Está en la página 1de 18

Curso : Computación

Tema : Virus Informático

Profesora : Mercedes Méndez Rojas

Nombre : Zavaleta Chichipe Joseph


Terrones Monzón
Javier

Grado : 3°

Sección : “B”

1. Introducción
El presente trabajo tiene como objetivo mostrar como atacan los virus a las computadoras
y como afectan a las empresas como se puede combatir y prevenir ante los virus con
soluciones conocidas como son los antivirus.
Debemos saber que los virus están en constante evolución como los virus que afectan a
los humanos cada vez son mas fuertes y mas invulnerables a los ataques de los antivirus y
afectan a empresarios de una manera muy grande, los creadores de dicho virus son los
hackers ya que ellos manipulan donde deben atacar sus programas ya que estos son solo
programas que atacan el sistema.
Las computadoras presentan varios síntomas después de que son infectadas como que
son lentas o manejan mensajes de burla hacia el usuario e inutiliza el sistema ya sea de
una manera parcial o totalmente.
HISTORIA DEL LOS VIRUS
Hasta los años 80, el término "virus" se empleaba solo dentro del campo de las ciencias
médicas y biológicas para definir a microorganismos capaces de penetrar en el ser
humano y destruir o alterar el contenido genético celular provocando cuadros patológicos
específicos. Por similitudes en su modo de acción y efectos, en informática se bautizó
como virus a ciertos programas que pueden auto reproducirse, "transmitirse" de una
ordenador a otra, y desencadenar daños a la información contenida en ella (software) e
incluso al mismo equipo (hardware).
A continuación se mostrara lo orígenes de los virus y de que tiempo data.
1949: Se da el primer indicio de definición de virus. John Von Neumann (considerado el
Julio Verne de la informática), expone su "Teoría y organización de un autómata
complicado". Nadie podía sospechar de la repercusión de dicho artículo.
1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o
guerra de núcleos de ferrita. Consistía en una batalla entre los códigos de dos
programadores, en la que cada jugador desarrollaba un programa cuya misión era la de
acaparar la máxima memoria posible mediante la reproducción de si mismo.
1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY
CREEPER...ATRAPAME SI PUEDES!". Ese mismo año es creado su antídoto: el antivirus
Reaper cuya misión era buscar y destruir al Creeper.
1974: El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de
ejecución del ASP de IBM lo que causaba un bloqueo del sistema.
1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio.
La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de
23 años aunque según él fue un accidente.
1983: El juego Core Wars, con adeptos en el MIT, salio a la luz publica en un discurso de
Ken Thompson. Dewdney explica los términos de este juego. Ese mismo año aparece el
término virus tal como lo entendemos hoy.
1985: Dewdney intenta enmendar su error publicando otro artículo "Juegos de
Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la
memoria de los ordenadores".
1987: Se da el primer caso de contagio masivo de computadoras a través del MacMag
Virus también llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado
por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron
en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de
Aldus Corporation, se llevó el disco a Chicago y contaminó la computadora en el que
realizaba pruebas con el nuevo software Aldus Freehand. El virus contaminó el disco
maestro que fue enviado a la empresa fabricante que comercializó su producto infectado
por el virus.
Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la Universidad
Hebrea de Jerusalén.
1988: El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistan aparece en
Estados Unidos.
VIRUS INFORMÁTICOS
Definiciones hay muchas, así como preguntas sin respuesta, vamos a conocer alguna de
las características de este agente:
○ Son programas de computadora.
○ Su principal cualidad es la de poder auto - rreplicarse.
○ Intentan ocultar su presencia hasta el momento de la explosión.
○ Producen efectos dañinos en el "huésped".

