INTRODUCCIN:

Virus informtica, programa de ordenador que se reproduce a s mismo e interfiere con el hardware de una
computadora o con su sistema operativo (el software bsico que controla la computadora).
Los virus estn diseados para reproducirse y evitar su deteccin. Como cualquier otro programa
informtico, un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde
la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del
virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o
provocar fallos en el sistema operativo.
Existen otros programas informticos nocivos similares a los virus, pero que no cumplen ambos requisitos de
reproducirse y eludir su deteccin. Estos programas se dividen en tres categoras: caballos de Troya, bombas
lgicas y gusanos.
1
COMO SE CLASIFICAN LOS VIRUS?
Aunque en la actualidad casi todos los virus tienen comportamientos complejos e incorporan caractersticas
de varias clases, se podran diferenciar los siguientes tipos de virus:
TROYANOS: su nombre viene del mitologa griega del Caballo de Troya, ya que el virus viene enmascarado
como un archivo aparentemente inofensivo.
VIRUS DE ARRANQUE O BOOTEO: no afectan archivos sino que atacan el sector de arranque de los
diskettes y el disco duro. Como el trgicamente famoso virus Michelangelo.
BOMBAS LOGICAS: permanecen inactivas hasta que se cumple un condicin especial, que puede ser una
combinacin de teclas o una fecha especfica.
VIRUS DE SISTEMA: afectan en primer lugar el archivo intrprete de comandos COMMAND.COM y
posteriormente a otras reas vitales del sistema como son el Sector de Boot o el Master Boot Record (MBR),
otros archivos ejecutables de extensin .
VIRUS DE ARCHIVOS EJECUTABLES: infectan los archivos de programas con extensin COM. y EXE.
Tambin llamados virus parsitos, porque se adosan a los archivos ejecutables y son los ms habituales.
Estos virus al ejecutarse se instalan en memoria y esperan a que el usuario ejecute otro programa utilizando
un evento como un activador para infectar dicho programa.
2
VIRUS DE ARCHIVOS DE DATOS: stos virus infectan los archivos de datos de diferentes extensiones. De
accin menos notable ya que daan los archivos que creamos con las aplicaciones, usando como medio el
programa creador del mismo.
VIRUS DE MACROS O MACROVIRUS: Creados con el lenguaje de programacin que incluyen algunas
utilidades como procesadores de texto o planillas de clculo para ayudar a los usuarios a automatizar ciertas
tareas, creando pequeos programas llamados macros. Un virus de macro es simplemente una macro para
uno de estos programas con un cdigo daino. Cuando un documento o plantilla que contiene la macro
1

infectada se abre en la aplicacin de destino, el virus se ejecuta y causa el dao correspondiente. Adems,
est programado para copiarse a otros documentos, de modo que el uso continuo del programa da como
resultado la distribucin continua del virus.
GUSANOS (WORMS): se duplican a si mismos pero no infectan a otros archivos. Realizan copias hasta
saturar la memoria del sistema. Son de los ms difundidos en la actualidad.
Adems existen los virus polimrficos que se alteran solos cuando se duplican, de modo que el software
antivirus que busca comportamientos especficos no encontrar todas las apariciones de los virus.
3
Virus que existen hoy en da.
1. Anlisis de Virus SIRCAM
DESCRIPCION DEL VIRUS
Alias: SCAM.A, TROJ_SCAM.A , W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam
Descubierto: 17 de julio, 2001
Nivel de riesgo: Alto
Tipo de virus: Gusano (por su accionar) Troyano (por su modo de contagio)
Destructivo: Si
Activacin: Al ejecutarse
Accin: Borra archivos y carpetas del disco. Se auto enva en un archivo adjunto va correo electrnico y
mediante unidades de red compartidas.
Afecta el desempeo del sistema: agrega texto al archivo c:\recycled\sircam.sys en cada arranque.
Idioma: Espaol e Ingls
Plataforma: Windows
Detalles del Virus:
Este gusano llega como un archivo adjunto de un mensaje de correo electrnico. El archivo es elegido al azar
del disco duro del usuario infectado. Puede tener una extensin .LNK, .EXE, o .PIF.
4
El mensaje de un correo infectado es semialeatorio y tiene versiones espaol o ingls:

Asunto: Es aleatorio y por lo general es el nombre del archivo adjunto

Cuerpo de mensaje: Versin en Espaol:

Primera lnea: Hola como estas?
Ultima lnea: Nos vemos pronto, gracias.
Entre estas dos frases, puede aparecer parte del siguiente texto:
Versin en Espaol: Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacin que me pediste
Descripcin de su accionar:

1 Al abrirse el adjunto del correo, copia el gusano los archivos ocultos SCam32.EXE en el directorio System
y SIRC32.EXE en la carpeta C:\Recycled y en la carpeta Temp (por defecto es C:\Windows\Temp)

2 Se autocopia a C:\Recycled\Sirc32.exe y %System%\Scam32.exe. ( por defecto %System% es

C:\Windows\System).

5
3 Modifica el registro del sistema de manera de ejecutarse cada vez que se inicie Windows:
Agrega la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Y como su valor: Driver32 = %System%\scam32.exe
3 Modifica el registro para ejecutarse cada que se corre un archivo .EXE.
El valor de la clave de registro HKEY_CLASSES_ROOT\exefile\shell\open\command es modificado a
C:\recycled\sirc32.exe "%1" %*"
4 Crea una clave en el registro donde almacena datos necesarios para sus actividades:
Crea la clave de registro: HKEY_LOCAL_MACHINE\Software\SirCam
con los siguientes valores:
FB1B Almacena el nombre de archivo del gusano como almacenado en el directorio Reciclado.
FB1BA almacena la direccin SMTP IP.
FB1BB Almacena la direccin de correo electrnico del emisor.
3

 FC0 Almacena el nmero de veces que se ha ejecutado el gusano.

