Virus y ataques externos: prevención y eliminación
e-mail 1 / 10 
Capítulo: ¿Qué es un Virus?

Un virus es simplemente un pequeño programa el cual se agrega automáticamente a una aplicación convencional de manera tal que cuando ésta sea utilizada, se incorporará a otras aplicaciones (infectando así a todas las que tengamos).

Cuando se haya dispersado por todas nuestras aplicaciones, puede quedar latente a la espera de algún evento para causar algún daño. Un evento puede ser una fecha determinada, la ejecución de una aplicación en particular, etc., es decir, cualquier cosa que suceda en el entorno del funcionamiento de nuestras aplicaciones.

No sólo DOS y Windows 9X/Me. Algunos creen que los virus son un mal del DOS y sus sucesores, como Windows 95, y afirman que en Unix ese problema no existe. A pesar que La cantidad de virus desarrollados para DOS y Windows 95 es superior a la de cualquier otro S.O., NT/2000, OS/2 y Unix en todas sus versiones también sufren ataques de virus aunque más limitados porque son S.O. con seguridad incorporada al sistema de archivos. Además, así como Atenas era considerada el centro de la cultura, Unix es visto como el palacio de los hackers.
   Virus y ataques externos: prevención y eliminación
e-mail 2 / 10 
Capítulo: Clasificación de los Virus

Hace algunos años, en DOS y Windows 9X/Me, los virus únicamente infectaban a los archivos ejecutables (.EXE, .COM) y a los drivers que se cargaban desde el archivo CONFIG.SYS, sin embargo, ahora existen otros tipos de virus los cuales se insertan en documentos, como por ejemplo los de Word y Excel.

A continuación, brindamos una clasificación completa de los virus informáticos:

- De Archivos. Infectan archivos ejecutables y drivers. Al ejecutar una aplicación, es probable que la misma se infecte.

- De Partición (MBR). Infectan al MBR de un disco duro. Pueden borrarse fácilmente sin necesidad de un antivirus arrancando con un diskette limpio (con la certeza del 100 % de que no se encuentra infectado por ningún virus) y ejecutando el comando FDISK /MBR desde la línea de comandos.

- De Sector de Inicio. Infecta el código ejecutable del sector de arranque de un medio de almacenamiento. Cuando se intenta bootear desde este medio, el virus pasa a memoria y puede hacer lo que desee.

- De Macro. Modifican las secuencias de instrucciones pregrabadas (macros) ubicadas en un documento o en plantillas (por ejemplo: de Word o Excel) de manera tal que al abrirlos, pueden ejecutar acciones no deseadas, como por ejemplo, destruir el contenido del documento.

- Multipartido. Utiliza una combinación de técnicas para propagarse, como por ejemplo: infectar archivos y sectores de inicio.

- Troyano. Es un virus que no se propaga por sí sólo, por lo cual es necesario que se copie e instale manualmente en la PC a infectar. Se oculta en programas que dicen hacer una cosa pero esconden posibilidades de hacer otras. Un ejemplo de este tipo de virus es aquél que al ser ejecutado en una PC habilita funciones para el control de la misma en forma remota, sin el consentimiento del usuario e invadiendo su privacidad.

-Stealth (Fantasmas). Se esconden a sí mismos. Si un virus de este tipo se encuentra en la memoria, cuando cualquier programa intenta leer el archivo infectado, resulta engañado y cree que el virus no se encuentra en el archivo. El virus residente en la memoria se encarga de cambiar el contenido que se informa.

- Polimórfico. Se cambia a sí mismo cada vez que se propaga, por lo cual, al intentar identificarlo buscando una secuencia de bytes que lo caractericen, no se lo encuentra. Cambia su contenido en forma aleatoria y dificulta su identificación.

-De Camuflaje. Utilizan trucos para esconderse de los antivirus.

- De Acción Directa. En el mismo momento en el que infectan, disparan su acción destructiva o principal objetivo, como ser destruir archivos o mostrar un mensaje de broma.

-Residentes. Se mantienen dentro de la memoria y esperan que ocurra un evento para disparar su acción destructiva u objetivo principal.

Existen algunos virus residentes que nunca se disparan.

