P. 1
Monografia Virus y Antivirus

Monografia Virus y Antivirus

|Views: 7.608|Likes:
Publicado porteidell13

More info:

Published by: teidell13 on Nov 19, 2009
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

08/05/2014

pdf

text

original

Sections

MONOGRAFÍA TEORÍA E INVESTIGACIÓN DE VIRUS Y ANTIVIRUS

OSCAR ANDRÉS LÓPEZ
NESTOR LEÓN SANTIBÁÑEZ

UNIVERSIDAD TECNOLÓGICA DE PEREIRA
FACULTAD DE INGENIERÍAS
INGENIERÍA DE SISTEMAS Y COMPUTACIÓN
PEREIRA
2005

2

MONOGRAFÍA TEORÍA E INVESTIGACIÓN DE VIRUS Y ANTIVIRUS

OSCAR ANDRÉS LÓPEZ
NESTOR LEÓN SANTIBÁÑEZ

Proyecto de grado para optar al título de Ingeniero de Sistemas y
Computación

Director
Omar Ivan Trejos
Ingeniero de Sistemas
Decano Facultad de Ingenierías Universidad Tecnológica de Pereira.

UNIVERSIDAD TECNOLÓGICA DE PEREIRA
FACULTAD DE INGENIERÍAS
INGENIERÍA DE SISTEMAS Y COMPUTACIÓN
PEREIRA
2005

3

Nota de aceptación

Presidente del Jurado

Jurado

Jurado

Pereira, _____ de ______________ de 2005

4

DEDICATORIA

5

CONTENIDO

Pág.

INTRODUCCIÓN

13

1. PLANTEAMIENTO DEL PROBLEMA

14

2. JUSTIFICACIÓN

15

2.1. ACADÉMICA

15

2.2. TÉCNICA

15

2.3. SOCIAL

16

2.4. HUMANÍSTICA

16

3. OBJETIVOS

17

3.1. OBJETIVO GENERAL

17

3.2. OBJETIVOS ESPECÍFICOS

17

4. HISTORIA DE LOS VIRUS

18

4.1. AÑOS 1939-1949

18

4.2. AÑO 1974

18

4.3. AÑO 1980

19

4.4. AÑO 1981

19

4.5. AÑO 1983

20

4.6. AÑO 1984

20

4.7. AÑO 1986

20

4.8. AÑO 1987

21

4.9. AÑO 1988

22

6

4.10. AÑO 1989

23

4.11. AÑO 1990

25

4.12. AÑO 1991

26

4.13. AÑO 1992

28

4.14. AÑO 1993

29

4.15. AÑO 1995

30

4.16. AÑO 1999

31

4.17. QUE ES UN VIRUS INFORMÁTICO

31

4.17.1 Otras definiciones.

31

4.18. QUE PUEDE HACER UN VIRUS

32

4.19. CÓMO SE ADQUIERE UN VIRUS

32

4.20. QUÉ HACEN LOS VIRUS

32

4.21. LAS NUEVAS INCURSIONES DE LOS VIRUS

32

5. TEORÍA Y FUNCIONALIDAD DE LOS VIRUS

34

5.1. QUIEN HACE LOS VIRUS

34

5.2. PROPIEDADES DE LOS VIRUS

35

5.3. TIPOS DE VIRUS

35

5.3.1 Virus Macros.

36

5.3.2 Virus que infectan rápido/lento (Fast/Slow).

37

5.3.3 Virus que infectan esporádicamente (Sparse).

37

5.3.4 Virus furtivo ó Stealth.

37

5.3.5 Virus polimórfico.

38

5.3.6 Virus cifrado (Encrypted).

38

5.3.7 Virus acompañante (Companion).

39

5.3.8 Virus blindado (Armored).

39

5.3.9 Virus de hueco (Cavity).

39

5.3.10 Virus (Tunnelling).

39

5.4. CLASIFICACIÓN DE LOS VIRUS

40

5.4.1 Virus.

40

7

5.4.2 Troyano.

40

Arquitectura de un Troyano.

41

Programa Servidor.

41

Programa Cliente.

41

Programa Editor.

41

Como funcionan.

41

5.4.3 Gusano.

42

Cómo se propagan los gusanos y otros tipos de virus.

43

Cómo saber si se tiene un gusano u otro tipo de virus.

43

5.4.4 Puertas traseras.

44

5.4.5 Bomba lógica o Bomba de Tiempo.

46

5.4.6 Spam.

48

5.4.7 Hoax.

50

5.5. OTRAS AMENAZAS

52

5.6. LA VIDA DE UN VIRUS

52

5.6.1 El contagio.

52

5.6.2 La incubación.

53

5.6.3 La replicación.

53

5.6.4 El ataque.

53

5.7. FORMAS DE INFECCIÓN

53

5.8. DONDE SE OCULTAN LOS VIRUS

55

5.9. COMO SABER SI SE TIENE UN VIRUS

56

5.10. CÓMO SE IMPIDE LA INFECCIÓN DE UN VIRUS

56

6. CREANDO UN VIRUS

58

6.1. NOMENCLATURA DE LOS NOMBRES DE VIRUS

58

6.2. El REGISTRO DE WINDOWS

59

6.3. QUE SON LAS API

61

6.3.1 Qué es el API win32.

61

6.3.2 Que son las librerías Dinámicas (DLLs).

62

6.4. INICIO Y FINAL DE UN CÓDIGO EN VISUAL BASIC

63

6.5. SUBRUTINAS

65

6.6. FileCopy

65

8

6.7. App.EXEName.

65

6.8. ON ERROR RESUME NEXT

66

6.9. CREAR ARCHIVOS TXT

66

6.10. MINUTE(NOW)

67

6.11. SECOND(NOW)

68

6.12. OCULTAR EL FORMULARIO DEL PROGRAMA

69

6.13. CÓDIGO EN VB DE UN WORM RESIDENTE

70

7. EL FUTURO DE LOS VIRUS

71

7.1. EL SISTEMA OPERATIVO SYMBIAN

76

7.2. LOS VIRUS EN CELULARES

79

7.2.1. Troyanos en celulares.

80

7.2.2. Cómo neutralizar los ataques.

81

7.2.3. Seguridad en los celulares.

81

7.2.4. Hackers en los celulares.

83

7.2.5. Antivirus para los celulares.

86

7.2.6. Virus para celulares que afectan a PCs.

87

7.3. VIRUS EN LINUX

87

7.3.1 Bombas Lógicas.

90

7.3.2 Caballos de Troya.

92

7.3.3 Gusanos.

93

7.3.4 Puertas Traseras.

94

7.4. VIRUS EN LAS PDAS

97

7.4.1 Seguridad en dispositivos inalámbricos.

100

7.4.2 Antivirus en las PDAs.

101

8. TEORÍA DE ANTIVIRUS

103

8.1. DEFINICIÓN DE ANTIVIRUS

103

8.2. ESTRUCTURA DEL PROGRAMA ANTIVIRUS

105

8.2.1 Módulo de identificación o de control.

105

8.2.2 Módulo de respuesta.

105

8.3. TÉCNICAS PARA LA DETECCIÓN DE VIRUS INFORMÁTICOS 105

9

8.3.1 Scanning o rastreo.

105

8.3.2 Comprobación de suma o CRC (Ciclyc Redundant Check).

106

8.3.3 Programas de vigilancia.

106

8.3.4 Búsqueda heurística.

106

8.4. EVALUACION DE SOFTWARE ANTIVIRUS

108

8.4.1 Pruebas de antivirus de mayor aceptación.

109
Certificación ICSA. La ICSA (Internacional Computer Security. 109
Westcoast Labs Checkmark.

110

Prueba VTC Malware de la Universidad de Hamburg.

