Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTRODUCCION
Un virus no necesariamente tiene que auto reproducirse, pues basta con que se instale en
memoria y desde all ataque a un determinado tipo de archivo o reas del sistema y lo
infecte. Con Internet se hace ms fcil tener el total control de los virus informticos, lo
que resulta perjudicial a todos los usuarios.
El crecimiento veloz de los virus, hace necesario un rpido tratamiento usando las
tcnicas de prevencin, deteccin y eliminacin de virus informticos, tenindose que
llevar a cabo de forma rpida y eficiente .
Desde la aparicin de los virus informticos en 1984 y tal como se les concibe hoy en
da, han surgido muchos mitos y leyendas acerca de ellos. Esta situacin se agrav con
el advenimiento y auge de Internet. A continuacin, un resumen de la verdadera
historia de los virus que infectan los archivos y sistemas de las computadoras.
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet.
Puesto en la prctica, los contendores del CoreWar ejecutaban programas que iban
paulatinamente disminuyendo la memoria del computador y el ganador era el que
finalmente consegua eliminarlos totalmente. Este juego fue motivo de concursos en
importantes centros de investigacin como el de la Xerox en California y el
Massachussets Technology Institute (MIT), entre otros.
Sin embargo durante muchos aos el CoreWar fue mantenido en el anonimato, debido a
que por aquellos aos la computacin era manejada por una pequea lite de
intelectuales
A pesar de muchos aos de clandestinidad, existen reportes acerca del virus Creeper,
creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360,
emitiendo peridicamente en la pantalla el mensaje: "I'm a creeper... catch me if you
can!" (Soy una enredadera, agrrenme si pueden). Para eliminar este problema se cre el
primer programa antivirus denominado Reaper (segadora), ya que por aquella poca se
desconoca el concepto de los softwares antivirus.
En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de Amrica,
precursora de Internet, emiti extraos mensajes que aparecan y desaparecan en forma
aleatoria, asimismo algunos cdigos ejecutables de los programas usados sufran una
mutacin. Los altamente calificados tcnicos del Pentgono se demoraron 3 largos das
en desarrollar el programa antivirus correspondiente.
1981 La IBM PC
El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rpido y
Rstico Sistema Operativo de Disco) y tena varios errores de programacin (bugs).
La enorme prisa con la cual se lanz la IBM PC impidi que se le dotase de un buen
sistema operativo y como resultado de esa imprevisin todas las versiones del llamado
PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya
que fundamentalmente heredaron muchos de los conceptos de programacin del antiguo
sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una
rutina de apenas 256 bytes, que es ejecutada previamente a la ejecucin de cualquier
programa con extensin EXE o COM.
Este joven ingeniero, quien en 1969 cre el sistema operativo UNIX, resucit las teoras
de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo
protagonista de una ceremonia pblica present y demostr la forma de desarrollar un
virus informtico.
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la
revista BYTE reportaron la presencia y difusin de algunos programas que actuaban
como "caballos de Troya", logrando infectar a otros programas.
En ese ao se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron
las primeras especies representativas de difusin masiva. Estas 3 especies virales tan
En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeaba como
director del Laboratorio de Virologa de la Academia de Ciencias de Bulgaria, escribi
un interesante y polmico artculo en el cual, adems de reconocer a su pas como el
lder mundial en la produccin de virus da a saber que la primera especie viral blgara,
creada en 1988, fue el resultado de una mutacin del virus Vienna, originario de
Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de
Sofa. Al ao siguiente los autores blgaros de virus, se aburrieron de producir
mutaciones y empezaron a desarrollar sus propias creaciones.
En 1997 se disemina a travs de Internet el primer macro virus que infecta hojas de
clculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma
familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor
informacin srvanse revisar la opcin Macro Virus, en este mismo mdulo.
Resultar imposible impedir que se sigan desarrollando virus en todo el mundo, por ser
esencialmente una expresin cultural de "graffiti ciberntico", as como los crackers
jams se detendrn en su intento de "romper" los sistemas de seguridad de las redes e
irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha
del bien y el mal ahora se ha extendido al ciber espacio.
Los virus informticos son programas que utilizan tcnicas sofisticadas, diseados por
expertos programadores, los cuales tienen la capacidad de reproducirse por s mismos,
unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayora
de estas acciones son hechas con mala intencin.
