LOS VIRUS INFORMTICOS: Lamentablemente en algn momentos hemos

pasados por estos momentos molestos, en donde nos damos cuenta que
nuestro ordenador hace cosas muy raras, "nos ignora" y hasta a veces nos
percatamos que hemos perdido gran o toda la informacin que venimos
almacenando durante aos en el disco duro. Pero cuando nos damos cuenta,
ya es tarde y todo est perdido, nos agarra un ataque de ira, de impotencia y
solo apagamos rpidamente el ordenador, pero y ahora que hacemos?...
Categoras de virus
Dependiendo de su fuente de informacin, los diferentes tipos de virus pueden
ser descritos de maneras ligeramente distintas. Entre algunas de las categoras
especficas de virus se incluyen las siguientes:
Virus bimodales, bipartitas o multipartitas. Estos tipos de virus pueden
infectar archivos y tambin el sector de inicio del disco.
Bombas. Los tipos de bombas ms comunes son las bombas de tiempo y las
bombas lgicas. Una bomba de tiempo se oculta en el disco de la vctima y
espera hasta que llegue una fecha especfica (o fecha y hora) antes de
ejecutarse. Una bomba lgica puede activarse por una fecha, el cambio de un
archivo o una accin particular que lleva a cabo un usuario o programa.
Muchos expertos no clasifican a las bombas como virus, pero otros s. No
obstante, las bombas se tratan como virus debido a que pueden ocasionar
daos o trastornos en un sistema.
Virus del sector de inicio. Es considerado uno de los tipos de virus ms
hostiles, un virus del sector de inicio puede infectar el sector de inicio de un
disco duro o flexible. Esta rea del disco almacena archivos esenciales que la
computadora utiliza durante el inicio. El virus mueve los datos del sector de
inicio a una parte distinta del disco. Cuando la computadora inicia, el virus se
copia a s mismo en la memoria en donde se puede esconder e infectar a otros
discos. Este virus permite que los datos del sector de inicio real puedan ser
ledos como si estuviera ocurriendo un inicio del sistema normal.
Virus de grupo. Este tipo de virus realiza cambios al sistema de archivos de
un disco. Si algn programa se ejecuta desde el disco infectado, el programa
hace que el virus tambin se ejecute. Esta tcnica crea la ilusin de que el
virus ha infectado a todos los programas del disco.
Virus de correo electrnico. Los virus de correo electrnico se pueden
transmitir a travs de mensajes de correo electrnicos que se enva en redes
privadas o en Internet. Algunos virus de correo electrnico se transmiten como
un archivo adjunto infectado, que puede ser un archivo de documento o
programa que se adjunta al mensaje. Este tipo de virus se ejecuta cuando la
vctima abre el archivo que est adjuntado al mensaje. Otros tipos de virus de
correo electrnico residen dentro del cuerpo del mensaje mismo. Para
almacenar un virus, el mensaje debe estar codificado en formato HTML. Una
vez que se ejecuta, muchos virus de correo electrnico intentan propagarse

enviando mensajes a todas las personas de la libreta de direcciones de la

vctima; cada uno de estos mensajes contiene una copia del virus.
Virus que infectan archivos. Este tipo de virus infecta a los archivos de
programa de un disco (por ejemplo, archivos .exe o .com). Cuando se inicia un
programa infectado, tambin se ejecuta el cdigo del virus.
Programas de broma. Los programas de broma no son virus y tampoco
ocasionan dao. Su propsito es el ce espantar a sus vctimas hacindolos
creer que un virus IE infectado y daado su sistema. Por ejemplo, un programa
de broma puede desplegar un mensaje que advierta usuario que no debe tocar
ninguna tecla o el disco duro de la computadora se formatear.
Virus de macro. Un virus de macro est diseado para infectar a un tipo
especfico de archivo de documento por ejemplo, archivos de Microsoft Word o
Excel. Estos documentos pueden incluir macros, los cuales son programas
pequeos que ejecutan comandos (las macro; se utilizan normalmente para
emitir comandos de programas especficos, pero tambin pueden emitir ciertos
comandos del sistema operativo). Un virus de macro, creado como una macro,
se incrusta en un archivo de documentos y puede ocasionar distintos niveles
de daos a los datos desde la corrupcin de documentos hasta la eliminacin
de datos.
Virus polimorfos, autotransformables, autocifrable o
autocambiantes. Este tipo de virus se pueden cambiar a s mismos cada vez
que se copian, lo cual hace difcil aislarlos.
Virus ocultos. Estos virus se alojan en la memora computadora, lo cual
hace difcil su deteccin. Tambin pueden ocultar cambios que hacen a otros
archivos, ocultando el dao al usuario y sistema operativo.
Caballos de Troya. Un caballo de Troya es un programa malicioso que
aparenta ser amigable. Por ejemplo, algunos caballos de Troya tienen la
apariencia de juegos. Debido a que los caballos de Troya no se duplican a s
mismos en el disco de la vctima (o en otros discos), tcnicamente no son virus.
Sin embargo, debido a que ocasionan daos, muchos los consideran como un
tipo de virus. Los caballos de Troya a menudo son utilizados por los piratas
informticos para crear una "puerta trasera" en un sistema infectado, como
describimos anteriormente.
Gusanos. Un gusano es un programa cuyo propsito es duplicarse a s
mismo. Un gusano efectivo llenar discos enteros con copias de s mismo y
ocupar todo el espacio posible en la memoria del sistema. Muchos gusanos
estn diseados para que se propaguen a otras computadoras. Una LAN
completa o sistema de correo electrnico corporativo puede quedar totalmente
obstruido con copias de un gusano, haciendo que sea intil. Los gusanos se
propagan normalmente a travs de Internet por medio de mensajes adjuntos
en el correo electrnico y canales dechat interactiva en Internet (IRC).
Tcnicamente, un gusano no es lo mismo que un virus. No obstante, debido a