110

Universidad de Magdeberg.

110

Virus Bulletin.

110

8.4.2 Por qué los sistemas de evaluación de antivirus deben
Evolucionar.

111

8.5. VALORACIÓN DE DIFERENTES CLASES DE SOFTWARE ANTIVIRUS 112
8.5.1 Norton Antivirus.

112

8.5.2 McAFEE VIRUS SCAN.

113

8.5.3 Sophos.

115

8.5.4 Norman Virus Control.

116

8.5.5 Panda Platinum.

117

8.5.6 F-Secure.

118

8.5.7 PC-cillin.

120

8.5.8 AVP.

121

8.6. FUTURO DE LOS SISTEMAS ANTIVIRUS

121

8.6.1 Estado del arte de los antivirus como justificación para la
creación de un modelo híbrido.

121

8.6.2 Modelo Hibrido.

122

Habilidad para detectar virus desconocidos.

122

Generación de inmunidad.

123

Velocidad de respuesta.

124

Robustez.

124

Seguridad, disponibilidad y facilidad de uso.

124

9. PROGRAMAS DE SEGURIDAD

125

9.1. SOFTWARE DE SEGURIDAD

125

9.2. SOFTWARE ANTISPAM

125

9.3. SOFTWARE ANTISPAM COMO HERRAMIENTA EN LA LUCHA
CONTRA EL SPAM

127

9.4. LIMITACIONES DE UN FIREWALL

128

10

9.5. HONEYPOTS Y HONEYNETS 128

9.6. SOFTWARE ANTISPY

130

10. CONCLUSIONES

131

BIBLIOGRAFÍA

133

ANEXO A. INFECCIÓN DE EJECUTABLES

139

ANEXO B. INFECCIÓN DE ZIP’s

143

ANEXO C. PROGRAMAS CON SPYWARE

146

ANEXO D. LISTADO DE PUERTOS POR LOS QUE SE COMUNICAN LOS
TROYANOS

154

11

LISTADO DE TABLAS

Pág.

Tabla 1. Capa de software

78

Tabla 2. Virus en Linux

89

Tabla 3. Gusanos en Linux

93

12

LISTADO DE FIGURAS

Pág.

Figura 1. Ventana de Regedit

60

Figura 2. Salida MsgBox

64

Figura 3. Form

64

Figura 4. Firma del Worm

67

Figura 5. Ventana de propiedades

69

Figura 6. Pérdidas reportadas por incidentes de seguridad

74

Figura 7. Ubicación de un Firewall

127

13

INTRODUCCIÓN

La mayoría de las personas no tienen claridad en cuanto al concepto de virus, qué
es un virus? Por qué es llamado virus? Muchas veces esta falta de información
convierte a los usuarios en blancos fáciles de los ataques con código nocivo, la
falta de información es también un problema cuando hablamos de software anti-
virus, debido a que una mala configuración, o simplemente la falta de
actualizaciones a tiempo pueden disminuir considerablemente la efectividad de
estos. Este proyecto presenta el resultado de una labor de investigación en la que
se resumió la información más importante con respecto a los virus y a los antivirus.

Desde que se empezaron a desarrollar los virus de computador han evolucionado
muy rápidamente, esta evolución puede ser documentada año por año teniendo
en cuenta los “aportes” realizados por una gran cantidad de personas y entidades
alrededor del mundo, con el paso del tiempo los virus informáticos se han
transformado en una amenaza de grandes proporciones. Es el carácter grave de
esta amenaza la que ha dado nacimiento a una gran industria, la industria del
software anti-virus la cual se encuentra cada día con retos mayores en términos
de código nocivo para ser detectado y eliminado de diversos sistemas. En este
trabajo se presenta una proyección al futuro de estos sistemas y la forma en que
deberían responder a las amenazas del mañana.

Con herramientas encontradas en la red se creó un Worm básico para ilustrar las
rutinas sencillas que son necesarias para crear estas rutinas de código infecciosas
y nocivas. Se pretende mostrar de manera sencilla las formas en que un equipo
puede ser atacado por un Worm en un lenguaje tan común y comercial como el
Visual Basic. El proyecto no pretende mostrar un virus completamente funcional,
solo presentar un bosquejo, un virus sencillo con las funciones más básicas.

Este proyecto se divide en 6 partes, iniciando con la documentación de la historia
de los virus, continuando con la descripción o “anatomía” del virus informático y las
diferentes variedades de código nocivo que se encuentran en la actualidad.
Después se muestra el funcionamiento de un virus en la parte practica para luego
presentar información sobre lo que los virus podrían ser en futuro. La ultima parte
presenta, explica y evalúa los sistemas de seguridad disponibles actualmente.

14

1. PLANTEAMIENTO DEL PROBLEMA

El propósito de realizar este proyecto es el hecho de que no se cuenta con
disponibilidad en la información en el tema de los virus informáticos donde se halle
documentación con alguna profundidad, acerca de la lógica de los Virus, su
funcionamiento y complejidad para así poder entender el alcance que estos
programas pueden llegar a tener y poder captar una radiografía de aquellos
programas que en el día a día de nuestras labores están en función de causar
daño a nuestra información y equipos.

Actualmente la creación de los virus informáticos ha aumentado
considerablemente, en el pasado se hablaba de un aumento del 50% en la
cantidad de virus cada cinco o nueve meses, hoy en día se escriben dos o tres
virus nuevos diariamente (según Vechelin Bontchev de la Universidad de
Hamburgo en Alemania en su articulo Futuras tendencias en la escritura de virus ).
Un factor que ha contribuido al incremento de la cantidad de virus es la existencia
de programas para crearlos, existen programas como VCS, MtE y VCL que le
proporcionan una interfaz amigable a cualquier persona que desee crear un virus
sin que esta tenga conocimiento sobre programación a bajo nivel.

Estos programas crean código fuente “nocivo” y el usuario bien puede utilizar el
recién creado virus o estudiar su código fuente para encontrar ideas que le ayuden
a escribir los propios en el futuro. Los virus son y siempre serán una realidad
presente, desde un simple usuario de correo electrónico, que no entiende por qué
su equipo sigue bloqueándose, hasta un administrador de red que trata de
solucionar el desperdicio de recursos y la sobrecarga que determinado virus ha
provocado en su red. Los creadores de antivirus invierten muchos recursos en
investigar y encontrar la solución para cada virus nuevo reportado en el mundo.
No se trata de desarrollar el software antivirus más poderoso, es bien sabido que
los virus son temidos por mucha gente pero conocidos por muy poca, muchos no
saben siquiera donde comienza o donde termina el concepto de virus y aun menos
personas que tienen una definición adecuada del programa nocivo.