FC1 Almacena lo que parece ser el nmero de versin del gusano.
FD1 Almacena el nombre del archivo del gusano que ha sido ejecutado, sin el sufijo.
5 Busca en la computadora local los archivos que puedan tener direcciones de correo electrnico (como la
Libreta de Direcciones). Toma las direcciones encontradas y se enva adjunto con un archivo elegido
aleatoria mente.

6
6 En una red, verifica las conexiones existentes e infecta las unidades compartidas:
hace una copia de s mismo en la carpeta Recycled como SIRC32.EXE.
agrega al archivo AUTOEXEC.BAT: "@win \recycled\sirc32.exe"
reemplaza c:\windows\rundll32.exe por c:\recycled\sirc32.exe

7 El virus ocasionalmente deja copias de s mismo con otros nombres aparte de SIRC32.EXE, SCAM32.EXE,
o RUNDL32.EXE. Si alguno de stos archivos es ejecutado intenta borrar todos los archivos y carpetas en la
computadora que no estn siendo utilizados.

7
Virus NIMDA
2.NIMDA
Fue descubierto el 18 de Septiembre de 2001. Es un nuevo gusano que utiliza el correo electrnico para auto
propagarse. La amenaza llega como un archivo adjunto llamado readme.exe.
Ataca el servidor Internet Information Server de Microsoft de la misma manera que lo hicieron varios virus
previos, incluyendo el Cdigo Rojo.
Nimda explota una conocida vulnerabilidad del software IIE, que opera sobre los sistemas operativos
Windows NT o Windows 2000 de la misma firma.
Los agujeros de seguridad del IIS, son varios y no son una novedad. Regularmente se lanzan parches para
subsanar esos problemas, pero los responsables de stos no siempre los utilizan. El Nimda y el Cdigo Rojo
atacan fallas de seguridad ya conocidas, y a pesar de eso hicieron y hacen estragos.
Su nombre al revs sera "admin" (por administrador) y parecera ser una burla a los responsables de los
servidores de Internet.
Ataca los servidores Microsoft IIS para tratar de auto propagarse usando una vulnerabilidad que ya ha sido
utilizada por otros virus. Existe un parche de actualizacin de seguridad para evitar ste accionar, pero sigue
4

siendo una constante entre los administradores de los servidores de no actualizar su software.
8
Los servidores infectados pueden desplegar una pgina web que le sugiere al visitante descargar un archivo
de Outlook que contiene el gusano como un archivo adjunto.
DESCRIPCION DEL VIRUS
Alias: W32.Nimda.A@mm, Troj_nimda.a
Descubierto: 18 de setiembre, 2001
Nivel de riesgo: Alto Medio
Tipo de virus: Gusano (por su accionar) Troyano (por su modo de contagio)
Destructivo: Si
Distribucin : Archivo adjunto a un e mail con nombre README.EXE de tamao 57344 bytes.
Activacin: Al visualizar el email (no es necesario ejecutar el adjunto)
Accin: Emailing de gran escala: Utiliza MAPI para auto enviarse como README.EXE
En red abre la unidad C como una porcin de la red compartida. Objetivo de la infeccin: Trata de infectar
servidores IIS no parchados
Idioma: Espaol e Ingls
Plataforma: Windows
9
Mtodo de infeccin
Se activa con slo visualizar un email.
El virus est escrito directamente en cdigo HTML entre cuyas lneas se realiza una llamada a un archivo
adjunto o anexo a un mensaje de correo electrnico (por lo general se llama README.EXE).
Normalmente, cuando se trata de un archivo ejecutable(*) es el sistema quien se encarga de preguntar lo que
se quiere hacer con el mismo: guardarlo en el disco o abrirlo directamente.
* Nota: siempre que el usuario no haya predefinido que este tipo de archivos se abra por defecto.
Esto se realiza debido al tipo de extensin MIME a la que se identifica cada uno de los archivos. Sin embargo
determinados archivos no requieren de la autorizacin del sistema para ejecutarse, como sucede con los
archivos de audio, que se ejecutan directamente.
Este nuevo virus altera el funcionamiento por defecto e identificada el archivo ejecutable adjunto como
archivo de audio.
5