que los gusanos ha abundado tanto en los aos recientes y que ocasionan
daos considerables, los gusanos se tratan como si fueran virus.

Prevencin de infecciones
Proteger un sistema en contra de los virus no es difcil si cuenta con algunos
conocimientos y herramienta de software.
Debe comenzar por tener conciencia de que los virus pueden provenir de
muchas fuentes, incluso de fuentes en las que confa. Por ejemplo, un virus de
correo electrnico puede llegar a su bandeja de entrada aparentando ser un
mensaje de un amigo o colega, debido a que ya ha infectado a la computadora
de esa persona.
Un CD de datos o disco flexible hecho en casa tambin puede estar infectado.
De hecho, se ha descubierto que incluso los programas comprados que se

obtienen empaquetados en las tiendas de buena reputacin han incluido virus

en algunas ocasiones. La mejor precaucin es manejar los mensajes de correo
electrnico y los discos como fuentes potenciales de infecciones.
La revisin de virus requiere de software antivirus, el cual explora la memoria y
discos de su computadora con el fin de encontrar virus conocidos y
erradicarlos. Despus de que se han instalado y activado en su sistema, un
programa de antivirus adecuado revisa los virus en archivos automticamente
cada vez que inserta cualquier tipo de disco o descarga un archivo a travs de
una conexin de red o Internet.
La mayora de las herramientas antivirus tambin pueden explorar los
mensajes de correo electrnico y los archivos adjuntos en el momento que lo
recibe o enva. Los exploradores de virus sofisticados tambin pueden alertarle
con una pgina Web que intenta cargar cdigos sospechosos en su PC.
Algunos programas antivirus populares son los siguientes:
McAfee VirusScan
Norton AntiVirus
Virex
PCcillin
Avast!
Sin embargo, el simple hecho de tener software antivirus en su computadora
no es suficiente para mantener alejados a los virus. ste es el punto en el que
muchos usuarios de computadoras casuales se descuidan y permiten que sus
sistemas se infecten.
Una vez que instale el software, asegrese de Leer completamente la
documentacin y perfeccionar el uso de todas sus funciones. La mayor parte
de los programas antivirus le permiten realizar distintas configuraciones, por
ejemplo, activar la exploracin de correo electrnico automtica. Todas estas
opciones no siempre estn activadas por omisin, de manera que necesitar
activarlas usted mismo y escoger los parmetros que controlan su operacin.
Asegrese de entender todas las opciones del programa y establezca la
mxima proteccin posible. Una vez que el programa est listo, explore los
discos de su computadora al menos una vez a la semana para buscar virus; es
probable que su programa incluya una funcin de programacin que puede
automatizar la exploracin del disco por usted.
Debido a que los virus nuevos se propagan prcticamente todos los das,
ningn programa antivirus puede ofrecerle proteccin absoluta de todos ellos.
Muchos fabricantes de software antivirus permiten que los usuarios descarguen
definiciones de virus actualizadas o patrones de virus (bases de datos de
informacin acerca de virus y cdigo que los puede erradicar) en sus
programas a travs de Internet.