15

2. JUSTIFICACIÓN

2.1 ACADÉMICA

Una búsqueda sobre el tema de virus informáticos en cualquier Biblioteca hace
evidente la falta de documentación que existe sobre el tema, unos cuantos
artículos de revistas y algunos libros con información muy general es lo único que
se puede encontrar. El resultado de esta misma búsqueda en un portal de Internet
arrojará como resultado una gran cantidad de archivos de texto, .Doc, Pdf, etc.
con información desorganizada. Es posible encontrar algo de información útil aquí
y allá, pero no existe un documento que desnude completamente a un virus, que
presente una radiografía de estos programas nocivos para muchas personas pero
conocidos a profundad por tan poca. Analicemos el caso particular del pénsum de
Ingeniería de Sistemas en la U.T.P. más específicamente las asignaturas
Sistemas Operativos I y Sistemas Operativos II, en esta última se estudian los
llamados Sistemas Operativos Distribuidos los cuales funcionan en un ambiente
que es muy vulnerable a un ataque de un programa nocivo, por supuesto muchos
conceptos fueron tratados y estudiados hasta cierto punto en la asignatura, pero
nunca se estudió la anatomía de este atacante silencioso.

Es por eso que se considera necesario crear un documento donde se estudie un
virus, un documento completo que explique cómo funcionan estos programas y
que ilustre también la forma en que son combatidos por el software anti-virus tan
popular hoy en día. La fuente de información que se planea crear, documentando
paso a paso la creación y funcionamiento de un virus servirá como un recurso
para que estudiantes de las asignaturas arriba mencionadas (y muchas otras
quizá) comprendan como es afectado un sistema operativo por un programa
nocivo, así como también servirá de plataforma para futuras investigaciones en el
campo.

2.2 TÉCNICA

Basados en un trabajo de monografía, el tema de los virus es algo que concierne a
todas las personas que están vinculadas al medio de la información, por este
motivo se analizará la lógica y funcionamiento de estos programas ya que se va
ha trabajar para que exista un entendimiento de cómo funcionan aquellos
programas nocivos para la información y posteriormente se creara un prototipo de
virus con el que se podrá experimentar en un ambiente computacional sin correr el
riesgo de la pérdida de información o el daño permanente de equipos, un
programa con las características de un virus, con fines didácticos y cuyo objeto
malicioso va ser reemplazado por una labor simple como la de establecer un
mensaje amigable en pantalla. Todos los virus disponibles en este momento han
sido creados con fines nocivos, por esto se planea proveer una herramienta de
estudio experimental que puede mostrarse útil para tareas como poner a prueba la
seguridad de un sistema de cómputo, o simplemente mostrarle al estudiante

16

promedio (no al genio informático) el concepto de software nocivo en un ambiente
práctico.

2.3 SOCIAL

Existe la necesidad en la comunidad informática de las universidades de tener una
documentación donde se encuentre información que ayude a entender la creación
y el funcionamiento de los programas virus donde la comunidad pueda adquirir un
conocimiento acerca de la capacidad que tienen dichos programas, como están
construidos y de que forma son capaces de entrar en una red, pasando luego a las
estaciones de trabajo causando daños y estragos. Con este proyecto se podrá
tener una percepción más amplia de lo que hoy en día es un tema tan importante
como la seguridad informática donde se tiene que en las grandes empresas año
tras año necesitan que sus sistemas de información estén protegidos para evitar
una perdida de información o de tiempo. Es importante establecer una
documentación que nos enseñe y nos ayude a comprender un campo de la
informática que se ha convertido en un tema exclusivo de quienes crean estos
códigos maliciosos colocando una cortina que impide ver las debilidades o
fortalezas que tienen estos programas, ayudando así a que los usuarios puedan
comprender como trabajan, y de esta forma tener una percepción más clara en
todo lo que tiene que ver con la seguridad informática.

2.4 HUMANÍSTICA

En el mundo el tema de seguridad informática ha venido tomando fuerza en los
últimos años, gracias a que hoy por hoy solo se necesita de un computador y una
línea telefónica o hasta un celular para conectarse con el mundo, pero además ser
victimas de aquellas personas que con programas o anuncios engañosos logran
irrumpir en nuestra seguridad ocasionando problemas, pero aparte de esto
cuentan con que la mayoría de las personas no saben como defenderse de dichos
ataques, simplemente en el momento que observan un comportamiento
sospechoso en sus equipos logran entender que su seguridad ha sido violada o
que necesitan de un técnico para volver a recuperar sus equipos, queremos que
con el proyecto las personas entiendan que el tema de seguridad es importante
mostrando la otra cara del problema para que sean más precavidos y a que tomen
medidas que ayuden a contrarrestar las posibles falencias en seguridad que
tengan sus sistemas, aclarando un poco la idea de lo que son estos programas, ya
que no van ha dejar de existir a menos que todas las personas tengamos un
concepto de seguridad tan arraigado que estos no tengan como propagarse, por
esto se quiere que se tome conciencia de lo importante que es la seguridad en los
sistemas de información. Mostrando una documentación donde alberguemos toda
la información necesaria para que las personas cuenten con información acerca
de estos programas.

17

3. OBJETIVOS

3.1 OBJETIVO GENERAL

Desarrollar un documento organizado y estructurado que permita Crear una fuente
de información y conocimiento de los virus y antivirus.

3.2 OBJETIVOS ESPECÍFICOS

a) Determinar el estado del arte de los virus y antivirus estableciendo una
fuente del conocimiento.

b) Crear documentación de la teoría de virus.

c) Crear documentación de la teoría de antivirus.

d) Explicar mediante ejemplo un prototipo de virus.

18

4. HISTORIA DE LOS VIRUS

4.1 AÑOS 1939-1949

En 1939, el famoso científico matemático John Louis Von Neumann, de origen
húngaro, escribió un artículo, publicado en una revista científica de New York,
exponiendo su "Teoría y organización de autómatas complejos", donde
demostraba la posibilidad de desarrollar pequeños programas que pudiesen
tomar el control de otros, de similar estructura.

En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, tres
jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Víctor
Vysottsky, a manera de entretenimiento crearon un juego al que denominaron
CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en
1939.

Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet. Puesto en la práctica, los
contendores del CoreWar ejecutaban programas que iban paulatinamente
disminuyendo la memoria del computador y el ganador era el que finalmente
conseguía eliminarlos totalmente. Este juego fue motivo de concursos en
importantes centros de investigación como el de la Xerox en California y el
Massachussets Technology Institute (MIT), entre otros.

Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato,
debido a que por aquellos años la computación era manejada por una pequeña
élite de intelectuales.

A pesar de muchos años de clandestinidad, existen reportes acerca del virus
Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas
IBM 360, emitiendo periódicamente en la pantalla el mensaje: "I'm a creeper...
catch me if you can
!" (Soy una enredadera, agárrenme si pueden). Para eliminar
este problema se creó el primer programa antivirus denominado Reaper
(segadora), ya que por aquella época se desconocía el concepto del software
antivirus (Machado, 2005)38
.

4.2 AÑO 1974

El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de
ejecución del ASP de IBM lo que causaba un bloqueo del sistema; en el mismo
año la Xerox Corporation presentó en Estados Unidos el primer programa que
contenía un código auto duplicador (Datacraft, 2005)16
.