Las últimas tres son aplicables a los virus biológicos. Como el cuerpo humano, la
computadora puede ser atacada por agentes infecciosos capaces de alterar su correcto
funcionamiento o incluso provocar daños irreparables en ciertas ocasiones.
Un virus es un agente peligroso que hay que manejar con sumo cuidado.
Un virus informático es un programa de computadora, tal y como podría ser un
procesador de textos, una hoja de cálculo o un juego; siendo todos estos típicos
programas que casi todo el mundo tiene instalados en sus computadoras.
El virus informático ocupa poco espacio en el disco de la computadora; tengamos presente
que su tamaño es vital para poder pasar desapercibido y no ser detectado si no hasta
después que todo este infectado, lo que pudiera general el borrado general del disco duro,
de archivos, sin olvidar todo el daño que ha estado causando durante su estadía en
nuestro computador; por que tiene por característica auto rreplicarse y ejecutarse sin
conocimiento del usuario, lo que quiere decir que infecta a los archivos haciendo copias de
si mismo. Se podría decir que los virus informáticos son una especie de burla
tecnológica.
Clasificación de los virus
La clasificación correcta de los virus siempre resulta variada según a quien se le pregunte.
Podemos agruparlos por la entidad que parasitan (sectores de arranque o archivos
ejecutables), por su grado de dispersión a nivel mundial, por su comportamiento, por su
agresividad, por sus técnicas de ataque o por como se oculta, etc. Nuestra clasificación
muestra como actúa cada uno de los diferentes tipos según su comportamiento. En
algunos casos un virus puede incluirse en más de un tipo (un multipartito resulta ser
sigiloso).
Caballos de Troya
Los caballos de troya no llegan a ser realmente virus porque no tienen la capacidad de
autoreproducirse. Se esconden dentro del código de archivos ejecutables y no ejecutables
pasando inadvertidos por los controles de muchos antivirus. Posee subrutinas que
permitirán que se ejecute en el momento oportuno. Existen diferentes caballos de troya
que se centrarán en distintos puntos de ataque. Su objetivo será el de robar las
contraseñas que el usuario tenga en sus archivos o las contraseñas para el acceso a
redes, incluyendo a Internet. Después de que el virus obtenga la contraseña que deseaba,
la enviará por correo electrónico a la dirección que tenga registrada como la de la persona
que lo envió a realizar esa tarea. Hoy en día se usan estos métodos para el robo de
contraseñas para el acceso a Internet de usuarios hogareños. Un caballo de troya que
infecta la red de una empresa representa un gran riesgo para la seguridad, ya que está
facilitando enormemente el acceso de los intrusos. Muchos caballos de troya utilizados
para espionaje industrial están programados para autodestruirse una vez que cumplan el
objetivo para el que fueron programados, destruyendo toda la evidencia.
Camaleones
Son una variedad de similar a los Caballos de Troya, pero actúan como otros programas
comerciales, en los que el usuario confía, mientras que en realidad están haciendo algún
tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar
todas las funciones de los programas legítimos a los que sustituyen (actúan como
programas de demostración de productos, los cuales son simulaciones de programas
reales). Un software camaleón podría, por ejemplo, emular un programa de acceso a
sistemas remotos (rlogin, telnet) realizando todas las acciones que ellos realizan, pero
como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los
diferentes logins y passwords para que posteriormente puedan ser recuperados y
utilizados ilegalmente por el creador del virus camaleón.
Virus polimorfos o mutantes
Los virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que no
pueda ser detectado fácilmente por un antivirus. Solo deja disponibles unas cuantas
rutinas que se encargaran de desencriptar el virus para poder propagarse. Una vez
desencriptado el virus intentará alojarse en algún archivo de la computadora.
En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo
desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el
virus presente su característica de cambio de formas debe poseer algunas rutinas
especiales. Si mantuviera siempre su estructura, esté encriptado o no, cualquier antivirus
podría reconocer ese patrón.
Para eso incluye un generador de códigos al que se conoce como engine o motor de
mutación. Este engine utiliza un generador numérico aleatorio que, combinado con un
algoritmo matemático, modifica la firma del virus. Gracias a este engine de mutación el
virus podrá crear una rutina de desencripción que será diferente cada vez que se ejecute.
Los métodos básicos de detección no pueden dar con este tipo de virus. Muchas veces
para virus polimorfos particulares existen programas que se dedican especialmente a
localizarlos y eliminarlos. Algunos softwares que se pueden baja gratuitamente de Internet
se dedican solamente a erradicar los últimos virus que han aparecido y que también son
los más peligrosos. No los fabrican empresas comerciales sino grupos de hackers que
quieren protegerse de otros grupos opuestos. En este ambiente el presentar este tipo de
soluciones es muchas veces una forma de demostrar quien es superior o quien domina
mejor las técnicas de programación.
Las últimas versiones de los programas antivirus ya cuentan con detectores de este tipo de
virus.
Virus sigiloso o stealth
El virus sigiloso posee un módulo de defensa bastante sofisticado. Este intentará
permanecer oculto tapando todas las modificaciones que haga y observando cómo el
sistema operativo trabaja con los archivos y con el sector de booteo. Subvirtiendo algunas
líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra la
zona que infectada.
Es difícil que un antivirus se de cuenta de estas modificaciones por lo que será imperativo
que el virus se encuentre ejecutándose en memoria en el momento justo en que el
antivirus corre. Los antivirus de hoy en día cuentan con la técnica de verificación de
integridad para detectar los cambios realizados en las entidades ejecutables.

El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector de


arranque de los disquetes e intercepta cualquier operación de entrada / salida que se
intente hacer a esa zona. Una vez hecho esto redirigía la operación a otra zona del
disquete donde había copiado previamente el verdadero sector de booteo.
Este tipo de virus también tiene la capacidad de engañar al sistema operativo. Un virus se
adiciona a un archivo y en consecuencia, el tamaño de este aumenta. Está es una clara
señal de que un virus lo infectó. La técnica stealth de ocultamiento de tamaño captura las
interrupciones del sistema operativo que solicitan ver los atributos del archivo y, el virus le
devuelve la información que poseía el archivo antes de ser infectado y no las reales. Algo
similar pasa con la técnica stealth de lectura. Cuando el SO solicita leer una posición del
archivo, el virus devuelve los valores que debería tener ahí y no los que tiene actualmente.
Este tipo de virus es muy fácil de vencer. La mayoría de los programas antivirus estándar
los detectan y eliminan.
Virus lentos
Los virus de tipo lento hacen honor a su nombre infectando solamente los archivos que el
usuario hace ejecutar por el SO, simplemente siguen la corriente y aprovechan cada una
de las cosas que se ejecutan.
Por ejemplo, un virus lento únicamente podrá infectar el sector de arranque de un disquete
cuando se use el comando FORMAT o SYS para escribir algo en dicho sector. De los
archivos que pretende infectar realiza una copia que infecta, dejando al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad encuentra
nuevos archivos avisa al usuario, que por lo general no presta demasiada atención y
decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil.
La mayoría de las herramientas creadas para luchar contra este tipo de virus son
programas residentes en memoria que vigilan constantemente la creación de cualquier
archivo y validan cada uno de los pasos que se dan en dicho proceso. Otro método es el
que se conoce como Decoy launching. Se crean varios archivos .EXE y .COM cuyo
contenido conoce el antivirus. Los ejecuta y revisa para ver si se han modificado sin su
conocimiento.
Retro-virus o Virus antivirus
Un retro-virus intenta como método de defensa atacar directamente al programa antivirus
incluido en la computadora.
Para los programadores de virus esta no es una información difícil de obtener ya que
pueden conseguir cualquier copia de antivirus que hay en el mercado. Con un poco de
tiempo pueden descubrir cuáles son los puntos débiles del programa y buscar una buena
forma de aprovecharse de ello.
Generalmente los retro-virus buscan el archivo de definición de virus y lo eliminan,
imposibilitando al antivirus la identificación de sus enemigos. Suelen hacer lo mismo con el
registro del comprobador de integridad.
Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse o inician
una rutina destructiva antes de que el antivirus logre encontrarlos. Algunos incluso
modifican el entorno de tal manera que termina por afectar el funcionamiento del antivirus.
Virus multipartitos
Los virus multipartitos atacan a los sectores de arranque y a los ficheros ejecutables. Su
nombre está dado porque infectan las computadoras de varias formas. No se limitan a
infectar un tipo de archivo ni una zona de la unidad de disco rígido. Cuando se ejecuta una
aplicación infectada con uno de estos virus, éste infecta el sector de arranque. La próxima
vez que arranque la computadora, el virus atacará a cualquier programa que se ejecute.
Virus voraces
Estos virus alteran el contenido de los archivos de forma indiscriminada. Generalmente
uno de estos virus sustituirá el programa ejecutable por su propio código. Son muy
peligrosos porque se dedican a destruir completamente los datos que puedan encontrar.
Bombas de tiempo
Son virus convencionales y pueden tener una o más de las características de los demás
tipos de virus pero la diferencia está dada por el trigger de su módulo de ataque que se
disparará en una fecha determinada. No siempre pretenden crear un daño específico. Por
lo general muestran mensajes en la pantalla en alguna fecha que representa un evento
importante para el programador. El virus Michel Angelo sí causa un daño grande
eliminando toda la información de la tabla de particiones el día 6 de marzo.