La generacin ms nueva de programas antivirus puede encontrar, descargar e

instalar definiciones actualizadas de virus por s mismos, de manera
automtica, siempre y cuando su computadora est conectada a Internet. Ya
sea que opte por actualizar su software antivirus manualmente o
automticamente, debe hacerlo al menos una vez a la semana con el fin de
comprobar que est protegido en contra de los ltimos virus.
Tambin es una idea recomendable mantenerse al da sobre las ltimas
noticias acerca de virus. Una buena manera de hacer esto es visitar el sitio
Web del desarrollador de su programa de software antivirus.

Tipos de Virus Informticos segn su destino de infeccin

Infectores de archivos ejecutables
o

Afectan archivos de extensin EXE, COM, BAT, SYS, PIF, DLL, DRV

Infectores directos

El programa infectado tiene que estar ejecutndose para que el virus pueda
funcionar (seguir infectando y ejecutar sus acciones destructivas)
Infectores del sector de arranque (boot)
Tanto los discos rgidos como los disquetes contienen un Sector de Arranque, el
cual contiene informacin especfica relativa al formato del disco y los datos
almacenados en l. Adems, contiene un pequeo programa llamado Boot
Program que se ejecuta al bootear desde ese disco y que se encarga de buscar
y ejecutar en el disco los archivos del sistema operativo. Este programa es el
que muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de
no encontrar los archivos del sistema operativo. Este es el programa afectado
por los virus de sector de arranque. La computadora se infecta con un virus de
sector de arranque al intentar bootear desde un disquete infectado. En este
momento el virus se ejecuta e infecta el sector de arranque del disco rgido,
infectando luego cada disquete utilizado en el PC. Es importante destacar que
como cada disco posee un sector de arranque, es posible infectar el PC con un
disquete que contenga solo datos.....
Virus Multi Particin
Bajo este nombre se engloban los virus que utilizan los dos mtodos anteriores.
Es decir, pueden simultneamente infectar archivos, sectores boot de arranque
y tablas FAT.
Infectores residentes en memoria
El programa infectado no necesita estar ejecutndose, el virus se aloja en la
memoria y permanece residente infectando cada nuevo programa ejecutado y
ejecutando su rutina de destruccin
Macrovirus
Son los virus mas populares de la actualidad. No se transmiten a travs de
archivos ejecutables, sino a travs de los documentos de las aplicaciones que
poseen algn tipo de lenguaje de macros. Entre ellas encontramos todas las
pertenecientes al paquete Office (Word, Excel, Power Point, Access) y tambin
el Corel Draw, o AutoCAD.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el
control y se copia a la plantilla base de nuevos documentos, de forma que sean

infectados todos los archivos que se abran o creen en el futuro.

Los lenguajes de macros como el Visual Basic For Applications son muy
poderosos y poseen capacidades como para cambiar la configuracin del
sistema operativo, borrar archivos, enviar e-mails, etc.
De Actives Agents y Java Applets
En 1997, aparecen los Java applets y Actives controls. Estos pequeos
programas se graban en el disco rgido del usuario cuando est conectado a
Internet y se ejecutan cuando la pgina web sobre la que se navega lo
requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de
banda. Los virus desarrollados con Java applets y Actives controls acceden al
disco rgido a travs de una conexin www de manera que el usuario no los
detecta. Se pueden programar para que borren o corrompan archivos,
controlen la memoria, enven informacin a un sitio web, etc.
De HTML
Un mecanismo de infeccin ms eficiente que el de los Java applets y Actives
controls apareci a fines de 1998 con los virus que incluyen su cdigo en
archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una
pgina web puede contener y ejecutar un virus. Este tipo de virus se
desarrollan en Visual Basic Script. Atacan a usuarios de Win98, 2000 y de las
ltimas versiones de Explorer. Esto se debe a que necesitan que el Windows
Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper
archivos.
Caballos de Troya
Los troyanos son programas que imitan programas tiles o ejecutan algn tipo
de accin aparentemente inofensiva, pero que de forma oculta al usuario
ejecutan el cdigo daino.
Los troyanos no cumplen con la funcin de autorreproduccin, sino que
generalmente son diseados de forma que por su contenido sea el mismo
usuario el encargado de realizar la tarea de difusin del virus. (Generalmente
son enviados por e-mail)

Tipos de Virus Informticos segn sus acciones y/o modo de

activacin
Bombas
Se denominan as a los virus que ejecutan su accin daina como si fuesen una
bomba. Esto significa que se activan segundos despus de verse el sistema
infectado o despus de un cierto tiempo (bombas de tiempo) o al comprobarse
cierto tipo de condicin lgica del equipo. (bombas lgicas). Ejemplos de
bombas de tiempo son los virus que se activan en una determinada fecha u
hora determinada. Ejemplos de bombas lgicas son los virus que se activan
cuando al disco rgido solo le queda el 10% sin uso, una secuencia de teclas o
comandos, etc. Ejemplos de este tipo de programas son virus como Viernes 13
o el virus Miguel Angel