Al realizar la vista previa del mensaje, una lnea de comandos llama a este archivo, dejando que se ejecute
por s solo sin que el usuario pueda impedirlo.
El gusano descarga en el directorio C:\Windows\Temp un correo en el formato email que contiene el
archivo que ser enviado adjunto al mensaje de email.
10
El archivo adjunto comnmente se denomina readme.exe, pero existen tambin variantes con las extensiones
.wav y .com.
El gusano se propaga empleando su propio motor SMTP y las APIS de mensajera, pudindose ejecutar el
troyano al abrirse el mensaje con MS Outlook o Outlook Express con solo realizar la vista previa del
mensaje.
El mensaje no se repite, sino que llega con mensajes distintos en cada caso.
Alguien est protegido?
Los usuarios de Internet Explorer V5.01 o V5.5 (IE 5 con el Service Pack 2 o posterior instalado o IE6 no
son afectados). Se recomienda no abrir el cliente de correo electrnico hasta que el antivirus est actualizado
con la base de datos correspondiente y descargar el parche correspondiente del cliente de correo. >>
Descarga de PARCHES para evitar el contagio...
11
3.Virus W32.Badtrans.B@mm, Badtrans
W32/Badtrans.B es la denominacin de un peligroso gusano que ha empezado a difundirse por correo
electrnico desde el 26 de noviembre, 2001
Se trata de un peligroso gusano capaz de propagarse con gran rapidez, mediante correo electrnico, en un
fichero cuyo nombre es variable (ya que se genera a partir de tres listas diferentes de palabras).
La caracterstica ms importante de W32.Badtrans es que utiliza un agujero de seguridad en el navegador
Internet Explorer (versiones 5.01 y 5.5). La vulnerabilidad consiste en permiter ejecutar, en el cliente de
correo Outlook, un fichero adjunto a un mensaje de correo electrnico mediante la vista previa del mismo. Es
decir, no es necesario abrir el archivo adjunto en forma manual (como el caso del virus Sircam); la ejecucin
es automtica al visualizar el mensaje en vista previa.
Al ejecutarse el W32/Badtrans crea una copia de s mismo en el directorio de sistema de Windows. Adems
instala, en el mismo directorio, un troyano que est diseado para robar datos confidenciales (contraseas,
etc...) del ordenador infectado. Por ltimo, y para asegurar su presencia en el sistema cada vez que este se
reinicia, aade una nueva entrada al registro de Windows.
Para evitar sta nueva plaga informtica se recomienda realizar la actualizacin del software Antivirus que
se este utilizando desde la web correspondiente a la empresa.
12
Para solucionar la vulnerabilidad del navegador Microsoft Internet Explorer que posibilita ste tipo de
ataques, se puede descargar el parche correspondiente, que se encuentra disponible en la direccin:
6

http://www.microsoft.com/technet/security/bulletin/MS01020.asp.
DESCRIPCION DEL VIRUS
Alias: W32.Badtrans.B@mm
Descubierto: Noviembre 24, 2001
Nivel de riesgo: Alto (nivel de contagio)
Tipo de virus: Gusano
Destructivo: S (saturacin)
Distribucin: Archivo adjunto a un email con nombre elegido al azar de una lista de tamao 29,020 bytes
Nombre del archivo adjunto: Card, docs, fun, HAMSTER, Humor, images, info, Me_nude, New_Napster_Site,
news_doc, Pics, README, SETUP, Sorry_about_yesterday, stuff, YOU_are_FAT!
Extensin del archivo adjunto:.doc, .mp3, .zip, .pif ,.scr
Activacin: Al visualizar el email (no es necesario ejecutar el adjunto)
Accin: Emailing de gran escala: Utiliza MAPI para auto enviarse.
Luego agrega el valor: Kernel32 / kernel32.exe al registro de windows:
13
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunOnce
Idioma: Ingls
Plataforma: Windows
Remocin del virus: http://securityresponse.symantec.com/avcenter/FixBadtr.exe
(sitio de la empresa Symantec)

14
4.Virus W32.Klez.E@mm
Descubierto en Enero del 2002, el virus W32.Klez.E@mm es un gusano que enva email en forma masiva y
se copia en los recursos compartidos de la red. Utiliza mensajes aleatorios, tanto en el asunto, en el cuerpo
del mismo y en el archivo adjunto con el que se distribuye.
7

El virus explota una vulnerabilidad del Microsoft Outlook y del Outlook Express, que le posibilita auto
ejecutarse con solo realizar la vista previa del mensaje (como lo hace el virus Nimda). Sobre escribe archivos
para ocultarse y deshabilita algunos antivirus residentes.
Se puede obtener ms informacin sobre sta vulnerabilidad en
http://www.microsoft.com/technet/security/bulletin/MS01020.asp
Se puede descargar el parche de Microsoft para resolver este problema:
http://www.microsoft.com/technet/security/bulletin/MS01027.asp.
DESCRIPCION DEL VIRUS
Alias: W32/Klez@mm
Descubierto: Enero del 2002
Nivel de riesgo: medio
Tipo de virus: Gusano.
Distribucin:masiva por email asunto, mensaje y archivo adjunto son aleatorios.
Archivo adjunto con extensin: .bat, .exe, .pif o .scr
Activacin: con slo visualizar el email
Accin: Emailing de gran escala utilizando una rutina propia para auto enviarse. Puede impedir el correcto
arranque de la computadora infectado y sobre escribe archivos ejecutables, quedando stos inservibles
15
Idioma: ingls
Plataforma: Windows
Caractersticas del email
Asunto (utiliza alguno de sta lista)
How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey

Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures
Mensaje: es aleatorio pero puede estar vaco
Archivo adjunto tiene extensin .PIF, .SCR, .EXE o .BAT.
16
Descripcin de su Accionar
W32/KlezE trata de deshabilitar el software antivirus que se encuentre residente en memoria, eliminando
algunos archivos vitales de los mismos. Adems trata de eliminar los archivos utilizados por los antivirus
para almacenar el estado correcto de los archivos del sistema para detectar modificaciones. Como por
ejemplo: ANTIVIR.DAT, CHKLIST.DAT, CHKLIST.MS, CHKLIST.CPS, CHKLIST.TAV, IVB.NTZ, SMART
CHK.MS, SMARTCHK.CPS, AVGQT.DAT, AGUARD.DAT (dependiendo del software instalado).
Sobrescribe archivos aleatoria mente de varias extensiones: TXT, HTM, HTML, WAB, DOC, XLS, JPG, C,
PAS, MPG, MPEG, BAK,MP3.
Si est disponible una red, hace copias de si mismo en los recursos compartidos usando nombre aleatorios.
Se copia en el directorio Windows System con un nombre aleatorio y modifica el registro de Windows
agregando la siguiente clave (*):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\XX donde "XX" es el nombre
elegido al azar del archivo que lo contiene; de sta manera se asegura su ejecucin automtica al iniciar
9