Mitos y leyendas. Hay que tener en cuenta un concepto fundamental para no caer en creencias, mitos ni  leyendas que nada tienen que ver con la realidad: una vez apagada el PC, se pierde todo el contenido de la memoria y el único lugar en donde puede quedar un virus es en los medios de almacenamiento, es decir, diskettes, discos duros, CD-ROM, etc., o bien en la Flash BIOS (tener mucho cuidado con estos últimos), pero si desactivamos esta última, ¡Los virus no quedan registrados en el reloj, ni en la motherboard, ni en la memoria caché.

Los virus suelen afectar al correcto funcionamiento del PC y de las aplicaciones que corren sobre ésta cuando la han infectado, por lo que cual no sería extraño que dejen de funcionar aplicaciones, o la máquina se quede colgada con frecuencia o aparezcan mensajes inesperados.

La acción destructiva de un virus puede incluir la eliminación de archivos, destrucción de particiones o sistemas de archivos completos, instalación de mensajes no deseados, modificación del contenido de documentos, etc. Cuando hacen efecto, los resultados pueden ser muy perjudiciales, por lo cual siempre es conveniente tener las copias de seguridad al día.

   Virus y ataques externos: prevención y eliminación
e-mail 3 / 10 
Capítulo: Antivirus

Los antivirus son las herramientas que tenemos disponibles para identificar la presencia de los virus en los PC y eliminarlos. Normalmente poseen algunas de las siguientes herramientas bien diferenciables entre sí:

- Utilitario para la copia de seguridad, limpieza y recuperación de áreas críticas del sistema de archivos.

- Rastreadores de virus, que intentan identificar la presencia de virus en nuestros medios de almacenamiento mediante diferentes técnicas de análisis, para que no se escape ninguna de las clases de virus mencionados anteriormente. Entre otras, las técnicas más comunes son las siguientes:

- Análisis de Firmas. Utilizando una base de datos con las firmas (secuencia de bytes característica que aparece en los archivos infectados por ese virus) de cada uno de los virus que ya fueron identificados se rastrean los archivos o sectores de arranque por la presencia de las mismas y en caso afirmativo se identificará al mismo como infectado. Dado que la detección de los virus es dependiente de la base de datos de firmas, esta última deberá estar actualizada para que el resultado del proceso sea confiable. Es por ello que un buen paquete antivirus debe ofrecer actualizaciones cada pocos días. Utilizar esta técnica de rastreo con una base de datos de más de un mes no brinda ninguna seguridad.

- Análisis Heurístico. Es una tecnología inteligente que intenta buscar indicios de actividad de virus tales como código para formatear una unidad, para quedar residente en memoria, cambios en archivos ejecutables o cualquier otro algoritmo sospechoso. Como se buscan indicios, puede resultar en falsas alarmas, pero al menos brinda un nivel más de seguridad que el simple análisis de firmas. Su desventaja es que puede resultar un poco lento debido al análisis a llevar a cabo.

- Anti-stealth. Los antivirus que utilizan esta técnica son capaces de eliminar las trampas tendidas por los virus stealth explicados anteriormente cuando clasificamos los virus.

Juntas o separadas. Todas estas herramientas pueden estar integradas en una única interfaz con el usuario o tratarse de aplicaciones separadas. Ello dependerá exclusivamente del fabricante y de las plataformas en las cuales corra cada una de ellas, por ejemplo: un utilitario de recuperación de áreas críticas sería difícil de ejecutar desde Windows 9X/Me o NT/2000 en modo gráfico, ya que si se perdieron las particiones es imposible arrancar en ese modo.

- Limpiadores de virus, que intentan eliminar el código ingresado por el virus recuperando el contenido original del archivo infectado antes de ser atacado. Hay algunos virus que no pueden ser eliminados, por lo cual se deberá proceder a cambiar el nombre del archivo o eliminarlo.

El software ilegal, el intercambio de diskettes, y todos los servicios de Internet que no sean provistos por empresas reconocidas son fuentes de alto riesgo para la adquisición de virus. Existen muchos paquetes antivirus, de los cuales deberemos evaluar las características que ofrece cada uno de ellos para decidir cuál utilizar. Sin lugar a dudas, debemos tener uno, pues muchos de los problemas generados en las PC son a causa de estas malignas porciones de código que no se las puede considerar software.

La forma de remover un virus dependerá exclusivamente del antivirus que utilicemos y deberemos consultar la documentación que acompaña al mismo.

La intención de este capítulo fue la de dejar claro el daño que puede hacer un virus, clasificarlos y explicar el funcionamiento básico de los antivirus. El tema es muy largo y justificaría un libro por sí solo, pero vimos todo lo necesario como para prevenimos e identificar los problemas relacionados con los virus.