4.3 AÑO 1980

19

La red ArpaNet del ministerio de Defensa de los Estados Unidos de América,
precursora de Internet, emitió extraños mensajes que aparecían y desaparecían
en forma aleatoria, así mismo algunos códigos ejecutables de los programas
usados sufrían una mutación. Los altamente calificados técnicos del Pentágono se
demoraron 3 largos días en desarrollar el programa antivirus correspondiente. Hoy
día los desarrolladores de antivirus resuelven un problema de virus en contados
minutos (Machado, 2005)38
.

4.4 AÑO 1981

Los Equipos Apple II se vieron afectados a fines de 1981 por un virus llamado
Cloner que presentaba un pequeño mensaje en forma de poema. Se introducía en
los comandos de control e infectaba los disco cuando se hacia un acceso a la
información utilizado por el comando infectado (Datacraft, 2005)16
.

En Agosto de 1981 la International Business Machine lanza al mercado su
primera computadora personal, simplemente llamada IBM PC. Un año antes, la
IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research, para
adquirirle los derechos de su sistema operativo CP/M, pero éste se hizo de rogar,
viajando a Miami donde ignoraba las continuas llamadas de los ejecutivos del
"gigante azul".

Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y
adquiere a la Seattle Computer Products, un sistema operativo desarrollado por
Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos
ligeros cambios y con el nombre de PC-DOS se lo vendió a la IBM. Sin embargo,
Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-
DOS
.

El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido
y Rústico Sistema Operativo de Disco) y tenía varios errores de programación
(bugs). La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase
de un buen sistema operativo y como resultado de esa imprevisión todas las
versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente
vulnerables a los virus, ya que fundamentalmente heredaron muchos de los
conceptos de programación del antiguo sistema operativo CP/M, como por
ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que
es ejecutada previamente a la ejecución de cualquier programa con extensión
EXE o COM (Machado, 2005)38
.

4.5 AÑO 1983

20

Keneth Thompson, quien en 1969 creó el sistema operativo UNIX, resucitó las
teorías de Von Neumann y la de los tres programadores de la Bell y en 1983
siendo protagonista de una ceremonia pública presentó y demostró la forma de
desarrollar un virus informático (Machado, 2005)38
.

4.6 AÑO 1984

En mayo de 1984 la revista Scientific American, en el que Dewdney describió
el funcionamiento de los programas "Core War" e incluso ofreció una copia del
programa contra reembolso de dos dólares. Estos artículos siguieron
publicándose durante años bajo el título genérico de "Computer Recreations".

El Dr. Fred Cohen al ser homenajeado en una graduación, en su discurso de
agradecimiento incluyó las pautas para el desarrollo de un virus. Este y otros
hechos posteriores lo convirtieron en el primer autor oficial de los virus, aunque
hubo varios autores más que actuaron en el anonimato.

El Dr. Cohen ese mismo año escribió su libro "Virus informáticos: teoría y
experimentos", donde además de definirlos los califica como un grave problema
relacionado con la Seguridad Nacional. Posteriormente este investigador escribió
"El evangelio según Fred" (The Gospel according to Fred), desarrolló varias
especies virales y experimentó con ellas en un computador VAX 11/750 de la
Universidad de California del Sur.

La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS, un
foro de debates de la ahora revista BYTE reportaron la presencia y propagación
de algunos programas que habían ingresado a sus computadoras en forma
subrepticia, actuando como "caballos de troya", logrando infectar a otros
programas y hasta el propio sistema operativo, principalmente al Sector de
Arranque. Al año siguiente los mensajes y quejas se incrementaron y fue en 1986
que se reportaron los primeros virus conocidos que ocasionaron serios daños en
las IBM PC y sus clones (Machado, 2005)38
.

4.7 AÑO 1986

En este año, Basit y Amjad se percataron de que el sector boot de un diskette
contenía código ejecutable, y que este código corría siempre que se reiniciaba el
PC con un diskette en A:\ ambién se dieron cuenta de que podía reemplazar
código con su propio programa, pudiendo ser éste un programa en la memoria
residente, y que podía instalar una copia de sí mismo en cada diskette, accesible
desde cualquier dispositivo. Como el programa se copiaba a sí mismo, le dieron el
nombre de 'virus', por su semejanza con los virus biológicos. Este proyecto de
virus solamente infectó 360Kb de diskettes.
También en 1986, un programador llamado Ralf Burger vio que un archivo podía
hacer una copia de sí mismo por el método simple de atacharla en otros archivos.

21

Entonces desarrolló una demostración de este efecto, que llamó 'Virdem'. Lo
distribuyó en la 'Chaos Computer Conference' de diciembre de ese año, en la
cual el tema principal eran precisamente los virus. La demostración tuvo tanto
éxito que Burger escribió un libro sobre el tema, en el que no se mencionaba aún
a los virus del sector de arranque (Virusprot.com, 2005)63
.

En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que
fueron las primeras especies representativas de difusión masiva. Estas 3 especies
virales tan sólo infectaban el sector de arranque de los diskettes, posteriormente
aparecieron los virus que infectaban los archivos con extensión EXE y COM
(Machado, 2005)38
.

4.8 AÑO 1987

Se da el primer caso de contagio masivo de computadoras a través del MacMag
virus también llamado Peace, virus sobre computadoras Macintosh. Este virus fue
creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos
que repartieron en una reunión de un club de usuarios. Uno de los asistentes,
Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y
contaminó la computadora en el que realizaba pruebas con el nuevo software
Aldus Freehand, el virus contaminó el disco maestro que fue enviado a la empresa
fabricante que comercializó su producto infectado por el virus (Geocities, 2005)28
.

En el mismo año la Universidad de Delaware se dio cuenta de que tenía un virus,
cuando empezaron a ver una extraña y sospechosa 'etiqueta' que aparecía en los
diskettes. Y eso es todo lo que este pequeño virus hacía (auto replicarse y
colocar una 'etiqueta'). La alerta la dio una empleada de soporte técnico de la
misma Universidad, que advirtió de que estaba encontrando la 'etiqueta' en
muchos de los diskettes.

Mientras tanto, en los Estados Unidos Fred Cohen acababa de completar su tesis
doctoral, que versaba precisamente sobre los virus informáticos. El doctor Cohen
demostró que uno no puede escribir un programa que sea capaz de, con un cien
por ciento de aciertos, visualizar un archivo y decidir si es o no un virus. Desde
luego, nadie pensó jamás en esa posibilidad, pero Cohen hizo buen uso de un
teorema matemático, y así fue como se ganó el doctorado. Sus experimentos
sobre la difusión de virus en los sistemas informáticos demostraron que la
expansión de las infecciones resultaba ser mucho más rápida de lo que nadie
hubiera esperado.

Cohen visitó la Universidad Lehigh, y allí se encontró con Ken van Wyk. De este
encuentro surgió el virus 'Lehigh', que nunca abandonó el laboratorio, porque sólo
podía infectar COMMAND.COM y dañar increíblemente su host después de tan
sólo cuatro replicaciones. Una de las reglas básicas sobre los virus es que aquel
de ellos que dañe de forma muy rápida su host, no sobrevive durante mucho

22

tiempo. De todas formas, el virus Lehigh se hizo muy popular, y fomentó la
aparición del grupo de noticias sobre virus de Ken van Wyk en Usenet
(Virusprot.com, 2005)63
.

Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la
Universidad Hebrea de Jerusalén (Geocities, 2005)28
.