Windows.
Tambin puede optar por crear la entrada:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinkXX
siendo "XX" caracteres aleatorios.
17
TIPOS DE VIRUS
3b Trojan (alias PKZIP Virus).
AOL4Free Virus Hoax.
Baby New Year Virus Hoax.
BUDDYLST.ZIP
BUDSAVER.EXE
Budweiser Hoax
Death69
Deeyenda
EFlu
FatCat Virus Hoax
Free Money
Get More Money Hoax
Ghost
Good Times
Hacky Birthday Virus Hoax
Hairy Palms Virus Hoax
Irina
Join the Crew
Londhouse Virus Hoax
Microsoft Virus Hoax
Millenium Time Bomb
Penpal Greetings
Red Alert
Returned or Unable to Deliver
Teletubbies
Time Bomb
Very Cool
Win a Holiday
World Domination Hoax
Yellow Teletubbies
18
A.I.D.S. hoax email virus
AltaVista virus scare
AOL riot hoax email
ASP virus hoax
Back Orifice Trojan horse
Bill Gates hoax
Bloat, see MPEG virus hoax
Budweiser frogs screensaver scare
10

 Good Times hoax email virus

Irina hoax virus
Java virus scare
Join the Crew hoax email virus
'Millennium' virus misunderstanding
MPEG virus hoax
'My clock says 2097/2098' virus misunderstanding
New virus debug device hoax email virus with attached Trojan horse
Open: Very Cool, see A.I.D.S. hoax email virus
Penpal Greetings, see Good Times hoax email virus
PKZ300 Trojan virus scare
Returned or Unable to Deliver hoax email virus
Walt Disney greeting, see Bill Gates hoax
Win a Holiday hoax email virus
Windows '98 MS Warning.
19
5. PING PONG:
Este virus fue el primero en hacer explosin en Argentina. Fue descubierto en marzo de 1988 y en poco
tiempo estuvo en nuestro pas, en donde se convirti rpidamente en epidemia.
La falta de conocimiento sobre los virus ayud a que se diseminara ampliamente y fuera incontrolable en un
principio. En centros universitarios como la Facultad de Ciencias Exactas de la UBA o la Facultad de
Informtica de la Universidad de Morn era difcil encontrar un disco sin infectar.

Ese mismo desconocimiento llev a que pasara bastante tiempo hasta que se empezaran a tomar medidas.
Slo despus de algunos meses, en revistas especializadas en informtica, empezaron a publicarse formas de
desinfectar los discos, y como consecuencia de ello se aplicaron polticas de seguridad en las universidades.
Lo positivo de esto fue que la gente comenzara a conocer el D.O.S. ms profundamente, por ejemplo el boot
sector: qu es y para qu sirve, ya que las mquinas eran utilizadas pero pocos saban cmo funcionaban
realmente.
Como tena un sntoma muy evidente (una pelotita que rebotaba), se pens que todos los virus deban ser
visibles, pero los siguientes fueron ms subrepticios, y se limitaban a reproducirse o destruir sin avisar al
usuario.
20
El Ping Pong original no poda infectar discos rgidos, pero la versin que se populariz en el pas fue la B,
que s poda hacerlo. Se cre una variante en Argentina, que probablemente fue la primera variante de virus
originada en el pas, el Ping Pong C, que no mostraba la pelotita en la pantalla. Este virus est extinto en
este momento ya que slo poda funcionar en mquinas con procesador 8088 8086, porque ejecutaba una
instruccin no documentada en estos e incorrecta en los modelos siguientes.
21
6.AVISPA:
11

Escrito en Noviembre de 1993 que en muy poco tiempo se convirti en epidemia. Infecta archivos .EXE
Al ejecutarse, si no se encontraba ya residente en memoria, intenta infectar los archivos XCOPY, MEM,
SETVER y EMM386 para maximizar sus posibilidades de reproduccin, ya que estos archivos son de los ms
frecuentemente utilizados.
Este virus est encriptado siempre con una clave distinta (polimrfico), para dificultar su deteccin por
medio de antivirus heursticos.
7.MENEM TOCOTO:
Esta adaptacin del virus Michelangelo apareci en 1994. En los disquetes se aloja en el boot sector, y en los
discos rgidos en la tabla de particiones. Es extremadamente sencillo y, por ende, fcil de detectar.
22
8.CAMOUFLAGE II:
Aparecido por primera vez en 1993. Infecta el boot sector de los disquetes ubicados en la unidad A y la tabla
de particin de los discos rgidos. Es bastante simple y fcil de ser detectado.
9.LEPROSO:
Creado en 1993, en Rosario, provincia de Santa F. Se activa el da 12 de Enero (cumpleaos del autor), y
hace aparecer un mensaje que dice: "Felicitaciones, su mquina est infectada por el virus leproso creado
por J. P.. Hoy es mi cumpleaos y lo voy a festejar formateando su rgido. Bye... (Vamos Newell's que con
Diego somos campeones)."
10.PINDONGA:
Virus polimrfico residente en memoria que se activa los das 25 de febrero, 21 de marzo, 27 de agosto y 16
de septiembre, cuando ataca, borra toda la informacin contenida en el disco rgido.