   Virus y ataques externos: prevención y eliminación
e-mail 4 / 10 
Capítulo: Herramientas para Facilitar el Trabajo

Las herramientas son necesarias para llevar a cabo las tareas de diagnóstico, reparación, instalación y/o actualización. Éstas nos ayudarán a realizar algunas tareas más rápidamente. Todos los conceptos explicados anteriormente deben estar claros antes de enfocarnos en las herramientas.

Clasificación de las Herramientas

Cuando hablamos de diagnóstico, reparación, instalación y actualización de PC, surgen dos clases de herramientas que nos ayudarán a llevar a cabo más rápidamente los procedimientos que utilizamos para realizar estas tareas: herramientas basadas en hardware y/o software y herramientas mecánicas.

1.- Herramientas Basadas en Hardware y/o Software

Las herramientas basadas en hardware y/o software se pueden clasificar en:
- Diagnóstico general.
- Pruebas masivas (Bumn-In o Stress Tests).
- Diagnóstico específico.
- Espías.
- Utilitarios.

Se ha desarrollado un gran mercado alrededor de esta clase de herramientas. Hay empresas especialmente dedicadas a producirlas y en cada clase tendremos casi con seguridad más de una para evaluar.

2.- Shareware. Además, no debemos dejar de lado a todas las herramientas shareware de excelente calidad que podemos bajar de Internet y probarlas sin costo alguno.

A continuación, analizaremos en detalle cada una de estas clases y brindaremos una serie de ejemplos.

    Virus y ataques externos: prevención y eliminación
e-mail 5 / 10 
Capítulo: Diagnóstico General

Se encargan de comprobar el funcionamiento correcto de la mayoría de los componentes críticos del sistema como microprocesador, coprocesador matemático, memoria principal, memorias caché, discos duros, unidades de diskette, etc.

Realizan una serie de pruebas de bajo nivel sobre cada uno de los componentes y generan un informe con el resultado de todas las pruebas efectuadas. Si encuentran algún problema en uno de los pasos de una prueba, nos dan información acerca del posible componente defectuoso y en la mayoría de los casos podremos consultar con la documentación de la herramienta la cual nos ampliará detalles sobre cómo se interpreta el problema y cómo podríamos solucionarlo.

No es un ser humano, pero... Podemos considerar a los resultados del uso de herramientas basadas en hardware y/o software como los diagnósticos que nos brinda un médico: se puede equivocar. Si le tenemos desconfianza, deberemos recurrir a otro doctor para que efectúe el diagnóstico y si ambos coinciden posiblemente les demos la razón. Lo mismo pasa con estas herramientas, aunque a veces muchas coinciden en el origen del problema, pero como su capacidad de análisis es reducida no termina ayudándonos demasiado y tenemos que hacer un diagnóstico más minucioso por nuestra cuenta.

Las herramientas basadas en software requieren que el sistema arranque correctamente para poderlos ejecutar, por lo cual a veces resultan útiles solamente para diagnosticar fallas intermitentes o bien problemas en el funcionamiento de componentes que no son críticos, como ser la tarjeta de sonido, el puerto serie o el mouse.

Los siguientes son algunos ejemplos de herramientas de esta clase basadas en software:
- Checklt Pro Deluxe de Touchstone Corp.
- Norton Diagnostics incorporado a Norton Utilities.
- Micro-Scope de Micro 2000.
- QA PIus.
- Troubleshooter de AllMicro, Inc.
- WinSleuth Gold Plus de Eware.

En la mayoría de los casos, las pruebas pueden ejecutarse todas juntas como un lote (en modo batch), seleccionando cuáles de todas ellas se quieren ejecutar o bien en forma individual si ya sabemos por dónde está el problema y queremos efectuar un diagnóstico específico.

Loopbacks. Para efectuar una prueba completa con estas herramientas, muchas veces es necesario utilizar conectores de señal de retorno (loopback cable) para simular que tenemos dispositivos conectados en algunos puertos y así poder verificar el funcionamiento de todos los componentes involucrados en la transmisión y recepción de datos a través de estas interfaces.