En 1987 La IBM fue atacada por un virus que hizo que se volviera lento, muy
lento, tanto que paralizo por 72 horas el sistema de mensajes de correo interno de
dicha empresa, este virulento amigo presentaba un mensaje con una imagen de
un arbolito navideño y pedía que tecleara la palabrita "CHRISTMAS" y si se
negaba se apagaba la PC y para remate impedía que guarde los trabajos
realizados y se perdía muchas horas de estar frente al monitor y presionado
teclas. Y si tecleaba la palabrita se introducía a la lista de correo y este se
diseminaba por la red (Datacraft, 2005)16
.

4.9 AÑO 1988

El año en el que comenzaron a aparecer los fabricantes de anti-virus, creando una
moda de lo que en principio sólo era un problema potencial. Los vendedores de
software anti-virus eran pequeñas compañías, que ofrecían sus productos a muy
bajo precio, en algunos casos gratuitamente. Fue en este año cuando la compañía
IBM se dio cuenta de que tenía que tomarse el asunto de los virus completamente
en serio.

Esta conclusión no la tomarón debido a la incidencia del popular 'gusano del árbol
de Navidad', de amplia difusión, sino porque IBM sufrió un brote del virus
'Cascade', y se encontró en la embarazosa necesidad de tener que comunicar a
sus clientes que ellos también habían sido infectados. Desde este momento, el
'High Integrity Laboratory' de IBM fue el encargado del área virus. En aquel
momento, cada nueva aparición de virus provocaba la aplicación de un análisis
paso-a-paso. El software existente era utilizado para detectar virus de sector de
arranque, y solamente fue escrito un programa anti-virus, de manera excepcional,
para afrontar los rebrotes de 'Cascade' y 'Jerusalem' (Virusprot.com, 2005)64
.

El usar programas originales siempre son mencionados como libres de virus ; sin
embargo, la empresa Aldus Corporation lanzo al mercado productos con virus
begninos, tales productos eran Free Hand para Macintosh, MacMag ó Brandow;
este virus presentaba un mensaje de Paz y fue introducido para celebrar el
aniversario de Macintosh II, el 2 de marzo de 1988. Este virulento amigo recibió el
nombre de "virus macintosh peace" y se cree que apareció el mensaje 350000
en pantallas de PC´s entre EE:UU. Y Canadá , se difundió por muchos servicios
de software compartido.
Richard R. Brandow, editor de la revista MacMag de Montreal, Canadá contrató a
un programador para realizar el mencionado virus, que pronto se propago por

23

medio de los servicios de cartelera electrónica - [Bulletin Board Systems (BBS)]
(que son sistemas de servicio de software o información compartida por
computadora vía módem). La Defensa de Aldus se baso que la infección partió
de un disco infectado que utilizaron de demostración que proporciono un
proveedor y que este adquirió el virus en un programa de juegos de la -[Bulletin
Board Systems
(BBS)] - y sin saberlo se incluyo en el programa y los que
diseminaron el virus fueron las copias ilegales.

En 1988 se identifico el virus "Jerusalem" que según algunas versiones, fue
creado por la Organización para la Liberación de Palestina. Con motivo de la
celebración del 40 aniversario del ultimo día en que Palestina existió como nación,
el viernes 13 de mayo de 1988 (Datacraft, 2005)16
.

El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores
de los virus y recién graduado en Computer Science en la Universidad de
Cornell, difundió un virus a través de ArpaNet, (precursora de Internet) logrando
infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno
de los terminales del MIT (Instituto Tecnológico de Massachussets).

Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo.
Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte
de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000
de multa, pena que fue conmutada a libertad bajo palabra.
(Udec, 2005)62
.

4.10 AÑO 1989

Será siempre recordado como el año en el que las cosas se pusieron difíciles. El
virus 'Fu Manchú' (una modificación del 'Jerusalem') fue difundido por alguien
anónimo en el Reino Unido, junto con el '405'. Por otra parte, los búlgaros y los
rusos empezaron a interesarse por el tema. En marzo de este año, un pequeño
incidente fue el aviso de la gran avalancha que se avecinaba: en Holanda, un tal
Fred Vogel contactó con Alan Solomom, para contarle que había encontrado un
virus nuevo en su disco duro, llamado 'Datacrime', y que estaba preocupado
porque al parecer, su fecha de activación estaba prevista para el día 13 del mes
siguiente.

Cuando el virus fue analizado, sin embargo, se llegó a la conclusión de que,
cualquier día después del 12 de octubre de 1989, podría formatear a bajo nivel el
cilindro cero del disco duro, lo cual en la mayoría de los discos, borraría la FAT,
dejando al usuario sin su información. También se desplegaba un mensaje con el
nombre del virus, 'Datacrime'.

Se redactó un informe sobre los efectos de este virus, que se publicó en una
revista, y otros medios de comunicación se hicieron eco del caso, llegando en

24

Junio a la errónea conclusión de que este virus se activaría cada 12 de octubre,
cuando en realidad podría activarse cualquier día entre el 12/10 y el 31/12 y era
capaz de borrar toda la información contenida en el disco duro.

En Norteamérica, la prensa empezó a llamarle 'El virus del Descubrimiento', y se
corrió la voz de que había sido escrito por terroristas noruegos, hartos de que se
otorgara la autoría del Descubrimiento de América a Colón, en vez de a Erik el
Rojo (Virusprot.com, 2005)65
.

La policía empezó a distribuir un detector del virus 'Datacrime', vendiéndolo a un
dólar en todas las comisarías de policía. Se vendió muy bien, pero daba una serie
de falsas alarmas, por lo que enseguida fue sustituido por una segunda versión.
Esto provocó mucha confusión en la opinión pública, porque realmente nadie era
capaz de saber si tenía o no el virus. En el mes de Julio, debido al mayor índice de
concienciación ciudadana, un gran número de compañías holandesas solicitaron
información a IBM sobre si los virus eran realmente un problema serio. Existían
muchas posibilidades de que una empresa pudiera infectarse de 'Datacrime',
'Jerusalem', 'Cascade' o 'Stoned'.

IBM contaba con un programa software de detección y eliminación de virus para
su uso interno, que si no ofrecían inmediatamente a sus clientes, podía
representar un menoscabo en su reputación. Los técnicos sabían que en cualquier
momento podría producirse una infección masiva de cualquiera de estos virus, en
especial de 'Datacrime'. En septiembre de 1989, IBM lanzó su versión 1.0 de este
escáner, junto con una carta en la que explicaba a sus clientes lo que era y para
qué servía. Las empresas usaron el software, y se encontraron con que no
estaban infectados por 'Datacrime', pero sí por multitud de versiones de los virus
vigentes en ese momento (Virusprot.com, 2005)65
.

Por otro lado el New York Times anuncio el 30 de octubre que las computadoras
de la NASA habían sido interferidas por desconocidos y causando problemas en
el lanzamiento del Atlantis, más de 60 PC´s fueron infectadas esa ocasión y el
intruso se siguió multiplicándose por medio de la red comercial de la NASA con
empresas privadas del dicho país. Se estima que dicho banco de datos
internacionales llegaría a más de medio millón de PC´s infectadas.
(Datacraft, 2005)16
.