Características
Dado que una característica de los virus es el consumo de recursos, los virus
ocasionan problemas tales como: pérdida de productividad, cortes en los
sistemas de información o daños a nivel de datos.
Una de las características es la posibilidad que tienen de diseminarse por
medio de replicas y copias. Las redes en la actualidad ayudan a dicha
propagación cuando éstas no tienen la seguridad adecuada.
Otros daños que los virus producen a los sistemas informáticos son la pérdida
de información, horas de parada productiva, tiempo de reinstalación, etc.
Hay que tener en cuenta que cada virus plantea una situación diferente.

FUNCIONAMIENTO DEL VIRUS


Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos
de dejar a un lado las histerias y los miedos infundados y al mismos tiempo ser consientes
del daño real que puede causarnos. Para ello, lo mejor es tener conocimiento de como
funcionan y las medidas que debemos tomar para prevenirlos y hacerles frente.
PROCESO DE INFECCIÓN.
El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último
archivo descargado de Internet, etc. Dependiendo del tipo de virus el proceso de infección
varía sensiblemente.
Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE
por ejemplo. El usuario introduce el disco en la computadora (por supuesto no lo escanea
con un antivirus o si lo hace es con un antivirus desfasado) y mira el contenido del disco...
unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un ejecutable. Vamos a ver que
tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del
programa son leídas por el computadora y procesadas, pero también procesa otras
instrucciones que no deberían estar ahí. El virus comprueba si ya se ha instalado en la
memoria. Si ve que todavía no está contaminada pasa a esta y puede que se quede
residente en ella. A partir de ese momento todo programa que se ejecute será
contaminado.
El virus ejecutará todos los programas, pero después se copiará a sí mismo y se "pegará"
al programa ejecutado "engordándolo" unos cuantos bytes. Para evitar que usuarios
avanzados se den cuenta de la infección ocultan esos bytes de más para que parezca que
siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de
sistema, aquellos que están en uso en ese momento y que son los primeros en ejecutarse
al arrancar la computadora. Así, cuando el usuario vuelva a arrancar la computadora el
virus se volverá a cargar en la memoria cuando se ejecuten los archivos de arranque del
sistema contaminados y tomará otra vez el control del mismo, contaminando todos los
archivos que se encuentre a su paso.
Puede que el virus sea también de "Sector de arranque". En ese caso el código del virus
se copiará en el primer sector del disco duro que la computadora lee al arrancar. Puede
que sobrescriba el sector original o que se quede una copia del mismo para evitar ser
detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el
sistema, pero tienen un claro defecto. Si ell usuario arranca la computadora con un
disquete "limpio" el virus no podrá cargarse en memoria y no tendrá el control.
Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy
parecido al de los de sector de arranque solo que el truco de arrancar con un disquete
limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus
multipartita, que contaminará todo lo que pueda, archivos, sector de arranque, etc.

LOS NUEVOS VIRUS


DOWNLOAD.TROJAN
○ Caballo de Troya, afecta a NT y 2K.
○ Se conecta con los sitios Web y de FTP de su autor.
○ Trae desde allí troyanos, virus, gusanos y los componentes de éstos hacia la
máquina infectada.
○ Cada vez que se trae archivos desde Internet, se auto ejecuta.
○ SOLUCIÓN: Borrado manual.

FAKE SERVER TROJAN


○ Afecta sólo archivos .exe.
○ SOLUCIÓN: Borrado manual.

HACK V1.12.TROJAN
○ Afecta sólo archivos .exe.
○ SOLUCIÓN: Borrado manual.

JS.EXITW.TROJAN
○ No afecta NT ni 2K.
○ Hace que Windows arranque y se cierre inmediatamente.
○ SOLUCIÓN: Borrado manual.