Las herramientas basadas en hardware nos ayudan a efectuar un diagnóstico más rápidamente cuando la PC no arranca y no da signos de vida. Las más comunes son las siguientes:

- Tarjetas POST. Algunas se conectan en una ranura de expansión libre y otras menos comunes en el zócalo que aloja al BIOS. Poseen una serie de LED que indican el estado mientras el sistema intenta arrancar y en caso no lograrlo, guardan el paso del POST en el cual se frenó el proceso. Acompañadas de documentación que incluyen códigos del POST para una gran variedad de fabricantes y de una punta lógica de tres estados para verificar señales en puntos clave, permiten detectar fallas de hardware a bajo nivel que muchas veces resultan difíciles de localizar. Las capacidades de estas tarjetas pueden ser aún mayores, aunque son muy costosas y la decisión de invertir en una dependerá de la cantidad de PC que no arrancan y llegan a nuestro taller de reparación.
Ejemplos de estas tarjetas son The Discovery Card de ALLMicro, Inc. y Post-Probe y Pocket Post de Micro 2000.

- Tarjetas Verificadoras de Fuentes de Alimentación.. En la mayoría de los casos pueden funcionar insertándolas en una ranura de expansión libre en la motherboard o bien conectándoles directamente la fuente de alimentación a verificar. Se encargan de controlar que la fuente de alimentación entregue las tensiones correctas con variaciones dentro de la tolerancia permitida, que las salidas estén libres de picos de tensión, ruido, etc. Son útiles para asegurarse de que la fuente está en perfectas condiciones pues aunque se trata de un componente de un costo relativamente bajo, es fundamental para el funcionamiento del equipo.
Un ejemplo de estas tarjetas es PC PowerCheck de Micro 2000.

- Tarjetas Detectoras de Conflictos. Se instalan en una ranura de expansión libre en la motherboard y poseen una serie de indicadores para detectar conflictos con IRQ, DMA, etc., además de otra función adicional que pueden brindar para diagnosticar problemas.
Ejemplos de estos productos: Omni Analyzer y IRQest Plus de Micro 2000.

- Verificadores de Módulos de Memoria. Son instrumentos que permiten conectarle un módulo de memoria y realizan una verificación completa del mismo para diagnosticar problemas que pudiera tener el mismo.

La adquisición de cualquiera de estas soluciones hardware dependerán del uso que se les pueda dar y de un análisis del costo/beneficio.

   Virus y ataques externos: prevención y eliminación
e-mail 6 / 10 
Capítulo: Pruebas Masivas (Burn-In o Stress Tests)

Las pruebas masivas, conocidas como Burn-In o Stress Tests, constituyen un mecanismo de control de calidad mediante el cual se somete el equipamiento electrónico al funcionamiento constante al límite por un período de tiempo. La idea es que si bajo esta carga de trabajo no presenta fallas, es muy probable que no lo haga por un largo período de tiempo o nunca, pero si las presenta durante la prueba masiva se evitará entregar un sistema y que al poco tiempo el usuario descubra un defecto en el mismo.

Nada es imposible. Debemos tener en cuenta que estas pruebas no garantizan que los componentes no presenten fallos, sino que reducen la posibilidad que aparezcan al poco tiempo.

En la mayoría de los casos son herramientas basadas en un software que se encarga de correr una serie de diagnósticos generales, como los vistos anteriormente, por un período de tiempo sin necesidad de asistencia por parte del usuario, es decir, quedan corriendo en modo batch exigiendo al máximo a cada uno de los componentes. El tiempo mínimo para dejar corriendo estas pruebas masivas es de 24 horas.
Ejemplos de software de este tipo son: Micro-Scope Burn-In de Micro 2000 y 486 System Burn-ln, shareware.

   Virus y ataques externos: prevención y eliminación
e-mail 7 / 10 
Capítulo: Diagnóstico Específico

Las herramientas que caen bajo esta clase son una especialización de las de diagnóstico general, pues se concentran en diagnosticar la menor cantidad de componentes posibles para poder resolver el problema que se presente y no solamente informes con los resultados de las pruebas efectuadas.

Entre otras (ya que son muchas), podemos mencionar a las siguientes herramientas que encierra esta categoría:

- Kits de diagnóstico, alineación y limpieza de unidades de diskette. Se trata de una combinación de herramientas de hardware y software para efectuar todas las verificaciones necesarias para el funcionamiento correcto de una unidad de diskettes, como ser: centrado, histéresis, alineación de las cabezas, velocidad, amplitud de lectura, etc. El kit suele incluir diskettes formateados contra el cual verificar.
FloppyTune de Micro 2000 es un ejemplo de estos kits (QAPIus y Checklt ofrecen otros similares).