La mayora de los virus suelen ser programas residentes en memoria, se van copiando
dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras
personas, tambin encontrarn en el interior archivos con virus.
Un virus tiene la capacidad de daar informacin, modificar los archivos y hasta borrar
la informacin un disco duro, dependiendo de su programador o creador.
Los virus en informtica son similares a los que atacan el organismo de los seres
humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo
objetivo es destruir o molestar el "husped".
Al igual que los virus orgnicos, los virus en informtica deben ser eliminados antes de
que causen la "muerte" del husped...
Los virus de las computadoras no son mas que programas; y estos virus casi siempre
los acarrean las copias ilegales o piratas.
CARACTERSTICAS:
Se reproducen a s mismos.
A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de
computadora no ocurren en forma natural, cada uno debe ser programado. No existen
virus benficos.
Algunas veces son escritos como una broma, quiz para irritar a la gente desplegando
un mensaje humorstico. En estos casos, el virus no es mas que una molestia. Pero
cuando un virus es malicioso y causa dao real, quin sabe realmente la causa?
Aburrimiento? Coraje? Reto intelectual? Cualquiera que sea el motivo, los efectos
pueden ser devastadores.
El virus pasa a la memoria del computador, tomando el control del mismo, despus de
intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de
ejecutar un archivo infectado.
Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema
De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendr el sector de arranque del disco, y los archivos del
sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura,
dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar
el sistema.
La mayora de los virus se activan mediante el reloj del sistema para comprobar la fecha
y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna
condicin y por ltimo atacan, el dao que causan depende de su autor.
CLASES DE VIRUS:
VIRUS POLIMORFICOS
o Muy difciles de detectar y eliminar, debido a que cada copia del virus es
diferente de otras copias.
VIRUS ESTATICOS
Normalmente infectan archivos del mismo directorio, o puede ser que tengan
objetivos fijos como el COMMAND.COM del Sistema Operativo.
VIRUS RESIDENTES
Una vez ejecutado el programa portador del virus, ste pasa a la memoria del
computador y se queda all hasta que apaguemos el ordenador. Mientras tanto va
infectando todos aquellos programas ejecutables que utilicemos.
VIRUS DESTRUCTIVOS
VIRUS BIPARTIDOS
o Es un virus poco frecuente.
o Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su
cdigo (el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero
puede haber otra versin del mismo virus que incorpore ese algoritmo. Si ambos virus
coinciden en nuestro computador, y se unen en uno slo, se convierten en un virus
destructivo.
VIRUS COMPAEROS
o Son los virus ms sencillos de hacer.
o Cuando en un mismo directorio existen dos programas ejecutables con el
mismo nombre pero uno con extensin .COM y el otro con extensin .EXE, el MS-DOS
carga primero el archivo con extensin .COM.
o Si se crea un archivo .COM oculto, con el mismo nombre que el otro
archivo ejecutable de extensin .EXE. Primero se cargar en la memoria el archivo
.COM que contiene el virus. Despus el virus llamara al programa original.
o El archivo infectado no podra ser visto con un simple comando DIR en
C :\, porque contiene el atributo de oculto.
o AUTOREPLICABLES
o ESQUEMA DE PROTECCIN
No son virus destructivos.
Se activan cuando se intenta copiar un archivo que est protegido
contra escritura.
Tambin se ejecutan cuando se intenta copiar softwares o
programas.
o VIRUS INFECTORES DE PROGRAMAS EJECUTABLES
La infeccin se produce al ejecutar el programa que contiene el
virus, en ese momento busca todos los programas cuyas extensiones sean .COM o
.EXE.
Cuando un programa infectado est ejecutndose, el virus puede
permanecer residente en memoria e infectar cada programa que se ejecute.
Los virus de este tipo tienen dos formas de alojarse en el
ejecutable.
Graban su cdigo de inicio al principio del archivo, realizando un
salto para ejecutar el programa bsico y regresar al programa infectado.
Sobrescribiendo en los sectores del disco, haciendo prcticamente
imposible su recuperacin, si no cuenta con los originales.
o VIRUS INVISIBLES
Este tipo de virus intenta esconderse del Sistema Operativo
mediante varias tcnicas.