JS.FORTNIGHT
○ Afecta a NT y 2K. Híbrido de gusano/troyano.
○ Modifica la configuración del programa Outlook Express y envía un link al sitio del
hacker, escondido en la firma del usuario.
○ Configura una página pornográfica como página de inicio del Internet Explorer.
○ SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

JS.FORTNIGHT.B
○ Igual al anterior. Además, redirecciona toda URL a la URL que el hacker desea y
inhabilita la solapa "Seguridad" del Internet Explorer.
○ SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

JS.FORTNIGHT.C
○ Igual a los anteriores, pero no inhabilita la solapa del IE5.
○ SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

MMC.EXE
○ Es el Caballo de Troya del W32.Nimda.A@mm (ver).
○ SOLUCIÓN: Borrado manual.

MSBLAST.EXE
○ Es el Caballo de Troya del W32.Blaster. Worm (ver).
○ SOLUCIÓN: Borrado manual.

NETBUS.170.W95.TROJAN
○ Muy peligroso. Afecta NT y 2K.
○ Troyano backdoor. Le da a su creador acceso y permisos FULL CONTROL para
atacar el equipo infectado. Estas capacidades incluyen enviar archivos del usuario al
sitio del hacker, ejecutar aplicaciones, robar documentos y borrar archivos en forma
remota.
○ SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

NETBUS.2.TROJAN
○ Este troyano es la aplicación cliente de la herramienta de hackeo Netbus 2.0. Se
conecta desde un sistema remoto y gana control de acceso sobre la máquina
infectada.
○ SOLUCIÓN: Borrado manual.

PRETTYPARK.WORM
○ Conocido gusano de red.
○ Es parecido al Happy99. Dispara un troyano (prettypark.exe) que a veces hace
correr el salvapantallas de las cañerías.
○ Se conecta solo a un servidor IRC, a un canal específico y monitorea para recibir los
comandos que el dueño le manda desde ese canal.
○ Le entrega al hacker las claves de discado para conexión de la víctima, toda la
información del sistema y la configuración del ICQ.
○ A su vez, el hacker (siempre vía IRC) tiene acceso a recibir, crear, borrar y ejecutar
cualquier archivo.
○ SOLUCIÓN: Ejecutar el reparador. Luego, corregir a mano la registry, si se
encuentran daños en ella.
TROJAN.ADCLICKER
○ Funciona en NT y 2K.
○ La función de este troyano es que la máquina de la víctima haga clic
permanentemente en las publicidades de las páginas web de las que es dueño su
programador.
○ SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry

TROJAN.DOWNLOAD.CHECKIN
○ Este Caballo de Troya es, aparentemente, parte de una aplicación de adware.
○ Se conecta a varios sitios e IPs diferentes y chequea si hay nuevas versiones de sí
mismo. Si la respuesta es afirmativa, las baja en la máquina infectada y las ejecuta.
Como no hace chequeo de CRC ni integridad antes de ejecutar, si el troyano bajó
corrupto los resultados son imprevisibles.
○ SOLUCIÓN: Borrado manual. Luego, corregir a mano la registry.

VBS.HAPTIME.A@MM
○ Gusano de red, de peligrosidad Grado 3.
○ Infecta los archivos .htm, .html, .vbs, .asp y .htt.
○ Se dispersa bajo la forma de objetos MAPI adjuntos. Además, en todos los
mensajes salientes se adjunta el virus como Material de Papelería de Outlook
Express.
○ Utiliza una vulnerabilidad de Microsoft Outlook Express para poderse autoejecutar
sin necesidad de correr ningún adjunto.
○ SOLUCIÓN: Ejecutar el reparador. A continuación, instalar en todos los equipos el
parche de seguridad para el Outlook Express. Este parche no desinfectará las
máquinas víctimas, pero sí impedirá que una máquina limpia ejecute el troyano en
forma automática. Verificar la registry, comparando sus valores.

Formas de Prevención y Eliminación del Virus


• Copias de seguridad:
Realice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte
que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar
diferente del ordenador y protegido de campos magnéticos, calor, polvo y personas
no autorizadas.
• Copias de programas originales:

No instale los programas desde los disquetes originales. Haga copia de los discos
y utilícelos para realizar las instalaciones.
• No acepte copias de origen dudoso:

Evite utilizar copias de origen dudoso, la mayoría de las infecciones provocadas


por virus se deben a discos de origen desconocido.
• Utilice contraseñas:

Ponga una clave de acceso a su computadora para que sólo usted pueda acceder
a ella.
• Anti-virus:

Tenga siempre instalado un anti-virus en su computadora, como medida general


analice todos los discos que desee instalar. Si detecta algún virus elimine la
instalación lo antes posible.
• Actualice periódicamente su anti-virus:

Un anti-virus que no está actualizado puede ser completamente inútil. Todos los
anti-virus existentes en el mercado permanecen residentes en la computadora pata
controlar todas las operaciones de ejecución y transferencia de ficheros analizando
cada fichero para determinar si tiene virus, mientras el usuario realiza otras tareas.
Efectos de los Virus en las Computadoras
Cualquier virus es perjudicial para un sistema. Como mínimo produce una reducción de la
velocidad de proceso al ocupar parte de la memoria principal. Estos efectos se pueden
diferenciar en destructivos y no destructivos.
Efectos no destructivos:
○ Emisión de mensajes en pantalla:

Es uno de los efectos más habituales de los virus.