- Antivirus.

- Las que verifican y mantienen la integridad de los Sistemas de Archivos.

- Las que diagnostican e intentan resolver problemas físicos de los discos, (por ejemplo: ScanDisk, ChkDsk, Norton Disk Doctor, Norton Calibrat).

- Las que verifican el funcionamiento correcto de un microprocesador específico y sus componentes asociados como ser las memorias caché interna y externa, el juego de chips, etc. Existen muchas herramientas shareware de este tipo.

   Virus y ataques externos: prevención y eliminación
e-mail 8 / 10 
Capítulo: Espías

Esta clase de herramientas se encargan de investigar todo lo que tenemos en el sistema y reportarlo para que con esa información podamos tomar alguna decisión o bien llevemos a cabo un diagnóstico más detallado. Ejemplos de estas herramientas son las que brindan los S.0. para determinar los drivers instalados y la configuración de los cuatro parámetros que pueden ocasionar conflictos, por ejemplo: Información del Sistema (System lnformation) de Windows 98 y el MSD.

En la gran mayoría de los casos están basadas en software y una prueba de esto es que QAPlus, Checklt Pro Deluxe y Norton Utilities incluyen en sus paquetes espías de primer nivel. Hay muchas excelentes herramientas espía shareware.

Algunas incorporan cierta inteligencia y van más allá de mostrarnos información acerca del sistema, ya nos ofrecen consejos acerca de cómo deberíamos configurar las diferentes partes que podríamos cambiar para obtener un rendimiento óptimo y/o evitar conflictos.

   Virus y ataques externos: prevención y eliminación
e-mail 9 / 10 
Capítulo: Benchmarking. Uso de un benchmark

Dentro de las espías, tenemos los benchmarks, cuya definición se enuncia a continuación.

Benchmark (Prueba de rendimiento). Se trata de software y/o hardware encargados de monitorear el rendimiento de un sistema de hardware y/o software. Este último puede ser una PC completo, el microprocesador, la memoria, una aplicación, el Sistema Operativo, el Sistema de Archivos, un disco duro, etc. Normalmente se utiliza una unidad para poder comparar los resultados de varios benchmarks entre sistemas diferentes, como por ejemplo: pixels por segundo para medir el rendimiento de una tarjeta de video

Un benchmark puede correr una única vez y arrojar un resultado o bien un informe completo con todos los detalles de las pruebas efectuadas. Otra forma es que vaya monitoreando el rendimiento de un sistema en tiempo real y guardando los diferentes valores que arrojan las pruebas cada determinada cantidad de tiempo.
Un ejemplo del primero son los que ofrecen el Norton Utilities, QAPlus, Checklt y otras herramientas.

Para el segundo, podemos tomar al Administrador de Tareas (Task Manager) de NT/2000 que permite monitorear el uso del procesador (o los procesadores) y de los diferentes tipos de memoria. NT/2000 también ofrece un excelente utilitario, el Monitor de Rendimiento (Performance Monitor) que permite graficar en tiempo real el uso y rendimiento de diferentes componentes lógicos y físicos. Un utilitario similar para Windows 9X/Me es el Monitor del Sistema (System Monitor). Las interfaces gráficas X-Windows que corren en Linux también tienen este tipo de benchmarks.

Entre otras cosas, estos benchmarks nos permiten determinar si el procesador o la memoria nos quedan pequeños para las aplicaciones que estamos utilizando, entre otras cosas. Por ejemplo: si al monitorear el uso del procesador por varias horas utilizando determinadas aplicaciones de uso habitual, nos encontramos que durante el 90 % del tiempo está al 100 % o al 95 % quiere decir que lo estamos llevando siempre al límite y deberíamos pensar en actualizarlo por uno que ofrezca un mayor rendimiento. Lo mismo se aplica a la memoria, al tráfico de red, etc.

   Virus y ataques externos: prevención y eliminación
e-mail 10 / 10 
Capítulo: Utilitarios

Dentro de esta categoría entran todas aquellas herramientas que quedan fuera de las anteriores y ofrecen utilitarios mejorados a los que acompañan al sistema operativo o deberían ser parte de este último.

