus no modifica
el programa original, sino que cuando encuentra un archivo tipo EXE crea otro
de igual nombre conteniendo el virus con extensión COM. De manera que cuando
tecleamos el nombre ejecutaremos en primer lugar el virus, y posteriormente
este pasara el control a la aplicación original.
VIRUS DE
MACRO.
Estos
están programas usando el lenguaje de macrosWordBasic, gracias al cual
pueden infectar y replicarse a través de archivos MS-Word (DOC). En la actualidad esta técnica
se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros.
VIRUS
BAT.
Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes
consiguen replicarse y efectuar efectos dañinos como cualquier otro tipo virus.
En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas
para colocar en memoria virus comunes. Para ello se copian a si mismo como
archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas
a código maquina son <<comodines>> y no producen ningún efecto que
altere el funcionamiento del virus.
VIRUS
DEL MIRC.
Vienen a formar parte de la nueva generación Internet y demuestra que la Red
abre nuevas forma de infección. Consiste en un script para el cliente de IRC
Mirc. Cuando alguien accede a un canal de IRC (un canal de chat,
que permite debates entre dos o más personas), donde se encuentre alguna persona infectada, recibe por DCC (Cliente directo al cliente) un archivo llamado "script.ini".
¿Qué daño
puede hacer un virus a mi sistema?
·
Software
o
Modificación de programas para que dejen de
funcionar
o
Modificación de programas para que funcionen
erróneamente
o
Modificación sobre los datos
o
Eliminación de programas y/o datos
o
Acabar con el espacio libre en el disco rígido
o
Hacer que el sistema funcione mas lentamente
o
Robo de información confidencial
·
Hardware
o
Borrado del BIOS
o
Quemado del procesador por falsa información del
sensor de temperatura
o
Rotura del disco rígido al hacerlo leer
repetidamente sectores específicos que fuercen su funcionamiento mecánico
¿Cómo se
propagan los virus?
·
Disquetes u otro medio de almacenamiento removible
·
Software pirata en disquetes o CDs
·
Redes de computadoras
·
Mensajes de correo electrónico
·
Software bajado de Internet
·
Discos de demostración y pruebas gratuitos
Síntomas
que indican la presencia de Virus....
·
Cambios en la longitud de los programas
·
Cambios en la fecha y/u hora de los archivos
·
Retardos al cargar un programa
·
Operación más lenta del sistema
·
Reducción de la capacidad en memoria y/o disco
rígido
·
Sectores defectuosos en los disquetes
·
Mensajes de error inusuales
·
Actividad extraña en la pantalla
·
Fallas en la ejecución de los programas
·
Fallas al bootear el equipo
·
Escrituras fuera de tiempo en el disco
Tipos de
Virus de Computación por su destino de infección
Infectores
de archivos ejecutables
o
Afectan archivos de extensión EXE, COM, BAT, SYS,
PIF, DLL, DRV
o
Infectores directos
El
programa infectado tiene que estar ejecutándose para que el virus pueda
funcionar (seguir infectando y ejecutar sus acciones destructivas)
Infectores
residentes en memoria
El
programa infectado no necesita estar ejecutándose, el virus se aloja en la
memoria y permanece residente infectando cada nuevo programa ejecutado y
ejecutando su rutina de destrucción
Macrovirus
Son los
virus mas populares de la actualidad. No se transmiten a través de archivos
ejecutables, sino a través de los documentos de las aplicaciones que poseen
algún tipo de lenguaje de macros. Entre ellas encontramos todas las
pertenecientes al paquete Office (Word, Excel, Power Point, Access) y también
el Corel Draw.
Cuando
uno de estos archivos infectado es abierto o cerrado, el virus toma el control
y se copia a la plantilla base de nuevos documentos, de forma que sean
infectados todos los archivos que se abran o creen en el futuro...
Los lenguajes de macros como el Visual Basic ForApplications son muy poderosos
y poseen capacidades como para cambiar la configuración del sistema operativo,
borrar archivos, enviar e-mails, etc.
De
Actives Agents y Java Applets
En 1997,
aparecen los Java applets y Actives controls. Estos pequeños programas se
graban en el disco rígido del usuario cuando está conectado a Internet y se
ejecutan cuando la página web sobre la que se navega lo requiere, siendo una
forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus
desarrollados con Java applets y Actives controls acceden al disco rígido a
través de una conexión www de manera que el usuario no los detecta. Se pueden
programar para que borren o corrompan archivos, controlen la memoria, envíen
información a un sitio web, etc.
De HTML
Un
mecanismo de infección más eficiente que el de los Java applets y Actives
controls apareció a fines de 1998 con los virus que incluyen su código en
archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una
página web puede contener y ejecutar un virus. Este tipo de virus se
desarrollan en Visual Basic Script. Atacan a usuarios de Win98, 2000 y de las
últimas versiones de Explorer. Esto se debe a que necesitan que el Windows
Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper
archivos.
Trojanos/Works
Los
troyanos son programas que imitan programas útiles o ejecutan algún tipo de
acción aparentemente inofensiva, pero que de forma oculta al usuario ejecutan
el código dañino.
Los
troyanos no cumplen con la función de autorreproducción, sino que generalmente
son diseñados de forma que por su contenido sea el mismo usuario el encargado
de realizar la tarea de difusión del virus. (Generalmente son enviados por
e-mail)
Tipos de
Virus de Computación por sus acciones y/o modo de activación
Bombas
Se denominan así a los virus que ejecutan su acción dañina como si fuesen una
bomba. Esto significa que se activan segundos después de verse el sistema infectado
o después de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo
de condición lógica del equipo. (bombas lógicas). Ejemplos de bombas de tiempo
son los virus que se activan en una determinada fecha u hora determinada.