Camaleones
Son una variedad de virus similares a los caballos de Troya que actan como
otros programas parecidos, en los que el usuario confa, mientras que en
realidad estn haciendo algn tipo de dao. Cuando estn correctamente
programados, los camaleones pueden realizar todas las funciones de los
programas legtimos a los que sustituyen (actan como programas de
demostracin de productos, los cuales son simulaciones de programas reales).
Un software camalen podra, por ejemplo, emular un programa de acceso a
sistemas remotos realizando todas las acciones que ellos realizan, pero como
tarea adicional (y oculta a los usuarios) va almacenando en algn archivo los
diferentes logins y password para que posteriormente puedan ser recuperados
y utilizados ilegalmente por el creador del virus camalen.
Reproductores
Los reproductores (tambin conocidos como conejos-rabbits) se reproducen en
forma constante una vez que son ejecutados hasta agotar totalmente (con su
descendencia) el espacio de disco o memoria del sistema.
La nica funcin de este tipo de virus es crear clones y lanzarlos a ejecutar
para que ellos hagan lo mismo. El propsito es agotar los recursos del sistema,
especialmente en un entorno multiusuario interconectado, hasta el punto que
el sistema principal no puede continuar con el procesamiento normal.
Gusanos (Worms)
Los gusanos utilizan las redes de comunicaciones para expandirse de sistema
en sistema. Es decir, una vez que un gusano entra a un sistema examina las
tablas de ruta, correo u otra informacin sobre otros sistemas, a fin de copiarse
en todos aquellos sistemas sobre los cuales encontr informacin. Este mtodo
de propagacin presenta un crecimiento exponencial con lo que puede infectar
en muy corto tiempo a una red completa.
Existen bsicamente 3 mtodos de propagacin en los gusanos:
1 - Correo electrnico - El gusano enva una copia de s mismo a todos los
usuarios que aparecen en las libretas de direcciones que encuentra en el
ordenador dnde se ha instalado.
2 - Mecanismos basados en RPC (Remote Procedure Call) - El gusano ejecuta
una copia de s mismo en todos los sistemas que aparecen en la tabla de
rutas(rcopy y rexecute).
3 - Mecanismos basados en RLOGIN - El gusano se conecta como usuario en
otros sistemas y una vez en ellos, se copia y ejecuta de un sistema a otro.
Backdoors
Son tambin conocidos como herramientas de administracin remotas ocultas.
Son programas que permiten controlar remotamente el PC infectado.
Generalmente son distribuidos como troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo,
al cual monitorea sin ningn tipo de mensaje o consulta al usuario. Incluso no
se le v en la lista de programas activos. Los Backdoors permiten al autor

tomar total control del PC infectado y de esta forma enviar, recibir archivos,
borrar o modificarlos, mostrarle mensajes al usuario, etc....

Tcnicas de programacin
Apoyados en la capacidad de evolucin dada por sus programadores, los
nuevos virus nacen con el conocimiento de las tcnicas utilizadas por las
herramientas antivirus actuales y sabiendo cuales son sus puntos dbiles. En
base a ello utilizan tcnicas cada vez ms complejas para ocultarse y evitar ser
detectados. Algunos de los mtodos de ocultacin ms utilizados son los
siguientes:
Stealth (Ocultamiento)
El ocultamiento o stealth consiste en esconder los signos visibles de la
infeccin que puedan delatar la presencia del virus en el sistema. Se trata de
evitar todos los sntomas que indican la presencia de un virus.
El signo fundamental de infeccin es no obstante la modificacin del fichero
infectado. Una tcnica de camuflaje usada por un virus residente puede ser la
siguiente:
- Interceptar el servicio de lectura de ficheros.
- Cuando un programa desea analizar un fichero infectado, se le devuelve el
contenido original del mismo antes de la infeccin.
Tunneling (Sobrepasamiento)
El sobrepasamiento o tunneling consiste en acceder directamente a los
servicios del sistema a travs de sus direcciones originales, sin pasar por el
control de otros programas residentes, incluyendo el propio sistema operativo o
cualquier buscador o vacuna residente.
Requiere una programacin compleja, hay que colocar el procesador en modo
paso a paso. En este modo de funcionamiento, tras ejecutarse cada instruccin
se produce la interrupcin 1. Se coloca una ISR (Interrupt Service Routine) para
dicha interrupcin y se ejecutan instrucciones comprobando cada vez si se ha
llegado a donde se quera hasta recorrer toda la cadena de ISRs que halla
colocando el parche al final de la cadena.
Armouring o antidebuggers
Un debugger es un programa que permite descompilar programas ejecutables
y mostrar parte de su cdigo en lenguaje original. Algunos virus utilizan
diversas tcnicas para evitar ser desensamblados y as impedir su anlisis para
la fabricacin del antivirus correspondiente.
Polimorfismo o automutacin