Ejemplos de esta clase de herramientas, entre otras, son:
- Defragmentadores: Norton SpeedDisk.
- Reorganizadores de particiones: PartitionMagic de PowerQuest.
- Recuperadores de discos rígidos: Drive Wizard MBR de Micro 2000.
- Copiadores de discos rígidos: Drivelmage de PowerQuest, CopyWizard de Micro 2000.
- Antivirus (también entran en esta categoría).
- Formateadores de discos: Como el Safe Format de Norton Utilities.
- Desinstaladores y limpiadores de discos: CleanSweep Deluxe de Quarterdeck , Wflelete, Norton Uninstaller.

 

(Virus II)

 
   Tipos de virus informáticos
e-mail 1 / 6 
Capítulo: Definición y estructura

Definición de virus informático:

Es un pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario sin el conocimiento o el permiso de este. Decimos que es un programa parásito porque el programa ataca a los archivos o al sector "arranque" y se replica a sí mismo para continuar su esparcimiento. Algunos se limitan solamente a replicarse,¡ mientras otros pueden producir serios daños que pueden afectar a los sistemas.
Tienen diferentes finalidades: Algunos sólo 'infectan', otros alteran datos, otros los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo: PROPAGARSE.

Estructura de un virus:

- Módulo de propagación
- Módulo de ataque o activación.
- Módulo de defensa.

El módulo de propagación se encarga de manejar las rutinas de "parasitación" de entidades ejecutables. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de una computadora a otra a través de algunos de estos archivos.

El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, tiene un módulo de ataque que se activa cuando el reloj de la computadora indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco rígido volviéndola inutilizable.

El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la remoción del virus y retardar, en todo lo posible, su detección.

   Tipos de virus informáticos
e-mail 2 / 6 
Capítulo: Activación de un virus

Cuando se activa un virus, las consecuencias son de lo más diversas. Desde las más inocentes como hacer sonar una melodía, poner un mensaje en pantalla, hacer llover caracteres por nuestra pantalla o cambiar la etiqueta de nuestro disco hasta de lo más devastadoras como formatear el disco duro, borrar la CMOS, destruir el sector de arranque, borrar archivos, destruir o encriptar la FAT, etc. El detonante de esta situación, el módulo de activación, determina cuándo el virus ha de realizar su función visible.

Un virus puede estar programado para realizar su acción nociva poco a poco e ir degradando así la integridad de la máquina o bien programado como una bomba lógica y realizar esta acción una sola vez en un momento determinado (una fecha concreta, una hora, al cumplirse cierto número de ejecuciones e incluso de forma aleatoria).

Esquema de activación de un virus:

El esquema de ejecución de un virus es sencillo, si se cumple la condición definida en el módulo de activación, descarga su efecto nocivo y en caso contrario trata de desplegarse por el sistema. A partir de este esquema básico, podemos distinguir los virus de acción directa y los virus residentes.

Los de acción directa tienen un mecanismo de infección simple. Toman el control del equipo, infectan a otros archivos y se descargan de la memoria. Son fáciles de programar y de escasa difusión (menos del 1%), pues son de infección lenta.
Los virus residentes son mucho más que un simple programa TSR, pues utilizan diversas técnicas para ocultarse y controlar de alguna forma la máquina propagándose por el sistema en cualquier momento, por ejemplo cuando se arranca un programa, se hace un simple DIR, o se introduce un nuevo disco en la unidad.

    Tipos de virus informáticos
e-mail 3 / 6 
Capítulo: Tipos de virus

Virus de sector de arranque: Hasta hace poco, los más difundidos. Infectan en el sector de arranque el MBR (Master Boot Record) o el DBR (Disk Boot Record) existente en todos los discos duros y disquetes. El virus sustituye el código de arranque original por su propio código o parte del mismo, almacenando la secuencia inicial y el resto de sí mismo en algún lugar del disco. Se propaga cuando introducimos un disco infectado en la unidad de arranque y encendemos el equipo. El ordenador ejecuta el MBR del disco infectado, carga el virus, el cual se copia al MBR del disco duro. A partir de ahí, todas las veces que arranquemos nuestro equipo, se cargará el virus en memoria de forma residente.

Virus de archivo: Este tipo de virus infecta a archivos ejecutables como los del tipo EXE, COM, DLL, OVL, DRV, SYS, BIN, e incluso BAT. El virus se añade al principio o al final de los archivos. Su código se ejecuta antes que el del programa original, pudiendo ser o no residentes. Una vez en memoria, buscan nuevos programas a los cuales puedan trasladarse.