Este año tan agitado terminó con la distribución de 20.000 copias de un famoso
código malicioso, el Aids Information Diskette, que fueron enviadas por correo a
usuarios que figuraban en bases de datos de diversos organismos, por ejemplo el
PC Business World. Este documento contenía instrucciones de instalación
detalladas que originaban la creación de archivos y directorios ocultos, editando el
contenido de AUTOEXEC.BAT, de modo que uno de estos archivos estaba
presente en cada motor de arranque. El Ttroyano' que contenía encriptaba todos
los archivos del disco duro, otorgándoles los atributos alojados en él. De este

25

incidente es que consiguió otorgar mayor popularidad a los virus, aunque el código
malicioso protagonista del hecho en realidad era un troyano.

Además, un sorprendente número de personas instalaron el software, de tal
manera que PC Business World tuvo que desarrollar un programa para
solucionar los inconvenientes que provocó la distribución de este 'Troyano’
(Virusprot.com, 2005)65
.

4.11 AÑO 1990

Surgieron algunas novedades en el panorama de los virus. Mark Washburn había
creado el primer virus polimórfico a partir del 'Viena'. Los virus polimórficos
representaron un paso adelante en la evolución de los códigos malignos, al ser
capaces de encriptar de forma diferente su código cada vez que cometían una
nueva infección; por ello, era necesario desarrollar un algoritmo que pudiera
aplicar tests lógicos al archivo, decidiendo de esta manera si los bytes eran
malignos o no, para crear la herramienta anti-virus que bloqueara dichos códigos.

Aunque Washburn publicó el código de su virus, y se temió que muchos creadores
de virus decidieran crear nuevos códigos a partir de aquel, la invasión de virus
polimórficos no tuvo lugar en el mercado. Además, la mayoría de las empresas del
sector (excepto Virus Bulletin, IBM y pocos más) tampoco fueron capaces de
desarrollar herramientas anti-virus apropiadas, ya que no es tan fácil crear un
algoritmo de desencriptación. No obstante, la idea del polimorfismo se ha utilizado
profusamente después en la creación de 'criaturas víricas' más modernas.

Otra de las consecuencias de los virus polimórficos es el incremento de las falsas
alarmas. Si un vendedor de software anti-virus consigue escribir el software
apropiado para detectar algo con tantas posibilidades de mutación como 'Viena',
existen muchas posibilidades de que en realidad lo que el escáner detecte sea
una línea de código inofensivo. Y una falsa alarma puede ser más engorrosa para
el usuario que un auténtico virus, ya que obliga a poner en funcionamiento
absolutamente todos los mecanismos anti-virus de defensa. Además en 1990 se
vivio una oleada de virus procedentes de Bulgaria, especialmente de aquellos
cuyo autor se identificaba con el alias 'Dark Avenger'.

Los virus 'Dark Avenger' introdujeron dos conceptos nuevos: la infección rápida
(el virus se instalaba en la memoria, y la simple apertura de un archivo provocaba
una infección vertiginosa del disco duro) y el ataque remoto (algunos de estos
virus sobrescribían código cada cierto tiempo, por lo que si el usuario no se daba
cuenta y hacía 'backup' de los datos periódicamente, auto replicaba sin querer
todas las líneas de código maligno). Otros virus clásicos de parecida actuación
durante este periodo fueron 'Number-of-the-Beast' y 'Nomenklatura'.
Sin embargo, 'Dark Avenger' era el más creativo en el proceso de distribución de
sus virus. Cargaba sus códigos malignos en BBS's, infectando los programas anti-

26

virus shareware, y en sus ataques víricos incluía un archivo que cumplía la
función de tranquilizar a todo aquel que comprobara el tamaño del archivo o
realizara un 'checksumming'. Incluso se permitía el lujo de incluir su código
fuente para que los legos pudieran aprender cómo se creaban virus
(Virusprot.com, 2005)66
.

En este mismo año tuvo lugar otro evento en Bulgaria: la aparición de la primera
BBS de intercambio de virus. En ella la gente podía descargarse cualquier virus
en el que estuviera interesado, si previamente había dejado algún código maligno
propio para los usuarios de este sistema. Esto, claro está, favoreció tanto la
creación de nuevos virus como la difusión masiva de muchos de ellos.

En la segunda mitad de 1990 hizo su aparición 'The Whale'. Se trataba de un
código muy largo y complejo, que denegaba el servicio al sistema cuando éste se
intentaba poner en marcha. Realmente, se trataba más bien de un ejercicio de
complejidad y ofuscación, un auténtico puzzle para el cazador de virus. En la
práctica, este virus se podía rastrear perfectamente con la mayoría de las
herramientas disponibles en aquel momento, por lo que su fama se debe más a su
complejidad que a sus efectos devastadores.

A finales de este año, los fabricantes de anti-virus se dieron cuenta de que
estaban mucho más organizados, casi hasta alcanzar el nivel que tenían los
mismos creadores de virus. Así, decidieron agruparse en el EICAR ('European
Institute for Computer Anti-virus Research
') en Hamburgo, en diciembre de
1990. Esta iniciativa supuso la constitución de un foro muy activo sobre la
amenaza de los virus, en el cual participaban vendedores de software, cazadores
de virus y expertos, con el objeto de intercambiar ideas (y 'especimenes'), así
como animar a las autoridades para la llevar a cabo auténticas estrategias de
defensa contra la incidencia de ataques víricos. Cuando esta organización fue
fundada, se habían catalogado alrededor de 150 virus, y la 'factoría búlgara'
estaba en auténtica ebullición (Virusprot.com, 2005)66
.

4.12 AÑO 1991

En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba
como director del Laboratorio de Virología de la Academia de Ciencias de
Bulgaria, escribió un interesante y polémico artículo en el cual, además de
reconocer a su país como el líder mundial en la producción de virus da a saber
que la primera especie viral búlgara, creada en 1988, fue el resultado de una
mutación del virus Vienna, originario de Austria, que fuera desensamblado y
modificado por estudiantes de la Universidad de Sofía. Al año siguiente los autores
búlgaros de virus, se aburrieron de producir mutaciones y empezaron a desarrollar
sus propias creaciones.
En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad",
se propagó por toda Europa y los Estados Unidos haciéndose terriblemente

27

famoso por su ingeniosa programación, peligrosa y rápida técnica de infección, a
tal punto que se han escrito muchos artículos y hasta más de un libro acerca de
este virus, el mismo que posteriormente inspiró en su propio país la producción
masiva de sistema generadores automáticos de virus, que permiten crearlos sin
necesidad de programarlos (Machado, 2005)38
.

El problema de los virus ya era lo suficientemente preocupante como para atraer a
las grandes compañías de marketing. Symantec lanzó a principios de este año el
producto Norton Anti-virus, y Central Point CPAV en abril. Pronto los siguieron
Xtree, Fifth Generation y unos cuantos más. Muchas de estas compañías
reutilizaron los programas de otras empresas (casi todas las israelíes, por
ejemplo). Pero el gran problema de este año fue el llamado 'Glut'. En diciembre de
1990, había alrededor de 100 ó 300 virus. En diciembre del siguiente año, 1000
(ya que en este año se escribieron gran cantidad de virus).