Simplemente causan la aparición de pequeños mensajes en
la pantalla del sistema, en ocasiones se trata de mensajes
humorísticos, de Copyright, etc. Ejemplo:
Soupy: "Get ready.." cause THERE´S A VIRUS IN YOUR
SOUP!
Casino: "DISK DESTROYER. A SOUVENIR FROM
MALTA".
○ Borrado a cambio de la pantalla:

También es muy frecuente la visualización en pantalla de


algún efecto generalmente para llamar la atención del
usuario. Los efectos usualmente se producen en modo
texto. En ocasiones la imagen se acompaña de efectos de
sonido. Ejemplo:
Ambulance: Aparece una ambulancia moviéndose por la
parte inferior de la pantalla al tiempo que suena una sirena.
Walker: Aparece un muñeco caminando de un lado a otro
de la pantalla.
Efectos destructivos:
○ Desaparición de ficheros:

Ciertos virus borran generalmente ficheros con extensión


exe y com, por ejemplo una variante del Jerusalem-B se
dedica a borrar todos los ficheros que se ejecutan.
○ Formateo de discos duros:

El efecto más destructivo de todos es el formateo del disco


duro. Generalmente el formateo se realiza sobre los
primeros sectores del disco duro que es donde se
encuentra la información relativa a todo el resto del disco.
CONCLUSIONES
Un virus es un programa pensado para poder reproducirse y replicarse por sí mismo,
introduciéndose en otros programas ejecutables o en zonas reservadas del disco o la
memoria. Sus efectos pueden no ser nocivos, pero en muchos casos hacen un daño
importante en el ordenador donde actúan. Pueden permanecer inactivos sin causar daños
tales como el formateo de los discos, la destrucción de ficheros, etc.
Tener siempre a mano un disco de arranque limpio. Este disco de arranque se crea
formateando un disquete con FORMAT/S de forma que se incluyen ficheros de arranque
IO.SYS, MSDOS.SYS y COMMAND.COM. Este disco permitirá arrancar el ordenador.
Algunas de las tácticas para combatirlos son:
• Hacer regularmente copias de seguridad
• Realizar periódicamente una defragmentación del disco.
• Utilizar las opciones anti-virus de la BIOS del ordenador.
• Utilizar software legalmente
• Utilizar un anti-virus
• Tener una lista con la configuración del equipo, es decir, los parámetros de todas las
tarjetas, discos y otros dispositivos.
Los temas de protección de los sistemas operativos son preocupantes por los siguientes
motivos:
El más evidente es la necesidad de prevenir la violación intencionada y maliciosa de una
restricción de acceso, por parte de un usuario del sistema. Sin embargo, es de importancia
más general la necesidad de asegurar que cada componente de un programa únicamente
utiliza los recursos del mismo según los criterios que establezca el sistema operativo.
Para construir un sistema de protección se tiene que definir; por un lado, la estrategia de
protección (de qué fallos hay que proteger al sistema) y por otro, los mecanismos de
protección (cómo hacer que se consiga la protección definida por la estrategia).
Pasos para eliminar macro-virus son los siguientes:
1.
2. Activar la protección antivirus si está desactivada.

• Abrir el Word directamente, sin ningún documento.

• Ir al menú Herramientas, y elegir Opciones....

• En la pestaña General, activar la casilla donde dice Protección antivirus en macro.
1.
2. Abrir el documento infectado teniendo en cuenta que, cuando se presente la ventana
de Advertencia, se debe elegir la opción Abrir sin Macros para no infectarse.
3.
4. Una vez abierto el documento, elegir, dentro del menú Herramientas, la opción Macro
y dentro de ella, la que dice Editor de Visual Basic, o directamente, presionar la
combinación de teclas ALT+F11. Donde, en la parte izquierda de la pantalla, se podrá
observar un cuadro que dice "Proyecto - ..." y el nombre del archivo abierto, en este
caso Normal.
5.
6. Se debe desplegar cada uno de los ítems de ese cuadro para ver el código de las
macros. Al hacer doble click sobre algunos de estos elementos, se abrirá una nueva
ventana con código.
7.
8. Se debe marcar el texto que aparece en la nueva ventana, y eliminarlo como se haría
con cualquier texto. Al hacer esto, se estarán eliminando las macros que contiene el
documento, lo que eliminará completamente el Macrovirus.

BIBLIOGRAFÍA
• Enciclopedia Aula Siglo XXI. (2001). Curso de Orientación Escolar. Gráficas Reunidas
S.A. España
• Enciclopedia Británica Balsa 2001.
• Enciclopedia Encarta 2001. Microsoft Elsevier.