Virus macro: Este tipo de virus ha destruido el concepto que hasta el momento se tenía de los virus en general. Infectan documentos de determinadas aplicaciones que dispongan o puedan hacer uso de un potente lenguaje de macros. Los primeros virus de este tipo aparecieron en el verano de 1995 y, ya a principios del siguiente año, se habían hecho tremendamente populares, hasta el punto de haber arrebatado el primer puesto en cuanto a porcentaje de infecciones a los viejos virus de sector de arranque.

La inmensa mayoría utilizan el lenguaje de macros WordScript de Word (si bien podemos encontrar algunos desarrollados en otros lenguajes como pueda ser LotusScript para Lotus SmartSuite), aunque la aparición de VBA (Visual Basic for Applications) que emplea Microsoft Office, posibilita la creación de virus genéricos efectivos en cualquier aplicación con soporte para OLE2. Esta característica está propiciando que los virus creados con VBA se les denomine virus de OLE2.

La infección comienza cuando se carga un documento, ya sea un texto de Word, una hoja de cálculo de Excel, etc. La aplicación además del documento carga cualquier macro que lo acompaña. Si alguna o algunas de esas macros son válidas, la aplicación las ejecuta, haciéndose éstas dueñas del sistema por unos instantes. Al tener el control, lo primero que hacen es copiarse al disco duro y modificar la plantilla maestra (NORMAL.DOT en Word), para que sean ejecutadas ciertas de ellas al iniciar la aplicación determinada. En cada documento que creemos o abramos, se incluirán a partir de ese momento las macros "malignas".

Si cualquiera de esos documentos es abierto en otro equipo, se repite el proceso y se propaga la infección. Las capacidades destructivas son virtualmente incluso mayores y, puesto que algunos paquetes están disponibles para distintos sistemas y plataformas, son mucho más versátiles. Asimismo, las macros pueden ser programadas como troyanos, siendo capaces de incluir un virus convencional, cambiar una DLL o ejecutable, etc., e instalarlo en el sistema.

Troyanos y gusanos (Worms): No son virus propiamente dichos. Los troyanos son programas que, al igual que en la mítica historia, bajo un aparente programa funcional, introducen en nuestro sistema bien un virus, bien una carga destructiva directa. Por su parte los gusanos son programas que una vez ejecutados no tienen otra función que la de ir consumiendo la memoria del sistema, mediante la realización de copias de sí mismo hasta desbordar la RAM.

   Tipos de virus informáticos
e-mail 4 / 6 
Capítulo: Técnicas utilizadas por los virus

La popularización de Internet no ha venido sino a agravar el problema de los virus, pues es posible encontrar amplia información de cómo generarlos e incluso existen programas y páginas Web que permiten con unos simples menús crear nuestro virus "a la carta". A todo esto hemos de añadir que la creación de un virus de macro es mucho más sencilla que los "tradicionales" pues éstos se realizan en un lenguaje de programación de alto nivel. El éxito o fracaso de la difusión de un virus depende en gran medida de la capacidad de pasar inadvertido de cara al usuario o a un producto antivirus.

Mecanismos de Stealth: Éste es el nombre genérico con el que se conoce a las técnicas de ocultar un virus. Varios son los grados de stealth. A un nivel básico basta saber que en general capturan determinadas interrupciones del PC para ocultar la presencia de un virus, como mantener la fecha original del archivo, evitar que se muestren los errores de escritura cuando el virus escribe en discos protegidos, restar el tamaño del virus a los archivos infectados cuando se hace un DIR o modificar directamente la FAT, etc. Técnicas de stealth avanzadas pretenden incluso hacer invisible al virus frente a un antivirus. En esta categoría encontramos los virus que modifican la tabla de vectores de interrupción (IVT), los que se instalan en alguno de los buffers de DOS, los que se instalan por encima de los 640KB e incluso los hay que soportan la reinicialización del sistema por teclado.

Virus polimórficos: La mayor parte de los productos antivirus basan su análisis en un escáner que estudia y compara secuencias de los ejecutables a partir de unos patrones de secuencias víricas. En ensamblador podemos encontrar multitud de secuencias distintas que tienen un resultado equivalente. Por otro lado, podemos cambiar el orden de los bloques de instrucciones de un virus y seguiremos teniendo lo mismo. Basándose en esto aparecieron los virus polimórficos, que cambian de aspecto cada vez que se replican. Los primeros constaban de tan solo unas cuantas mutaciones por virus, pero la aparición de motores de polimorfismo estándar consiguen muchos miles de mutaciones de un mismo virus.