'Glut' quiere decir algo así como 'superabundancia', lo cual, referido al tema de
proliferación de virus, causó la aparición de múltiples y desagradables nuevos
problemas. Los programar tenían muchas limitaciones. En particular, era
necesario el almacenamiento de gran cantidad de datos en memoria para
proceder a un escaneo en busca de virus, y bajo DOS sólo había disponibles 640
Kb utilizables. Otro problema es que algunos escáneres eran demasiado lentos,
en proporción al gran número de virus que debían detectar. Además, el análisis de
virus requiere no sólo su detección real, sino su desinfección efectiva. Si cada día
hubiera que proceder al análisis de un nuevo virus, solamente se podrían detectar,
analizar y desinfectar unos 250 por año. Eso quiere decir que más virus significa
también más trabajo para los desarrolladores.

El 'Tequila' fue el primer virus polimórfico difundido a escala mundial. En mayo,
los nuevos motores de búsqueda lo detectaban, pero no fue hasta septiembre que
se empezó a reducir su expansión.
Si no se desinfectaba totalmente existía un riesgo de pérdida de un 1 por ciento de
los archivos, y esto se incrementaba cada vez que se detectaba el virus pero no
se desinfectaba de forma efectiva.

Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local,
autodenominado Mensaje y que no era otra cosa que una simple mutación del
virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y
número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron
variantes del Jerusalem-B y prácticamente se difundieron a nivel nacional en el
Perú (Virusprot.com, 2005)67
.

4.13 AÑO 1992

28

Fue el año de la aparición de la Self Mutating Engine (MtE) de Dark Avenger.
En principio, la comunidad mundial pensó que se trataba de un nuevo virus, de
nombre 'Dedicated', pero después hizo aparición la MtE. MtE es un archivo OBJ,
con el código fuente de un simple virus e instrucciones para enlazar el archivo
OBJ a un virus, de tal manera que, al final, se podía obtener un virus polimórfico.
Inmediatamente, los "cazadores" de virus se pusieron a la tarea de desarrollar
detectores para la MtE. En un principio, se creyó que habría cientos y cientos de
virus haciendo uso de MtE, ya que era muy fácil de usar y permitía a dichos virus
ocultarse de forma extraordinaria. Pero los creadores de virus se dieron cuenta
rápidamente de que un escáner que fuera capaz de detectar un MtE podía
detectar todos (Virusprot.com, 2005)68
.

A la MtE le siguió 'Commander Bomber', también de 'Dark Avenger'. Antes de
'Commander', uno podía prever fácilmente en qué archivo estaba oculto un virus.
Muchos desarrolladores de productos aprovechaban esta facilidad para crear
rápidamente herramientas anti-virus. Pero 'Commander Bomber' cambió esto, de
tal manera que los escáneres se veían obligados a chequear todos los archivos, o
bien localizar el virus mediante un seguimiento completo del código.

Otro virus importante que surgió durante este periodo fue 'Starship'. Se trata de
un virus completamente polimórfico, que constaba de una serie de trucos anti-
debbuging y anti-checksumming. Los programas de 'checksumming' sirven
para detectar un virus en función de que posee código ejecutable que muta para
replicarse. 'Starship' solamente infectaba los archivos cuando éstos eran
copiados desde el disco duro al diskette. Por lo tanto, los archivos residentes en
el disco duro no cambiaban nunca. Pero la copia del diskette estaba infectada,
por lo que si este diskette se introducía en otro equipo y se chequeaba el sistema
por medio del 'checksummer', éste lo aceptaba sin problemas. El virus 'Starship'
se instalaba a sí mismo en el disco duro, pero sin hacer ningún cambio en el
código ejecutable. Cambiaba los datos, eso sí, de partición, efectuando una nueva
partición en el 'boot'.
Esta nueva partición contenía el código del virus, que se ejecutaba antes de pasar
el control a la partición 'boot' original. Probablemente, el virus más importante
durante 1992 fue el conocido 'Michelangelo'. Uno de los más conocidos
vendedores de productos anti-virus norteamericano dio la alerta: cerca de cinco
millones de PCs podían venirse abajo el 6 de marzo de este año. En muchas
empresas cundió el pánico, cuando los medios de comunicación se hicieron eco
de este asunto. Sin embargo, el 6 de marzo sólo tuvieron problemas entre 5.000 y
10.000 equipos informáticos, y naturalmente los vendedores de software tuvieron
que moderar el ímpetu de sus avisos de alarma. Probablemente, nunca se llegara
a saber cuánta gente, en realidad, se vio afectada por 'Michelangelo', pero lo
cierto es que en los días previos al 6 de marzo la mayoría de los usuarios llevaron
a cabo exhaustivos exámenes de sus equipos en pos del virus.
Después de esta fecha, muchos expertos en virus de todo el mundo vieron como
sus opiniones, siempre tenidas en cuenta, eran objeto del más absoluto desprecio.

29

En agosto del presente año surgen los primeros paquetes de virus de autor.
Primero apareció el VCL ('Virus Creation Laboratory'), de 'Nowhere Man', y a
continuación 'Dark Angel' generó el 'Phalcon/Skism Mass-Producer Code
Generator
'. Estos paquetes hicieron posible que cualquier persona pudiera hacer
uso de un PC para escribir su virus personal. En el transcurso de un año,
aparecieron, en consecuencia, docenas de nuevos virus en el mercado, todos
ellos creados mediante el uso de estas herramientas (Virusprot.com, 2005)68
.

A finales de 1992 un nuevo grupo de creadores de virus, ARCV (Asociación de
Virus Auténticamente Crueles) apareció en el Reino Unido, y al cabo de un par de
meses, la Unidad de Crimen Computacional de Scotland Yard los localizó y
arrestó, gracias a la inestimable ayuda de la comunidad de expertos en soluciones
anti-virus. El efímero florecimiento de la ARCV duró sólo tres meses, durante los
cuales crearon unas cuantas docenas de nuevos virus y reclutaron a algunos
miembros para su causa particular.

Otro de los hechos destacables en este año tan movido fue la aparición de
personas que se dedicaban a la venta de colecciones de virus. Para ser más
precisos, se trataba realmente de colecciones de archivos, algunos de los cuales
eran virus. En los Estados Unidos, John Buchanan ofreció su colección de unos
cuantos miles de códigos al precio de 100 dólares por copia, y en Europa, la
Unidad Clínica de Virus sacó a la venta varias colecciones por 25 dólares la copia
(Virusprot.com, 2005)68
.

4.14 AÑO 1993

En 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas
con creatividad propia, siendo alguno de ellos sumamente originales, como los
virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que
formateaba el disco duro). La creación de los virus locales ocurre en cualquier
país.

XTREE anunció que iban a abandonar el negocio del software anti-virus. Era la
primera gran compañía que renunciaba a la lucha. Casi al mismo tiempo, un
nuevo grupo de creadores de virus hizo su aparición en Holanda: su nombre,
'Trident'. El principal creador de virus de este grupo, Masouf Khafir, elaboró una
máquina polimórfica denominada, precisamente, 'Trident Polymorfic Engine', y
lanzó un virus que la utilizaba llamado 'GIRAFE'. A esto, le siguieron varias
nuevas versiones de TPE. Este virus es mucho más difícil de detectar que el MtE,
y mucho más difícil de evitar sus falsas alarmas.