Pueden modificar el tamao del archivo infectado, para que no se
note que se le ha aadido un virus.
Pueden utilizar varias tcnicas para que no se les pueda encontrar
en la memoria del ordenador engaando a los antivirus.
Normalmente utilizan la tcnica de Stealth o Tunneling.
o PROGRAMAS MALIGNOS
Son programas que deliberadamente borran archivos o software indicados por sus
autores eliminndose as mismo cuando terminan de destruir la informacin.
Bombas Lgicas
Bombas de Tiempo
Jokes
Gusanos
Caballos de Troya
Jokes
Gusanos
Caballos de Troya
Windows 95
No se autoreproducen.
Su misin es destruir toda la informacin que se
encuentra en los discos.
TCNICAS DE VIRUS
Estos hechos demuestran fehacientemente que no existe ningn impedimento para que
se puedan programar virus en lenguajes diferentes al assembler, aunque con ninguno de
ellos se podra generar las rdenes directas para tomar control de las interrupciones, o
saltar de un programa anfitrin (host) o receptor, a otro en forma tan rpida y verstil.
El autor de virus por lo general vive muy de prisa y tal pareciera que adems de haber
incrementado sus conocimientos, ha analizado los errores cometidos por los anteriores
programadores de virus que han permitido que sus especies virales sean fcilmente
detectadas, y es por ello que sin dejar de lado las formas tradicionales de programacin,
ha creado adems sofisticadas rutinas y nuevas metodologas.
Han transcurrido ms de 16 aos desde que el Dr. Fred Cohen expusiese sus conceptos
y teoras y los autores de virus no solamente se han convertido en ms creativos e
ingeniosos, sino que continuarn apareciendo nuevas Tcnicas de Programacin,
INFECTOR RAPIDO
Un virus infector rpido es aquel que cuando est activo en la memoria infecta no
solamente a los programas cuando son ejecutados sino a aquellos que son simplemente
abiertos para ser ledos. Como resultado de esto sucede que al ejecutar un explorador
(scanner) o un verificador de la integridad (integrity checker), por ejemplo, puede dar
como resultado que todos o por lo menos gran parte de los programas sean infectados.
Esta tcnica usa la funcin 3dh de la interrupcin 21h para abrir un archivo ejecutable
en forma muy rpida, empezando preferentemente con el COMMAND.COM y
ubicndose en clusters vacios detrs de un comando interno, por ejemplo DIR, de tal
modo que no solamente no incrementa el tamao del archivo infectado sino que adems
su presencia es inadvertible.
Puede darse el caso adems, de que cuando se ejecuta un archivo EXE o COM ste no
es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son
alterados. Si bajo esta tcnica se ha decidido atacar a las reas del sistema el cdigo
viral reemplaza a los 512 bytes del sector de arranque y envia el sector original a otra
posicin en el disco, pero a su vez emular al verdadero, y al ser un "clon" de boot le le
ser muy fcil infectar a la FAT y al Master Boot Record o a la Tabla de Particiones,
imposibilitando el acceso al disco.
INFECTOR LENTO
El trmino de infector lento se refiere a un virus que solamente infecta a los archivos en
la medida que stos son ejecutados, modificados o creados, pero con una salvedad:
puede emplear tambin parte de la tcnica del infector rpido pero sin la instruccin de
alteracin o dao inmediato al abrirse un archivo. Con la interrupcin 1Ch del TIMER
su autor programa una fecha, la misma que puede ser especfica o aleatoria (ramdom)
para manifestarse.
ESTRATEGIA PARSE
Esta tcnica consiste en instruir al virus para que infecte ocasionalmente, por ejemplo,
cada 10 veces que se ejecute un programa. Otras veces, infecta nicamente a los
archivos de menor extensin y al infectarlos en forma ocasional se minimiza la
posibilidad de descubrirlo fcilmente.
Por otro lado, el contador de ejecuciones de los archivos infectados con virus que
emplea esta modalidad, tiene por lo general ms de una rutina de auto encriptamiento.
La tcnica "parse" no es tan comunmente usada, pero sus efectos y estragos son muy
lamentables.
ESTILO ARMORED
Tambin conocido como virus blindado, es una forma muy peculiar de programacin,
donde el autor programa una serie de rutinas que usa como cubiertas o escudos (shells),
en el archivo que contiene el virus, para que ste no pueda ser fcilmente "rastreado" y
mucho menos desensamblado.