23
10.TEDY:
Es el primer virus argentino interactivo. Apareci hace poco tiempo. Infecta archivos con extensin .EXE, y
se caracteriza por hacer una serie de preguntas al usuario.
Una vez activado, una pantalla muestra:
TEDY, el primer virus interactivo de la computacin!
Responda el siguiente cuestionario:
Los programas que Ud. utiliza son originales? (s/n)
Los de Microsoft son unos ladrones? (s/n)
Si se responde afirmativamente a la primer pregunta, el virus contestar: 5 archivos menos por mentiroso
12

En caso contrario:
2 archivos menos por ladrn
En cuanto a la segunda pregunta, el nico mensaje que se ha visto es:
Te doy otra oportunidad para responder bien.
Con este virus, los archivos infectados aumentan su tamao en 4310 bytes.
24
11. El Virus Melissa
Recientemente circul en Internet la noticia de este virus que se propaga mediante un archivo de Word anexo
a un mensaje de correo electrnico. Se trata de un tpico virus que infecta documentos con "Macros", pero
que tiene la caracterstica de que al abrirse el archivo infectado, el virus se copia en hasta 50 documentos
que son enviados como anexos en otros tantos correos que se transmiten utilizando el paquete de correo
Outlook de Microsoft (en caso de que la mquina infectada cuente con l). As mismo, el virus deshabilita los
mecanismos de proteccin de Word.
El virus tambin infectar otros documentos, an y cuando el usuario no cuente con el programa Outlook, los
cuales podran ser enviados por correo en forma inadvertida por el usuario.
Las direcciones para enviar los correos las obtiene el virus de la libreta de direcciones del Usuario, y los
mensajes se envan de parte de ste (informacin que obtiene de la configuracin de Word), por lo que los
receptores pueden ser engaados acerca de su procedencia. El mensaje de correo que enva lleva el siguiente
encabezado: "Important message from" Nombre del Usuario (Mensaje importante de Nombre del Usuario) y
el texto del mensaje dice lo siguiente: "Here is the document you asked for....don't show anyone else ;)"
(Este es el documento que pediste....no se lo ensees a nadie ms ;)).
Recuerde que el virus no entrar en accin mientras no abra el documento anexo; el mensaje de correo en s
mismo es inofensivo. Si llega a recibir este correo simplemente borre totalmente el archivo anexo (incluso de
la bandeja de documentos borrados), avsele al remitente y por precaucin revise su maquina con un
antivirus actualizado.
25
VI. Historia
En 1949, el matemtico estadounidense de origen hngaro John von Neumann, en el Instituto de Estudios
Avanzados de Princeton (Nueva Jersey), plante la posibilidad terica de que un programa informtico se
reprodujera. Esta teora se comprob experimentalmente en la dcada de 1950 en los Laboratorios Bell,
donde se desarroll un juego llamado Core Wars en el que los jugadores creaban minsculos programas
informticos que atacaban y borraban el sistema del oponente e intentaban propagarse a travs de l. En
1983, el ingeniero elctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acu el
trmino de "virus" para describir un programa informtico que se reproduce a s mismo. En 1985
aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de grficos llamado
EGABTR y un juego llamado NUKELA. Pronto les sigui un sinnmero de virus cada vez ms complejos. El
virus llamado Brain apareci en 1986, y en 1987 se haba extendido por todo el mundo. En 1988 aparecieron
dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruz
Estados Unidos de un da para otro a travs de una red informtica. El virus Dark Avenger, el primer
13

infector rpido, apareci en 1989, seguido por el primer virus polimrfico en 1990. En 1995 se cre el primer
virus de lenguaje de macros, WinWord Concept.
Un virus informtico es un pequeo programa cuyo objetivo es provocar daos o alteraciones en los
archivos o en reas fundamentales de un sistema. Al igual que sus parientes biolgicos, se autoreproducen
e infectan a un receptor desde un transmisor. Este contagio puede ser provocado intencionalmente o sin el
consentimiento del transmisor.

26

UN POCO DE HISTORIA...
El primer virus fue creado como parte de una tesis doctoral de un ingeniero electrnico. Luego una
competencia de estudiantes cuyo objetivo fue crear un programa que consumiera la memoria del computador
para convertirse en el ganador, tambin crearon nuevos programas del tipo virus.
En la dcada de los 80' y hasta mediados de los 90' los virus se propagaban por medio de los disquete, ya que
era la forma de intercambiar informacin. Los virus de arranque como el Michelangelo, que apareci en en
Asia en 1991, infectaban las computadoras mediante la lectura de un disquete infectado. El Michelangelo
tard 2 aos en llegar a Amrica.
En la actualidad Internet se ha convertido en la autopista de la informacin y en el principal medio de
propagacin de la nueva generacin de virus.
En 1999 en virus Melissa provoc prdidas por ms de 80 millones de dlares y en el 2000 el famoso virus I
Love You, afect a miles de computadoras en todo el mundo, provocando prdidas por ms de 15 mil
millones de dlares. su difusin fue masiva gracias a Internet y el correo electrnico.
En el 2001, el virus Kournikova tard slo dos horas para dar la vuelta al mundo por medio del correo
electrnico.
Con el auge de Internet los virus a progagarse a velocidades increibles, siendo el correo electrnico la forma
ms utilizada para propagar virus.
Miles de archivos infectados con virus viajan a travs de Internet en todo momento, principalmente por
emails dentro de los archivos adjuntos o anexados (attached).
27
Mientras que para un usuario de Pc domstico, una infeccin infeccin puede causarle desde un dolor de
cabeza hasta perder la informacin de su Pc; para las grandes empresas y organismos estatales, el ataque de
un virus puede causar prdidas millonarias.
Tcticas antivricas
A. Preparacin y prevencin
Los usuarios pueden prepararse frente a una infeccin viral creando regularmente copias de seguridad del
14