OBJETIVOS
En el desarrollo del Trabajo, se trazó como objetivo fundamental, mediante la
búsqueda de información en diferentes fuentes, recopilar múltiples criterios
dados por expertos en el tema sobre LOS VIRUS INFORMATICOS,
CABALLOS DE TROYA y GUSANOS INFORMATICOS, y con esto dar
repuestas a diferentes interrogantes que pueden surgir.
Así como mostrar el estado actual de los virus y programas malignos en
nuestro país e internacionalmente, con cifras reportadas hasta la actualidad,
apreciándose además una reseña sobre su primera aparición y evolución.
También se enfatiza en su definición, propagación, daños que ocasionan,
métodos para prevenirlos y principales antivirus para su erradicación.
Aspiramos que este trabajo quede como material de consulta para todos
aquellos interesados en adentrarse en el mundo de los "virus informáticos ", y
ayude a fomentar en las personas la necesidad de tomar todas las medidas de
protección para evitar ser dañados por estos molestos pero interesantes
"intrusos".
Capítulo I: Virus Informáticos.
1.1-¿Qué es un virus?
Es necesario definir y conocer al enemigo, a menudo se suele utilizar el término
virus para designar diferentes tipos de comportamientos maliciosos que se
transmiten por Internet. Todos los días surgen nuevos virus, que pueden llegar
a propagarse en los ordenadores de todo el mundo en cuestión de segundos, o
pueden quedar en un intento fracasado de protagonismo por parte de sus
creadores. En cualquier caso se trata de una amenaza de la que ningún
ordenador esta libre. [ALF04]
Un virus es un programa o secuencia de instrucciones que un ordenador es
capaz de interpretar y ejecutar. Con relación a este concepto el Ingeniero Edgar
Guadis Salazar¹ añade que "es aplicable para cualquier programa maligno".
Aunque todo virus ha de ser programado y realizado por expertos informáticos,
argumenta también el Ingeniero que: "No necesariamente, en INTERNET hay
herramientas que permiten generar virus de una manera sumamente sencilla,
solo pulsando unos botones, como haces al calcular algo con la calculadora"
[GAB00, GUADIS*]
Incluso cualquiera que vea el código fuente de un P.M escrito en lenguaje
Visual Basic Script puede hacer una variación sencilla y generar una variante,
sin tener grandes conocimientos del lenguaje, es casi nemotécnico y puedes
encontrar ayuda fácil en INTERNET. En esta red hay muchos códigos fuentes
de virus, el trabajo mayor lo pasa el creador original, el resto realmente tiene
que hacer muy poco para generar una variante. Su misión principal es
introducirse, lo más discretamente posible en un sistema informático y
permanecer en un estado de latencia hasta que se cumple la condición
necesaria para activarse. [GAB00]
Las posibles vías de transmisión de los virus son: los discos, el cable de una
red y el cable telefónico. Normalmente encontramos en estas características
especiales y comunes en todos ellos: son muy pequeños, casi nunca incluyen
el nombre del autor, ni el registro, ni la fecha. Se reproducen a si mismos y
controlan y cambian otros programas. Al problema no se le tomo importancia
hasta que llego a compañías grandes y de gobierno entonces se le busco
solución al problema. [VIL04]
Decimos que es un programa parásito porque el programa ataca a los archivos
o sector es de "booteo" y se replica a sí mismo para continuar su
esparcimiento. [ MAN97 ]
Existen ciertas analogías entre los virus biológicos y los informáticos: mientras
los primeros son agentes externos que invaden células para alterar su
información genética y reproducirse, los segundos son programas-rutinas, en
un sentido más estricto, capaces de infectar archivos de computadoras,
reproduciéndose una y otra vez cuando se accede a dichos archivos, dañando
la información existente en la memoria o alguno de los dispositivos de
almacenamiento del ordenador. [ MAN97 ]
Tienen diferentes finalidades: Algunos sólo 'infectan', otros alteran datos, otros
los eliminan, algunos sólo muestran mensajes. Pero el fin último de todos ellos
es el mismo: PROPAGARSE. [ MAN97 ]
Es importante destacar que "el potencial de daño de un virus informático no
depende de su complejidad sino del entorno donde actúa". Marcelo
Manson²
En cuanto a este criterio, plantea el compañero Guadis: "Hay que tener mucho
cuidado con las definiciones. Un virus es solo un tipo particular de programa
maligno, pero todos tiene que hablar de una manera u otra de la replica o
infección, pues por eso se llaman virus" [GUADIS*]
La definición más simple y completa que hay de los virus corresponde al
modelo D. A. S., y se fundamenta en tres características, que se refuerzan y
dependen mutuamente. Según ella, un virus es un programa que cumple las
siguientes pautas: [ MAN97 ]
• Es dañino
• Es autor reproductor
• Es subrepticio
El hecho de que la definición imponga que los virus son programas no admite
ningún tipo de observación; está extremadamente claro que son programas,
realizados por personas. Además de ser programas tienen el fin ineludible de
causar daño en cualquiera de sus formas. [MAN97]
¹ Edgar Guadis Salazar: Ingeniero Informático, Especialista del
Instituto de Seguridad Informática (SEGURMATICA), ubicado en el
Municipio Centro Habana. Ciudad de la Habana. Cuba
² Licenciado Marcelo Manson: Extraído de un artículo publicado en
1997 en Monografías.Com
Asimismo, se pueden distinguir tres módulos principales de un virus
informático: [ MAN97 ]
• Módulo de Reproducción
• Módulo de Ataque
• Módulo de Defensa
El módulo de reproducción se encarga de manejar las rutinas de
"parasitación" de entidades ejecutables (o archivos de datos, en el caso de los
virus macro) a fin de que el virus pueda ejecutarse subrepticiamente. Pudiendo,
de esta manera, tomar control del sistema e infectar otras entidades
permitiendo se traslade de una computadora a otra a través de algunos de
estos archivos. [ MAN97 ]
El módulo de ataque es optativo. En caso de estar presente es el encargado
de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido
virus Michelangelo, además de producir los daños que se detallarán más
adelante, tiene un módulo de ataque que se activa cuando el reloj de la