Pueden ser una o ms rutinas de encriptamiento, sobrepuestas unas sobre otras. Se les
conoce tambin como "virus anti-debuggers". El Dark Avenger, producido en Bulgaria
en 1987 fu el primer virus que us conjuntamente las tecnologas ARMORED y
STEALTH. En Junio del 2000 se report el gusano VBS/Stages.SHS, el primer virus
oculto propagado masivamente a travs de mensajes de correo electrnico en Internet.
TECNICA STEALTH
Un virus "stealth" es aquel que cuando est activado esconde las modificaciones hechas
a los archivos o al sector de arranque que estn infectados. Esta tcnica hace uso de
todos los medios posibles para que la presencia del virus pase totalmente desapercibida,
anulan efectos tales como el tamao de los archivos, los cambios de la fecha, hora o
atributo, hasta el decremento de la memoria RAM. Un ejemplo simple lo constituye el
primer virus (c) Brain que infectaba el sector de arranque, monitoreando los I/O
(entrada y salida) y redireccionando cualquier intento de leer este sector infectado.
Cuando un virus "Stealth" est activo en memoria cualquiera de estos cambios pasarn
desapercibidos al realizar un DIR, por ejemplo, ya que el virus habr tomado control de
todo el sistema. Para lograr este efecto, sus creadores usan la interrupcin 21h funcin
57h.
Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de virus y con
la proteccin contra escritura, al efectuar la misma orden DIR se detectarn los cambios
causados a los archivos infectados. Un virus de boot programado con esta tcnica
reemplaza perfectamente al verdadero sector de arranque, que tiene apenas 512 bytes y
al cual mueve hacia otro lugar del disco pero que con una instruccin de salto vuelve
otra vez a utilizarlo.
Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier rea vital
del sistema, especialmente el MBR, ya sea individualmente, en forma combinada o en
su totalidad. Este estilo de programacin tambin emplea el control de memoria
dinmica as como algoritmos de compresin y descompresin de datos.
Un virus que emplea la tcnica del " tnel" intercepta los manipuladores de la
interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo
cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por
ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse,
habindose descubierto virus que usan originales artimaas para infectar a un sistema
sin ser descubiertos. Mencionaremos el caso particular del blgaro DARK AVENGER-
D, el virus peruano ROGUE II y el chileno CPW Arica.
Todos ellos tienen rutinas que en forma muy rpida se superponen a los IRQ's ocupados
por las vacunas logrando desactivarlas para acceder directamente a los servicios del
DOS y del BIOS tomando absoluto control del sistema y sin restriccin alguna.
Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de
Microsoft y otros antivirus son muy conocidas por los creadores de virus.
Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar a
algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus
suelen utilizar esta tcnica en su necesidad de "by-pasear" un virus nuevo y desconocido
que podra estar activo cuando se est explorando un sistema.
La mayora de virus "musicales" y los que afectan a los perifricos pertenecen a esta
categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya sea una tarjeta
de sonido, un mdem o CD-ROM por ejemplo, el software instalador de cada uno de
stos se encarga de programar automticamente el PPI (Interfase Programable de
Perifricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ (interrupt
request), los cuales son asignados para ser usados especficamente por cada perifrico,
para evitar que tengan conflictos con otros ya existentes.
Programar el PPI por medio del lenguaje assembler es relativamente fcil y si a esta
programacin se le incluye la funcin correspondiente al TIMER y caracteres de sonido,
se estar creando un virus "musical". Del mismo modo, pero con otras instrucciones se
podr afectar a las impresoras, tarjetas de sonido, de redes o mdems, provocando
diferentes efectos o manifestaciones.
Las tcnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se
pueden programar virus combinando cualquiera de las modalidades explicadas en este
mdulo.
VIRUS ANEXADO
Para lograr este propsito de despertar la curiosidad innata en el ser humano, los autores
de esta modalidad de difusin emplean argumentos en el cuerpo del mensaje, tales
como: "Buenas nuevas", "Gane dinero", "Te adjunto una informacin muy interesante
que te va a convenir", etc., etc.
Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP,
ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o
archivos con extensin .SHS y si adems contienen instrucciones de auto-enviarse a la
Libreta de Direcciones del software de correo del usuario, su propagacin tendr un
efecto multiplicador.
Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orgen
totalmente desconocido se evite aperturar el archivo adjunto y se proceda a eliminarlo,
asi como tambin el mensaje de orgen.
El virus Melissa, difundido en Marzo de 1999, as como el virus Papa son muestras de
esta modalidad de difusin y recientemente el ExploreZip, el LoveLetter y el
VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas en todo
el mundo.
VIRUS EN JAVA
Con todas estas caractersticas de un poderoso lenguaje, los creadores de virus pensaron
tambin en Java, como un medio para producir especies virales. Debido a ciertas
restricciones definidas en las propiedades de seguridad, tanto de los sistemas operativos,
as como de los navegadores, hasta la fecha existen solamente 2 virus de Java notables:
Java.Beanhive
Detalles Tcnicos
El ejecutor del virus es un pequeo programa Java de apenas 40 lneas de cdigo, que
cuando toma el control de un sistema, se conecta al servidor WEB remoto, enva
(download) el cdigo del virus que es guardado en el archivo BeanHive.class y se
ejecuta como una sub-rutina. El cdigo viral est dividido en 6 partes y es almacenado
en 6 diferentes archivos Java:
VIRUS EN VBS
Debido al auge de Internet los creadores de virus han encontrado una forma de
propagacin masiva y espectacular de sus creaciones a travs mensajes de correo
electrnico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la
extensin .VBS
Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows,
Novell, etc. o por una aplicacin mIRC, pIRC, AutoCad, etc.
Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos
de dao y algunos simplemente usan las instrucciones Visual Basic Scripts, como
medios de propagacin. Asimismo, un VBS puede contener instrucciones que afecten a
los sistemas. Tambin es posible editar instrucciones en la Libreta de Notas (NotePad) y
guardar el archivo con la extensin .VBS.
1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas")
Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC,
pero es necesario que primero se conecte a un servidor chat, el cual a su vez, est
conectado a otros servidores similares, los cuales conforman una red IRC. Los
programas "clientes IRC" facilitan al usuario las operaciones de conexin, haciendo uso
del comando /JOIN, para poder conectarse a uno o mas canales.
Las conversaciones pueden ser pblicas (todo el canal visualiza lo que el usuario digita)
o privadas (comunicacin entre 2 personas).
Para "cargar" una sesin de chat los usuarios deben registrarse en un servidor chat,
elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado
"bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas
operaciones de manera intuitiva y proporcionando al usuario un entorno grafico
amigable.
Todos los gusanos del Chat, siguen el mismo principio de infeccin. Usando el
comando SEND file, envan automticamente una copia del SCRIPT.INI a todas las
personas conectadas al canal chat, adems de otras instrucciones dentro de un Visual
Basic Script.
Este script que contiene el cdigo viral sobrescribe al original, en el sistema remoto del
usuario, logrando infectarlo, as como a todos los usuarios conectados a la vez, en ese
mismo canal.
Estas infecciones tambin se reproducen entre todos los usuarios de una red, una vez
que uno de sus usuarios ha sido infectado.
VIRUS EN .SHS
VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaa a los
usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS),
pero con la extensin .SHS
Los archivos con extensin .SHS (Shell Scraps), son ejecutables de WINDOWS
RUNDLL32, tambin conocidos como Scrap Object Files (Archivos Objeto Basura).
Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensin y
ejecutar el programa que contiene en forma oculta, al hacerle un doble click. Cuando
es distribuido a travs del correo electrnico, transferido como mensaje dentro de la Red
u otro medio basado en la Web, la extensin .SHS se hace visible, pero una vez que es
grabado al disco duro, desaparecer otra vez.
Decimos que es una mutacin accidentada cuando son ocasionadas por programadores
que buscan la eliminacin de estos virus, provocando en sus investigaciones variaciones
en el cdigo original del virus, dando lugar a nuevas versiones del mismo virus.
Pero tambin hay mutaciones intencionales cuando los programadores solo buscan
causar daos perjudiciales a las computadoras, haciendo que estos virus se vuelvan cada
vez ms peligrosos.
Para ello, el programa de deteccin de virus debe ser instalado en la memoria, a fin de
que permanentemente se controle cualquier medio de almacenamiento que sea utilizado
con el equipo de cmputo.