software original legtimo y de los ficheros de datos, para poder recuperar el sistema informtico en caso
necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra
escritura, para que ningn virus pueda sobreescribir el disco. Las infecciones virales pueden prevenirse
obteniendo los programas de fuentes legtimas, empleando una computadora en cuarentena para probar los
nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible.
B. Deteccin de virus
Para detectar la presencia de un virus pueden emplearse varios tipos de programas antivricos. Los
programas de rastreo pueden reconocer las caractersticas del cdigo informtico de un virus y buscar estas
caractersticas en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando
aparecen, los programas de rastreo deben ser actualizados peridicamente para resultar eficaces.
28
Algunos programas de rastreo buscan caractersticas habituales de los programas virales; suelen ser menos
fiables.
Los nicos programas que detectan todos los virus son los de comprobacin de suma, que emplean clculos
matemticos para comparar el estado de los programas ejecutables antes y despus de ejecutarse. Si la suma
de comprobacin no cambia, el sistema no est infectado. Los programas de comprobacin de suma, sin
embargo, slo pueden detectar una infeccin despus de que se produzca.
Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobreescritura de ficheros
informticos o el formateo del disco duro de la computadora. Los programas caparazones de integridad
establecen capas por las que debe pasar cualquier orden de ejecucin de un programa. Dentro del caparazn
de integridad se efecta automticamente una comprobacin de suma, y si se detectan programas infectados
no se permite que se ejecuten.
C. Contencin y recuperacin
Una vez detectada una infeccin viral, sta puede contenerse aislando inmediatamente los ordenadores de la
red, deteniendo el intercambio de ficheros y empleando slo discos protegidos contra escritura. Para que un
sistema informtico se recupere de una infeccin viral, primero hay que eliminar el virus. Algunos programas
antivirus intentan eliminar los virus detectados, pero a veces los resultados no son satisfactorios.
29
Se obtienen resultados ms fiables desconectando la computadora infectada, arrancndola de nuevo desde un
disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyndolos por copias de
seguridad de ficheros legtimos y borrando los virus que pueda haber en el sector de arranque inicial.
V. Estrategias virales
Los autores de un virus cuentan con varias estrategias para escapar de los programas antivirus y propagar
sus creaciones con ms eficacia. Los llamados virus polimrficos efectan variaciones en las copias de s
mismos para evitar su deteccin por los programas de rastreo. Los virus sigilosos se ocultan del sistema
operativo cuando ste comprueba el lugar en que reside el virus, simulando los resultados que
proporcionara un sistema no infectado. Los virus llamados infectores rpidos no slo infectan los programas
que se ejecutan sino tambin los que simplemente se abren. Esto hace que la ejecucin de programas de
rastreo antivrico en un ordenador infectado por este tipo de virus pueda llevar a la infeccin de todos los
programas del ordenador. Los virus llamados infectores lentos infectan los archivos slo cuando se
15

modifican, por lo que los programas de comprobacin de suma interpretan que el cambio de suma es
legtimo. Los llamados infectores escasos slo infectan en algunas ocasiones: por ejemplo, pueden infectar un
programa de cada 10 que se ejecutan. Esta estrategia hace ms difcil detectar el virus.
30
DAOS QUE OCACIONAN
Salvo los cdigos que expertos denominan JOKER a los virus que slo son burlas o chistes, los virus por lo
general slo tienen una finalidad: provocar daos o alteraciones en los sistemas.
Los otros objetivos comunes de los virus:
reas vitales del sistema: la memoria, el sector de arranque (boot sector), la Tabla de Particiones o el
sector absoluto del disco llamado Master Boot Record (MBR).
archivos ejecutables de aplicaciones: con extensin .EXE o .COM, y se podran incluir las libreras de
windows .DLL
archivos de datos: son los que crea el usuario usando las aplicaciones.
Dependiendo del tipo de virus, un software antivirus puede reparar y reconstruir los archivos y reas
afectadas del sistema. Algunos virus por su accionar no pueden ser removidos de los archivos infectados o
sus daos no pueden recuperarse.
31
Ciclo de Vida de un Virus
Los virus informticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son
erradicados completamente. El siguiente resumen describe cada etapa:
Creacin: hasta unos aos atrs, crear un virus requera del conocimiento del lenguaje de programacin
assembler. Hoy en da, cualquiera con un poco de conocimiento en programacin puede crear un virus.
Generalmente, los creadores de los virus, son personas maliciosas que desean causar dao a las
computadoras.
Gestacin: Luego de que el virus es creado, el programador hace copias asegurndose de que se diseminen.
Generalmente esto se logra infectando un programa popular y luego envindolo a algn BBS o distribuyendo
copias en oficinas, colegios u otras organizaciones.
Reproduccin: Los virus se reproducen naturalmente. Un virus bien diseado se reproducir por un largo
tiempo antes de activarse, lo cual permite que se disemine por todos lados.
Activacin: Los virus que contienen rutinas dainas, se activarn bajo ciertas condiciones, por ejemplo, en
determinada fecha o cuando el usuario haga algo determinado. Los virus sin rutina daina no se activan,
pero causan dao al robar espacio en el disco.
Descubrimiento: Esta fase por lo general viene despus de la activacin. Cuando se detecta y se asla un
virus, se enva al International Security Association en Washington D.C, para ser documentado y distribuido
a los encargados de desarrollar los productos antivirus. El descubrimiento, normalmente ocurre por lo
menos un ao antes de que el virus se convierta en una amenaza para la comunidad informtica.
16