computadora indica 6 de Marzo. En estas condiciones la rutina actúa sobre la
información del disco rígido volviéndola inutilizable. [ MAN97 ]
El módulo de defensa tiene, obviamente, la misión de proteger al virus y,
como el de ataque, puede estar o no presente en la estructura. Sus rutinas
apuntan a evitar todo aquello que provoque la remoción del virus y retardar, en
todo lo posible, su detección. [ MAN97 ]
1.2- Surgimiento y evolución de los virus.
En 1949, el matemático estadounidense de origen húngaro John Von
Neumann, en el Instituto de Estudios Avanzados de Princenton (nueva Jersey),
planteo la posibilidad teórica de que un programa informático se reprodujera
poniéndose en evidencia en su ensaño titulado "Theory and Organization of
Complicated Automata" (Teoría y Organización de un Autómata Complejo).
[VIL04]
Esta teoría se comprobó experimentalmente en la década de 1950 en los
Laboratorios Bell, donde se desarrollo un juego llamado Core Wars que los
jugadores creaban minúsculos programas informáticos que atacaban y
borraban el sistema del oponente e intentaban propagarse a través de el. En
1970 John Soch y John Up elaboraron, en el Palo Alto Research Center
(PARC) de Seros, programas que se auto reproducían y que servia para
controlar la salud de las redes informáticas. Uno de ellos se llamo "El gusano
vampiro" porque se escondía en la red y se activaba por las noches. El nombre
fue tomado de una novela de ficción llamada "The Shockwave Rider" y en la
cual un programa llamado gusano o "tenia" se reproducía hasta el infinito y no
podía ser eliminado. [VIL04]
En 1983, Ken Thompson da a conocer las "Guerras del Núcleo" y anima a la
experimentación con esas pequeñas "criaturas lógicas". La revista Scientific
American dio difusión a las "Guerras del núcleo", lo que provocó que muchos
de sus lectores experimentaran con ellas, con lo que aparecieron los primeros
virus experimentales. En 1983 el ingeniero eléctrico estadounidense Fred
Cohen, que entonces era un estudiante universitario, acuño el termino de
"virus" para describir un programa informático que se reproducía a si mismo.
De hecho esta historia se remonta al 3 de noviembre de 1983, que fue cuando
el primer virus fue concebido como un experimento para ser presentado en un
seminario semanal de Seguridad Informática. El concepto fue introducido por el
propio Cohen y el nombre virus fue dado por Len Adleman. Tuvieron que pasar
8 horas de trabajo en una Vax 11/750 hasta el 10 de noviembre de ese año, en
que después de obtener las autorizaciones necesarias y concluir cinco
experimentos el virus fue mostrado. [VIL04]
En el año 1985 aparecen los primeros virus de MS-DOScomo los clásicos
"Brain" y "Pin-Pon". Su propagación en aquellos tiempos era lenta, e disco a
disco, cuando las mayorías de las maquinas de entonces ni siquiera contaban
con disco duro. Los discos se los pasaban unos amigos a atroz para
intercambiarse programas y la capacidad de expansión de los virus eran
limitadas. [VIL04]
En este mismo año aparecieron los primeros caballos de Troya, disfrazados
como un programa de mejora de gráficos llamados EGABTR y un juego
llamado NUKE-LA. Pronto le siguió un sin números de virus cada vez mas
complejos. [VIL04]
En 1986 apareció el virus llamado "Brain" nació en Pakistan, de la mano de dos
desarrolladores llamados Basit y Amjads, que crearon u programa llamado
Ashar, no dañino, que mas tarde evoluciono en el Brain, virus que infectan los
antiguos discos de 5,25 pulgadas. Este virus sobrescribía el sector de arranque
y desplazaba el sector de arranque original a otra posición del disco. Aunque el
virus apenas provocaba daños llamaba la atención su capacidad de ocultación
ya que era el primer programa que utilizaba la técnica invisible haciendo que el
disco tuviera una apariencia normal. Por esta razón, el virus no fue descubierto
has un año después, en 1987. [VIL04]
El 2 de noviembre de 1988 Internet, entonces aún llamada ARPAnet, sufrió un
grave ataque que provocó que toda la red se colapsara a causa de un gusano
que se comía la memoria de todos los ordenadores conectados a la red y
ralentizaba su funcionamiento. En tres horas, un gusano se hizo conocer por
prácticamente todos los administradores de sistemas de Estados Unidos. En
pocas horas se descubría que las copias del gusano llegaban y se difundían a
través del correo electrónico, pero el gusano ya había infectado los
ordenadores de un gran número de universidades y de importantes
instituciones científicas como la NASA, el laboratorio de Inteligencia Artificial del
MIT (Massachusetts Institute of Technology), la red del Departamento de
Defensa norteamericano (MILNET), etc. [@1]
Toda la red Internet estaba afectada, y las soluciones tardarían varios días en
llegar. El coste de la erradicación del gusano ascendió a un millón de dólares,
unidos a los daños provocados por el colapso de la red. Se descubrió que el
gusano afectaba a gestores de correo electrónico Sendmail, programa que a
causa de un error permitía que el gusano fuera enviado junto con los propios
mensajes de ordenador a ordenador. También se supo que el gusano no
provocaba daño alguno a los datos. [@2]
Los técnicos de Berkeley crearon un parche para el error del Sendmail que
solucionó finalmente la infección. Finalmente se detuvo al autor, Robert Morris
Jr., un graduado de Harvard de 23 años que reconoció su error y lo calificó de
"fallo catastrófico", ya que su idea no era hacer que los ordenadores se
ralentizaran. Curiosamente, Morris era hijo de Robert Morris, uno de los tres
programadores de las "guerras del núcleo" sobre las que ya hemos hablado.
De hecho, Morris Jr. utilizó parte del código utilizado por su padre en las
"guerras del núcleo" muchos años atrás. El 13 de enero de 1989, viernes, se
produjo la primera infección de una importante institución, lo que produjo que la
prensa convirtiera los avisos de las casas antivirus en un auténtico
acontecimiento. [@3]
-1989 aparece el primer antivirus heurístico, y los primeros virus con
nuevas técnicas de
ocultamiento. En 1989 apareció el primer antivirus heurístico, capaz de