Técnicas de encriptación: Al igual que sucede con el polimorfismo, si un virus encripta su código, un escáner analizador de patrones nunca encontrará la secuencia maligna original. Al principio las encriptaciones eran sencillas, pero también han ido apareciendo motores de encriptación como MtE, SMEG o TPE que complican tremendamente el trabajo a los antivirus.

   Tipos de virus informáticos
e-mail 5 / 6 
Capítulo: Programas antivirus y técnicas utilizadas

Los actuales productos antivirus son una solución completa e integran todo lo necesario para la luchar contra las infecciones en un solo paquete. En líneas generales, un antivirus se compone del escáner, el limpiador y un controlador de dispositivo residente.

El escáner es el arma antivirus por excelencia. Antes, analizaban exclusivamente los archivos en busca de secuencias malignas, basándose en un archivo que contenía los patrones de los distintos virus. Hoy día, incluyen técnicas más avanzadas que aumentan la velocidad de detección con mecanismos de checksum e incluso permiten descubrir nuevos virus con lo que se ha dado a llamar análisis heurístico.

El análisis heurístico no es un algoritmo en sí, sino un conjunto de ellos. Un compendio de reglas que, basándose en la experiencia, descomponen y analizan las secuencias de código ejecutable. Concretamente buscan de partes de código que puedan asemejarse a lo que puede hacer un virus, como quedarse residente, capturar una interrupción o escribir en el sector de arranque del disco. De esta forma, puede detectar virus aún no incluidos en su base de datos y avisar al usuario de que tal o cual programa puede suponer un peligro para sus datos. No obstante, este método no es infalible al 100% y en ocasiones provoca falsas alarmas.

Como respuesta a la proliferación de múltiples motores de encriptación, los antivirus han empezado a utilizar desencriptadores genéricos o GDE (Generic Decryption Engine). Éstas aplicaciones observan el virus y averiguan la secuencia de código que aparecería simulando la ejecución real, obligando así al virus a desencriptarse a él mismo en un buffer. Una vez con virus en este buffer, es muy sencillo aplicarle los métodos tradicionales de detección por firma, checksum, o heurístico.

   Tipos de virus informáticos
e-mail 6 / 6 
Capítulo: ¿Cómo evitar los virus?

Los virus son una amenaza real para nuestros datos. El uso masivo de Internet rompe las que antes eran barreras geográficas y la difusión de virus se hace mucho más sencilla, amplia y veloz. Si se abre la puerta de Internet y las redes corporativas, necesariamente ha de aumentar la inversión en seguridad. Por poco que se valoren los datos de un ordenador, siempre serán más valiosos que el coste de un buen paquete antivirus. No obstante, para maximizar las capacidades de búsqueda, aunque utilicemos asiduamente un solo producto es recomendable de vez en cuando recurrir a algún otro escáner.

Medidas de seguridad para evitar los virus:

-         Realizar periódicas copias de seguridad de nuestros datos .

-         No aceptar software no original o pre-instalado sin el soporte original.

-         Proteger los discos contra escritura, especialmente los de sistema.

-         Si es posible, seleccionar el disco duro como arranque por defecto en la BIOS para evitar virus de sector de arranque. 

-         Analizar todos los nuevos discos que introduzcamos en nuestro sistema con un antivirus, incluso los discos vacíos (pues pueden contener virus en su sector de arranque).

-         Analizar periódicamente el disco duro arrancando desde el disco original del sistema, para evitar que algún virus se cargue en memoria previamente al análisis.

-         Actualizar los patrones de los antivirus cada uno o dos meses.

-         Intentar recibir los programas que necesitemos de Internet de los sitios oficiales.

-         Tener especial cuidado con los archivos que pueden estar incluidos en nuestro correo electrónico.

-         Analizar también archivos comprimidos y documentos.

CONCLUSIONES

Todo virus es un programa y, como tal, debe ser ejecutado para activarse. Es imprescindible contar con herramientas de detección y descontaminación.

Ningún sistema de seguridad es 100% infalible. Por eso todo usuario de computadoras debería tratar de implementar medidas de seguridad antivirus, no sólo para proteger su propia información sino para no convertirse en un agente de propagación de algo que puede producir daños graves e indiscriminados.