Asimilacin: En este punto, quienes desarrollan los productos antivirus, modifican su programa para que
ste pueda detectar los nuevos virus. Esto puede tomar de un da a seis meses, dependiendo de quien lo
desarrolle y el tipo de virus.
32
Erradicacin: Si suficiente cantidad de usuarios instalan una proteccin antivirus actualizada, puede
erradicarse cualquier virus. Hasta ahora, ningn virus ha desaparecido completamente, pero algunos han
dejado de ser una amenaza.
DAOS DE LOS VIRUS.
Definiremos dao como accin una indeseada, y los clasificaremos segn la cantidad de tiempo necesaria
para reparar dichos daos. Existen seis categoras de daos hechos por los virus, de acuerdo a la gravedad.
DAOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da 18 de cada mes cualquier
tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.
DAOS MENORES.
Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los viernes 13, todos los
programas que uno trate de usar despus de que el virus haya infectado la memoria residente. En el peor de
los casos, tendremos que reinstalar los programas perdidos. Esto nos llevar alrededor de 30 minutos.
33
c.DAOS MODERADOS.
Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT (File Allocation Table, Tabla
de Ubicacin de Archivos), o sobreescribe el disco rgido. En este caso, sabremos inmediatamente qu es lo
que est sucediendo, y podremos reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizs nos
lleve una hora.
DAOS MAYORES.
Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasar desapercibidos, pueden
lograr que ni an restaurando un backup volvamos al ltimo estado de los datos. Un ejemplo de esto es el
virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realiz. Cuando este
contador llega a 16, elige un sector del disco al azar y en l escribe la frase: "Eddie lives somewhere in
time" (Eddie vive en algn lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el da en que detectemos la
presencia del virus y queramos restaurar el ltimo backup notaremos que tambin l contiene sectores con la
frase, y tambin los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muy probablemente hayamos
perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.
34

17

d.DAOS SEVEROS.
Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales y progresivos. No
sabemos cundo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del
DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ...).

DAOS ILIMITADOS.
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del
administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el
caso de CHEEBA, crea un nuevo usuario con los privilegios mximos, fijando el nombre del usuario y la
clave. El dao es entonces realizado por la tercera persona, quien ingresar al sistema y hara lo que
quisiera.
35
II. Cmo se producen las infecciones
Los virus informticos se difunden cuando las instrucciones o cdigo ejecutable que hacen funcionar los
programas pasan de un ordenador a otro. Una vez que un virus est activado, puede reproducirse copindose
en discos flexibles, en el disco duro, en programas informticos legtimos o a travs de redes informticas.
Estas infecciones son mucho ms frecuentes en PC que en sistemas profesionales de grandes computadoras,
porque los programas de los PC se intercambian fundamentalmente a travs de discos flexibles o de redes
informticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas activas slo cuando se ejecutan. Por eso, si un
ordenador est simplemente conectado a una red informtica infectada o se limita a cargar un programa
infectado, no se infectar necesariamente. Normalmente, un usuario no ejecuta conscientemente un cdigo
informtico potencialmente nocivo; sin embargo, los virus engaan frecuentemente al sistema operativo de la
computadora o al usuario informtico para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas legtimos. Esta adhesin puede producirse
cuando se crea, abre o modifica el programa legtimo. Cuando se ejecuta dicho programa, lo mismo ocurre
con el virus. Los virus tambin pueden residir en las partes del disco duro o flexible que cargan y ejecutan el
sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automticamente. En
las redes informticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema.
36
SNTOMAS TPICOS DE UNA INFECCIN.
El sistema operativo o un programa toma mucho tiempo en cargar sin razn aparente.
El tamao del programa cambia sin razn aparente.
El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente as.
Si se corre el CHKDSK no muestra "655360 bytes available".
En Windows aparece "32 bit error".
18

 La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya
protectores de pantalla activados. (Se debe tomar este sntoma con mucho cuidado, porque no
siempre es as).
No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.
Aparecen archivos de la nada o con nombres y extensiones extraas.
Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido).
Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en
DOS).
En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre.
Introduce un Big Mac en el Drive A".
En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas,
una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows '98 (No puedo
evitarlo, es mas fuerte que yo...!!).
Una infeccin se soluciona con las llamadas "vacunas" (que impiden la infeccin) o con los remedios que
desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados. Hay cierto tipo de virus
que no son desactivables ni removibles, por lo que se debe destruir el archivo infectado.
37
SOFTWARE DE PROTECCION
Para aquellos usuarios que estn conectados siempre a Internet como en cable mdem, que tienen un IP fijo
(que es la direccin nica de una computadora en Internet), son los que tienen mayor posibilidad de acceso
remoto por intrusos.
Las conexiones mediante modem (Dial Up telefnico), no son tan propensas a intrusos ya que stas
direcciones se van renovando con cada coneccin. An as cada vez que estamos conectados a Internet,
estamos vulnerables a ataques de terceros.
Para proteger los sistemas de computacin de accesos de extraos existen programas denominados Firewalls
(murallas de fuego). Su funcin es crear una barrera para evitar la intromisin en la Pc o la red sin
consentimiento.
Los firewalls brindan seguridad haciendo que los puertos (los canales por el que los datos van y vienen por la
red) sean invisibles. Algunos firewalls poseen ms cualidades que otros, definen reglas especficas para cada
puerto y tambin actan sobre ciertas aplicaciones. Ellos monitorean todos los datos que circulan por la
conexin de la mquina a Internet, asegurando que la mquina acepta trfico que el mismo firewall aprueba.
38
ALGUNOS ANTIVIRUS.
DR. SOLOMON'S ANTIVIRUS TOOLKIT.
Certificado por la NCSA. Detecta ms de 6.500 virus gracias a su propio lenguaje de deteccin llamado
VirTran, con una velocidad de deteccin entre 3 y 5 veces mayor que los antivirus tradicionales.
Uno de los ltimos desarrollos de S&S es la tecnologa G. D. E. (Generic Decription Engine, Motor de
Desencriptacin Genrica) que permite detectar virus polimrficos sin importar el algoritmo de encriptacin
utilizado.