Es una tcnica que consiste en cambiar el mtodo de encriptacin de

generacin en generacin, es decir, que entre distintos ejemplares del mismo
virus no existen coincidencias ni siquiera en la parte del virus que se encarga
del descifrado del resto del virus. Esto obliga a los antivirus a usar tcnicas
heursticas ya que como el virus cambia en cada infeccin es imposible
localizarlo buscndolo por cadenas de cdigo. Esto se consigue utilizando un
algoritmo de encriptacin que pone las cosas muy difciles a los antivirus. No
obstante no se puede codificar todo el cdigo del virus, siempre debe quedar
una parte sin mutar que toma el control y esa es la parte ms vulnerable al
antivirus.
La forma ms utilizada para la codificacin es la operacin lgica XOR. Esto es
debido que esta operacin es reversible
7 XOR 9 = 14
14 XOR 9 = 7
En este caso la clave es el nmero 9, pero utilizando una clave distinta en cada
infeccin se obtiene una codificacin tambin distinta.
Otra forma tambin muy utilizada consiste en sumar un numero fijo a cada
byte del cdigo vrico.
TSR
Los programas residentes en memoria (TSR) permanecen alojados en esta
durante toda su ejecucin.
Los virus utilizan esta tcnica para mantener el control sobre todas las
actividades del sistema y contaminar todo lo que encuentren a su paso. El virus
permanece en memoria mientras la computadora permanezca encendido. Por
eso una de las primeras cosas que hace al llegar a la memoria es contaminar
los archivos de arranque del sistema para asegurarse de que cuando se vuelva
a arrancar la computadora volver a ser cargado en memoria.

Tipos de antivirus de computadora

Los antivirus informticos son aquellos programas por el cual pueden ser
evitados el ingreso de virus a la computadora e incluso que se difundan en la
misma. Los antivirus tiene la capacidad de eliminarlos y reparar los daos
causados.
Los antivirus de las computadoras pueden ser clasificados en:
Antivirus en lnea: en este caso no funcionan como medio de proteccin para
la computadora, si no que son utilizados para averiguar si hay virus en la
misma. Estos sistemas no deben ser instalados ya que se chequea desde

Internet. Estos no actan de manera constante ya que solo se activan cuando

se ingresa a las pginas webs especializadas en ello.
Antivirus de Software: estos antivirus deben ser instalados en la
computadora para que funcionen constantemente. Estos son clasificados en:
1. Antivirus detectores: tambin conocidos bajo el nombre de antivirus
rastreadores, tienen como finalidad encontrar virus a travs de la
exploracin en el sistema. Normalmente se utilizan para hallar a los virus
que se encuentre en el disco duro, en la memoria o en ciertos
programas.
Segn el mtodo que usan estos antivirus para examinar los archivos
pueden ser clasificados en:

Antivirus heurstico: en este caso los antivirus exploran cuando

los programas actan de una manera distinta a la habitual.

Antivirus de patrn: los virus son detectados por su forma

particular de actuar. Es decir que estos son antivirus
especializados para cada uno de los virus de manera individual.

2. Antivirus Residentes: este tipo de sistemas se mantienen

continuamente en la memoria de la computadora para poder reconocer
el virus inmediatamente. El antivirus explora cada uno de los programas
cargados para corroborar que no posean virus. Adems este sistema
descubren los virus que pueden ser hallados en el disco duro, la
memoria o en ciertos programas. Estos tambin pueden ser clasificados
en antivirus heursticos y de patrn.
3. Antivirus Inmunizadores: ms conocidos como protectores, estos
antivirus permiten evitar el ingreso de virus a los programas. Sin
embargo no son los antivirus ms recurridos ya que ocupan demasiado
espacio de la memoria. Esto genera que los programas y la computadora
funcionen de una manera mucho ms lenta.
4. Antivirus Eliminadores: estos virus tambin llamados limpiadores,
entran en accin cuando ya fue desactivado el virus. Es en ese momento
que suprime desde un archivo, programas o del disco a los virus.
Este tipo de antivirus para poder eliminar a la infeccin debe posee la
informacin de cmo debe ser eliminado cada virus de manera
particular.