Ejemplos de bombas lógicas son los virus que se activan cuando al disco rígido
solo le queda el 10% sin uso, etc.
Camaleones
Son una variedad de virus similares a los caballos de Troya que actúan como
otros programas parecidos, en los que el usuario confía, mientras que en realidad
están haciendo algún tipo de daño. Cuando están correctamente programados, los
camaleones pueden realizar todas las funciones de los programas legítimos a los
que sustituyen (actúan como programas de demostración de productos, los cuales
son simulaciones de programas reales).
Un software camaleón podría, por ejemplo, emular un programa de acceso a
sistemas remotos realizando todas las acciones que ellos realizan, pero como
tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los
diferentes logins y password para que posteriormente puedan ser recuperados y
utilizados ilegalmente por el creador del virus camaleón.
Reproductores
Los reproductores (también conocidos como conejos-rabbits) se reproducen en
forma constante una vez que son ejecutados hasta agotar totalmente (con su
descendencia) el espacio de disco o memoria del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar
para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema,
especialmente en un entorno multiusuario interconectado, hasta el punto que el
sistema principal no puede continuar con el procesamiento normal.
Gusanos
(Worms)
Los gusanos son programas que constantemente viajan a través de un sistema
informático interconectado, de PC a PC, sin dañar necesariamente el hardware o
el software de los sistemas que visitan.
La
función principal es viajar en secreto a través de equipos anfitriones
recopilando cierto tipo de información programada (tal como los archivos de passwords)
para enviarla a un equipo determinado al cual el creador del virus tiene
acceso.
Backdoors
Son también conocidos como herramientas de administración remotas ocultas. Son
programas que permiten controlar remotamente la PC infectada. Generalmente son
distribuidos como troyanos. Cuando un virus de estos es ejecutado, se instala
dentro del sistema operativo, al cual monitorea sin ningún tipo de mensaje o
consulta al usuario. Incluso no se lo vé en la lista de programas activos. Los
Backdoors permiten al autor tomar total control de la PC infectada y de esta
forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al
usuario, etc....
Estrategias
de infección usadas por los virus
Añadidura
o empalme:
El código
del virus se agrega al final del archivo a infectar, modificando las
estructuras de arranque del archivo de manera que el control del programa pase
por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute
sus tareas específicas y luego entregue el control al programa. Esto genera un
incremento en el tamaño del archivo lo que permite su fácil detección.
Inserción:
El código del virus se aloja en zonas de código no utilizadas o en segmentos de
datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas
muy avanzadas de programación, por lo que no es muy utilizado este método.
Reorientación:
Es una variante del anterior. Se introduce el código principal del virus en
zonas físicas del disco rígido que se marcan como defectuosas y en los archivos
se implantan pequeños trozos de código que llaman al código principal al
ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del
archivo el cuerpo del virus puede ser bastante importante y poseer mucha
funcionalidad. Su eliminación es bastante sencilla, ya que basta con rescribir
los sectores marcados como defectuosos.
Polimorfismo:Este es el método mas avanzado de
contagio. La técnica consiste en insertar el código del virus en un archivo
ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el
virus compacta parte de su código y del código del archivo anfitrión, de manera
que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el
programa infectado, actúa primero el código del virus descompactando en memoria
las porciones necesarias. Una variante de esta técnica permite usar métodos de
encriptación dinámicos para evitar ser detectados por los antivirus.
Sustitución:
Es el método mas tosco. Consiste en sustituir el código original del archivo
por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el
virus, para disimular este proceder reporta algún tipo de error con el archivo
de forma que creamos que el problema es del archivo.
Ejemplos
de virus y sus acciones
·
Happy99: Programa enviado por mail,
abre una ventana con fuegos artificiales. Manipula la conectividad con
Internet.
·
Melissa: Macrovirus de Word. Se
envía a sí mismo por mail. Daña todos los archivos .doc
·
Chernobyl (W95.CIH): Borra el primer Mb del HD,
donde se encuentra la FAT. Obliga a formatear el HD. Además intenta rescribir
el BIOS de la PC lo que obliga a cambiar el mother. Se activa el 26 de abril.
·
Michelangelo: Virus de boot sector. Se
activa el 6 de marzo. Sobre escribe la FAT, dejando el disco inutilizable.
·
WinWord.Concept: Macrovirus que infecta la
plantilla Normal.dot. Hace aparecer mensajes en la pantalla y mal
funcionamiento del Word.
·
FormatC: Troyano que infecta el
Word, al abrir un archivo infectado formatea el disco rígido.
·
Back Orifice2000 (BO2K): Funcionalmente es un virus
y sirve para el robo de información. Permite tomar control remoto de la PC o
del servidor infectados, con la posibilidad de robar información y alterar
datos.
·
VBS/Bubbleboy: Troyano que se ejecuta sin
necesidad de abrir un attachment, y se activa inmediatamente después de que el
usuario abra el mail. No genera problemas serios.
Virus
falsos: HOAX
¿Qué son?
Falsas alarmas de virus
Ejemplos: JoinTheCrew, Win a Holiday, Solidaridad con Brian
¿Qué no
hay que hacer?
Responder
esas cadenas, ya que crea saturación de los servidores de mail y, además son
usadas para levantar direcciones de e-mails para luego enviar publicidades.
No hay comentarios:
Publicar un comentario