19

Permite detectar modificaciones producidas tanto en archivos como en la tabla de particin del disco rgido.
Para ello utiliza Checksumms Criptogrficos lo cual, sumado a una clave personal de cada usuario, hace
casi imposible que el virus pueda descubrir la clave de encriptacin.
Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en sectores de buteo y
tablas de particin la proteccin es genrica, es decir, independiente del virus encontrado.
Otras caractersticas que presenta este antivirus, son:
Ocupa 9K de memoria extendida o expandida.
Documentacin amplia y detallada en espaol y una enciclopedia sobre los virus ms importantes.
Actualizaciones mensuales o trimestrales de software y manuales.
Trabaja como residente bajo Windows.
A. H. A. (Advanced Heuristic Analysis, Anlisis Heurstico Avanzado).
39
NORTON ANTIVIRUS.
Certificado por la NCSA. Posee una proteccin automtica en segundo plano. Detiene prcticamente todos
los virus conocidos y desconocidos (a travs de una tecnologa propia denominada NOVI, que implica
control de las actividades tpicas de un virus, protegiendo la integridad del sistema), antes de que causen
algn dao o prdida de informacin, con una amplia lnea de defensa, que combina bsqueda, deteccin de
virus e inoculacin (se denomina 'inoculacin' al mtodo por el cual este antivirus toma las caractersticas
principales de los sectores de booteo y archivos para luego chequear su integridad. Cada vez que se detecta
un cambio en dichas reas, NAV avisa al usuario y provee las opciones de Reparar Volver a usar la
imagen guardada Continuar No realiza cambios Inocular Actualizar la imagen.
Utiliza diagnsticos propios para prevenir infecciones de sus propios archivos y de archivos comprimidos.
El escaneo puede ser lanzado manualmente o automticamente a travs de la planificacin de fecha y hora.
Tambin permite reparar los archivos infectados por virus desconocidos. Incluye informacin sobre muchos
de los virus que detecta y permite establecer una contrasea para aumentar as la seguridad.
La lista de virus conocidos puede ser actualizada peridicamente (sin cargo) a travs de servicios en lnea
como Internet, Amrica On Line, Compuserve, The Microsoft Network o el BBS propio de Symantec, entre
otros.
40
VIRUSSCAN.
Este antivirus de McAfee Associates es uno de los ms famosos. Trabaja por el sistema de scanning descripto
anteriormente, y es el mejor en su estilo.
Para escanear, hace uso de dos tcnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de
Cdigo) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Cdigo).
Una de las principales ventajas de este antivirus es que la actualizacin de los archivos de bases de datos de
strings es muy fcil de realizar, lo cual, sumado a su condicin de programa shareware, lo pone al alcance
de cualquier usuario. Es bastante flexible en cuanto a la configuracin de cmo detectar, reportar y eliminar
virus.
20

41
CONCLUSION.
En razn de lo expresado pueden extraerse algunos conceptos que pueden considerarse necesarios para tener
en cuenta en materia de virus informticos:
No todo lo que afecte el normal funcionamiento de una computadora es un virus.
TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
Es imprescindible contar con herramientas de deteccin y desinfeccin.
NINGN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras debera
tratar de implementar estrategias de seguridad antivirus, no slo para proteger su propia
informacin sino para no convertirse en un agente de dispersin de algo que puede producir daos
graves e indiscriminados.
42
BIBLIOGRAFIA:
*Enciclopedia multimedia encarta
* Buscadores:
Google.com
Yahoo.com
Openchile.cl
Icarito.cl
43
INDICE:
Introduccin 1
Como se clasifican los virus 2,3
Analisis del virus SIRCAM 4,5,6,7
Analisis del virus NIMDA 8 y 9
Metodo de infeccion del virus NIMDA 10 y 11
Virus W32. BADTRASNS.B@MM 12,13,14
Virus W32.KLEZ.E@MM 15,16,17
Tipos de virus 18,19

21

Virus Ping Pong 20,21

Virus Avispa y Menem Tocoto 22
Virus Camouflage II , leproso, pindonga 23
Virus Tedy 24
Virus Melissa 25
Historia del Virus 26,27
Tacticas Antivricas 28,29
Estrategias Virales 30
Daos que ocacionan 31
Ciclo de vida de un virus 32
Tipos de daos 33,34,35
Como se producen las infecciones 36
Sntomas tipicois de una infeccion 37
Software de proteccion 38
DR. Solomon`s y antivirus Toolkit 39
Norton Antivirus 40
Virusscan 41
Conclusin 42
Bibliografa 43

22