detectar, no sólo los virus que ya eran conocidos, sino aquellos virus que
surgieran en el futuro y que reprodujesen patrones sospechosos. La heurística
monitoriza la actividad del ordenador hasta el momento en que encuentra algo
que puede ser identificado con un virus. Frente a esta innovación surgieron
virus con nuevas formas de ocultación, como el full stealth y surgieron nuevas
técnicas para acelerar la velocidad de las infecciones. Esto se logró haciendo
que los virus atacasen los archivos que fueran abiertos y no sólo aquellos que
se ejecutaban. Un ejemplo de esta época son Antictne, alias Telefónica, el
primer virus español que se extendió por todo el mundo, ó 4096, alias FRODO,
el primer virus en usar el efecto tunneling, una técnica utilizada posteriormente
por los propios antivirus para sistemas anti-stealth. En el ámbito técnico, fue
todo un fenómeno entre los expertos en virus. [@3]
1990 Virus de infección rápida provenientes de Bulgaria: el virus Dark
Avenger.
En 1990 apareció gran cantidad de virus provenientes de Bulgaria. El máximo
representante de esa nueva ola fue Dark Avenger, uno de los más famosos
autores de virus, que introdujo los conceptos de infección rápida (el virus se
oculta en la memoria e infecta, no sólo los archivos ejecutados, sino también
los leídos, extendiendo la infección a gran velocidad), y daño sutil (por
ejemplo, el virus 1800 sobreescribía ocasionalmente un sector del disco
inutilizando la información, algo que el usuario no es capaz de detectar
fácilmente hasta algún tiempo después). Además, Dark Avenger utilizaba las
BBS para infectar los programas antivirus shareware facilitando la rápida
extensión de sus virus. [@2]
1991 Aparecen los primeros paquetes para la construcción de virus
En 1991 surgieron los primeros paquetes para construcción de virus, lo que no
hizo sino facilitar la creación de virus y aumentar su número a mayor velocidad.
El primero fue el VCL (Virus Creation Laboratory), creado por Nowhere Man, y
más tarde apareció el Phalcon/Skism Mass-Produced Code Generator, de Dark
Angel. Estos paquetes facilitaban la tarea de crear un virus a cualquier usuario
de ordenador medianamente experimentado, así que en unos pocos meses
surgieron docenas de virus creados de esta forma. A mediados de la década de
los noventa se produjeron enormes cambios en el mundo de la informática
personal que llegan hasta nuestros días y que dispararon el número de virus en
circulación hasta límites insospechados. Si a finales de 1994 el número de
virus, según la Asociación de Seguridad Informática (ICSA), rondaba los cuatro
mil, en los siguientes cinco años esa cifra se multiplicó por diez, y promete
seguir aumentando. La razón principal de este desmesurado crecimiento es el
auge de Internet, que en 1994 ya comenzaba a popularizarse en Estados
Unidos y un par de años más tarde empezaría a generalizarse en el resto del
mundo. Para principios del nuevo milenio, la cifra de personas que se conectan
habitualmente a la red se estima en trescientos millones. Por lo tanto, las
posibilidades de creación y de expansión de los virus se han desarrollado hasta
límites inimaginables hace tan solo unos años. En primer lugar, porque los
creadores de virus tienen a su disposición toda la información y las
herramientas que necesitan para llevar a cabo sus creaciones. También
pueden entrar en contacto con otros programadores. Finalmente, pueden hacer
uso de toda una serie de herramientas cuando desean dar a conocer sus
criaturas a un mercado potencial de varios cientos de millones de usuarios.
El correo electrónico es probablemente el medio "estrella" de difusión de virus,
aunque hay otras muchas vías mediante las cuales un ordenador puede llegar
a infectarse por medio de la red. Los grupos de noticias son un medio que se
suele utilizar habitualmente por la facilidad que supone enviar un mensaje con
un fichero adjunto infectado a un grupo leído por cientos de miles, tal vez
millones de personas. La infección está garantizada. [@4]
1995 El nacimiento de los virus de Macro: el virus Concept.
Microsoft Windows 95 trajo toda una serie de novedades al mundo de los virus.
En primer lugar, los virus de sector de arranque dejaron de tener efectividad
con el nuevo sistema operativo. Sin embargo, Windows 95 y el paquete
ofimático Office 4.2 (también de Microsoft) propiciaron el nacimiento de los
virus de macro, virus que hacen uso del lenguaje de comandos de los
programas del paquete ofimático para configurar nuevos virus. Los virus de
macro, se han extendido muy fácilmente porque los archivos que los incluyen
son, en apariencia, archivos de datos (que, en teoría, no era posible infectar),
aunque incluyen las secuencias de comandos de macro que los convierten en
otra amenaza más para nuestro ordenador.
En 1995 apareció el primer virus "salvaje", llamado Concept. El virus contiene 5
macros y afecta a aquellos archivos que son archivados con el comando
"Guardar como...". De este virus existen numerosas variantes y además fue
convertido al formato de Word 97 por lo que su difusión ha sido imparable y
aún hoy es causa de numerosas infecciones. Hoy día los virus de macro son
los más peligrosos y extendidos, y gracias a Internet han cobrado mayor
relevancia si cabe. Hoy día, un 64 % de los desastres informáticos están
causados por virus de macro, lo que les convierte en la mayor amenaza contra
la seguridad informática del mundo. [@4]
1997 Aparece el virus Lady Di
En 1997 apareció un nuevo virus de macro sin características especiales ni
efectos dañinos destacables, pero que tuvo una amplia repercusión en la
prensa, debido a que tiene el anecdótico interés de haber sido escrito en
memoria de la princesa Diana Spencer, fallecida el 31 de agosto de 1997 en
accidente de tráfico en pleno centro de París. El efecto del virus es la
reproducción en pantalla, el día 31 de cada mes, de la letra de la canción
Candle In The Wind, escrita por Elton John originalmente en memoria de
Marilyn Monroe, pero que fue reescrita especialmente para el funeral de la
princesa en la abadía de Westmister de Londres.