Khafir también lanzó el primer virus que trabajaba de acuerdo con un principio que
ya fue enunciado por Fred Cohen. El virus 'Cruncher' era un código maligno de
compresión que automáticamente se incluía en archivos para autoinstalarse en

30

tantos equipos como fuera posible. Mientras tanto, 'Nowhere Man' y el grupo
'Nuke' había estado, también, bastante ocupados.

A principios de este mismo año, fue lanzado el Nuke Encryption Device (NED).
Se trataba de otro mutador mucho más difícil de neutralizar que MtE. El virus
consiguiente, 'Itshard', pronto siguió a la aparición de esta nueva máquina
polimórfica. También 'Dark Angel' quiso apuntarse a la moda del polimorfismo.
Este creador de virus lanzó DAME ('Dark Angel's Multiple Encryptor Device
(NED)'). Se trataba de otro mutador cuyo virus era 'Trigger'. Este código relanzó la
versión 1.4 de TPE (de nuevo, era mucho más complejo y difícil de erradicar que
en las versiones previas), y lanzó un virus llamado 'Bosnia' que lo utilizaba
(Virusprot.com, 2005)69
.

Un poco después de esta oleada de códigos polimórficos, Lucifer Messiah, de
Anarkick Systems, había tomado la versión 1.4 de TPE y escrito un virus llamado
'POETCODE', utilizando una versión modificada de esta máquina (la 1.4b).

Pero el más famoso de los polimórficos que aparecieron a principios de 1993 fue
'Tremor', el cual ascendió rápidamente a las alturas de la fama cuando fue
difundido a través de un show de la televisión alemana dedicado precisamente a
las novedades del software. El archivo infectado fue PKUNZIP.EXE, que la
mayoría de los recipientes usaban para descomprimir los archivos que recibía.

También en este año, desaparecieron muchas importantes empresas
desarrolladoras de software anti-virus, como Certus (uno de cuyos productos más
representativos era Novi) ó Fifth Generation (creadores del producto
'Untouchable'). No obstante, también hubo algunas buenas noticias: la empresa
S&S International recibió el galardón 'Queen's Award for Technological
Achievement
'. Este premio se otorgó por el lenguaje de descripción de virus
VIRTRAN, que es la base fundamental de FindVirus y VirusGuard
(Virusprot.com, 2005)69
.

4.15 AÑO 1995

A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de
una nueva familia de virus que no solamente infectaban documentos, sino que a
su vez, sin ser archivos ejecutables podían auto-copiarse infectando a otros
documentos. Los llamados macro virus tan sólo infectaban a los archivos de MS-
Word
, posteriormente apareció una especie que atacaba al Ami Pro, ambos
procesadores de textos.

En 1997 se disemina a través de Internet el primer macro virus que infecta hojas
de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de
esta misma familia de virus que ataca a los archivos de bases de datos de MS-
Access
(Udec, 2005)62
.

31

4.16 AÑO 1999

A principios de 1999 se empezaron a propagar masivamente en Internet los virus
anexados (adjuntos) a mensajes de correo, como el Melisa o el macro virus
Papa. Ese mismo año fue difundido a través de Internet el peligroso CIH y el
ExploreZip, entre otros muchos más.

A fines de Noviembre de este mismo año apareció el Bubbleboy, primer virus que
infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se
muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS,
primer virus oculto dentro del shell de la extensión .SHS (Udec, 2005)62
.

4.17 QUE ES UN VIRUS INFORMÁTICO

Los virus informáticos son programas, estos contienen instrucciones que puede
ejecutar cualquier ordenador, no contienen información del autor ni fecha de
creación, son pequeños en tamaño, y tienen la capacidad de tomar el control
sobre otros programas. Se añaden a cualquier tipo de archivo de tal forma que
cuando estos se ejecutan, el virus también lo hace, causando dificultades en el
debido funcionamiento del ordenador y pueden dañar la información que se tiene
almacenada, registra, y hacen lento el trabajo del equipo.

Están hechos para reproducirse en los computadores a los cuales infectan y a
través de estos propagarse, por medio de la copia de archivos, envío de mensajes
en la lista de correo, o a través de la red, son programas de difusión rápida, no
todos los virus destruyen ni tienen el mismo funcionamiento, y algunas veces se
dan a conocer al usuario por medio de mensajes, o simplemente pasan a eliminar
información del equipo.

4.17.1 Otras definiciones. El primer autor oficial de los virus, Fred B. Cohen,
quien en 1994 escribió su tesis doctoral acerca de los virus, definiéndolos como
«un programa de ordenador que puede infectar otros programas modificándolos
para incluir una copia de sí mismo» (Wikipedia, 2005)71
.

Un virus es un código informático que se adjunta a un programa o archivo, de
forma que puede pasar de equipo a equipo, realizando ataques mientras se
desplaza. Los virus pueden dañar el software, el hardware y los archivos. Virus
(n.) Código creado expresamente para su replicación. Los virus intentan pasar de
equipo a equipo adjuntándose a un programa "anfitrión". Pueden dañar software,
hardware o información.
Al igual que los virus humanos, que tienen distintos grados de gravedad desde el
Ébola a la gripe de 24 horas, los virus informáticos varían desde los ligeramente
molestos hasta los altamente destructivos. La buena noticia es que un virus de

32

verdad no se extiende a menos que se realice una acción, como compartir un
archivo o enviar un mensaje de correo electrónico (Microsoft, 2005)42
.

4.18 QUE PUEDE HACER UN VIRUS

Un virus es un programa, y un estos puede hacer lo que el sistema operativo
les permita hacer, ya sea porque esté autorizado a hacerlo, ó porque hay un fallo
de seguridad que el programa explota. En general puede desde no hacer nada
más que replicarse, a borrar información vital del sistema como el disco duro o la
BIOS ó robar información personal, además de claves. Puede hacer cualquier
cosa que un programa con sus privilegios pueda hacer en el ordenador que lo
ejecuta (Google, 2005)29
.

4.19 CÓMO SE ADQUIERE UN VIRUS

La forma más común en que se transmiten los virus es por diskette, descarga
o ejecución de archivos adjuntos a e-mails. También se pueden encontrar virus
simplemente visitando ciertos tipos de páginas Web que utilizan un componente
llamado ActiveX o Java Applet. Además, se puede llegar a ser infectado por un
virus simplemente leyendo un e-mail dentro de ciertos tipos de programas de e-
mail como Outlook, Outlook Express, Netscape mail o Eudora Pro (Alerta
Virus, 2005)4
.

4.20 QUÉ HACEN LOS VIRUS

Cuando un virus lleva a cabo la acción para la que había sido creado, se dice que
se ejecuta la carga (payload). Cuando se inicia la carga, la mayoría de los virus
son inofensivos, y no hacen más que mostrar mensajes de diferentes tipos. Otros
pueden ser bastante maliciosos por naturaleza e intentan producir un daño
irreparable

al

ordenador

causando

daños

a

los

archivos
desplazando/sobrescribiendo el sector de arranque principal (master boot record
- MBR
), borrando los contenidos del disco duro o incluso escribiendo sobre la
BIOS, dejándolo inutilizable. La mayoría de los virus no tenderán a borrar todos
los ficheros del disco duro. La razón de esto es que una vez que el disco duro se
borra, se eliminará el virus, terminando así el problema (Alerta Virus, 2005)4
.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->