Este personal es responsable del control de los medios magnticos u pticos venidos del
exterior as como de la posible introduccin de virus en el equipo de computo.
Dicha actividad ser realizada por el responsable designado para este fin.
Definiremos dao como accin una indeseada, y los clasificaremos segn la cantidad de
tiempo necesaria para reparar dichos daos. Existen seis categoras de daos hechos por
los virus, de acuerdo a la gravedad.
o DAOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da 18
de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus
implica, generalmente, segundos o minutos.
o DAOS MENORES.
Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los viernes
13, todos los programas que uno trate de usar despus de que el virus haya infectado la
memoria residente. En el peor de los casos, tendremos que reinstalar los programas
perdidos. Esto nos llevar alrededor de 30 minutos.
o DAOS MODERADOS.
Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicacin de Archivos), o sobrescribe el disco rgido. En
este caso, sabremos inmediatamente qu es lo que est sucediendo, y podremos
reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizs nos lleve una
hora.
o DAOS MAYORES.
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el da en
que detectemos la presencia del virus y queramos restaurar el ltimo backup notaremos
que tambin l contiene sectores con la frase, y tambin los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados con
posterioridad a ese backup.
o DAOS SEVEROS.
Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales y
progresivos. No sabemos cundo los datos son correctos o han cambiado, pues no hay
pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la
frase Eddie lives ...).
o DAOS ILIMITADOS.
los macro virus, son las especies virales que rompieron los esquemas de programacin y
ejecucin de los virus tradicionales
Los macro virus son una nueva familia de virus que infectan documentos y hojas de
clculo. Fueron reportados a partir de 1995, cambiando el concepto que los virus tan
slo podan infectar o propagarse a travs de archivos ejecutables.
Los daos que ocasionan estos virus depende de sus autores siendo capaz desde cambiar
la configuracin del Windows, borrar archivos de nuestro disco duro, enviar por correo
cualquier archivo que no nos demos cuenta, mandar a imprimir documentos
inesperadamente, guardar los documentos como plantillas, entre otros.
Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.
Los macro virus, no pueden grabar los documentos infectados en ningn otro formato
que no sean las plantillas, el archivo es convertido a plantilla y tiende a no permitir
grabar el archivo o documento en ningn otro directorio, usando el comando SAVE AS.
Estos son algunos de los virus ms conocidos que afectan a las macros :
"wazzu"
Cuando se abre un archivo infectado, el virus toma el control y cambia el ttulo arriba de
la ventana a Microsofa Excel en lugar de Microsoft Excel.
INFECCIN
Cuando un documento es abierto por primera vez, la aplicacin (Word, Excel, etc.)
buscan la presencia del macro AutoOpen, si lo encuentra y la variable global
DisableAutoMacros no est seleccionada, entonces Word o Excel automticamente
ejecutan el macro AutoOpen (sin notificar nada al usuario). Al igual sucede cuando se
cierra la aplicacin, se ejecuta la macro AutoClose si est presente.
Al momento de ser infectado, los datos son mezclados con cdigo ejecutable, que
normalmente estn escondidos a la vista del usuario. Entonces cuando se vea el
documento, este estar infectado, se podr trabajar normalmente pero la plantilla con
virus seguir infectando documentos y las macros que utilice.
Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se
graban automticamente al final de cada sesin de trabajo.
EFECTOS
Una vez que se infecta un documento u hoja de clculo, los macro virus son capaces de
aduearse de las funciones de la aplicacin, evitando por ejemplo, que el usuario guarde
En el caso de Word los macro virus se instalan en la plantilla Normal.dot, que es la que
el usuario utiliza para crear archivos nuevos. Cuando abramos un archivo o lo
guardemos, estaremos infectando los documentos. En Excel ocurre algo similar con el
archivo Personal.XLS. En el men de la Barra de Herramientas desaparece la opcin
Macros.
Se pulsa el botn
"personalizar".
Se escoge la opcin
"Herramientas", despus "Men" y por ltimo "Lista de Macros"
Se pulsa el botn
"Agregar".
Abrimos el men
"Herramientas", hacemos click en la opcin Macros, luego la opcin Normal.dot, ah
observaremos las macros del virus.
Crear un nuevo
directorio de archivos.
Abrir el documento
infectado.
Seleccionar el
documento y en el men "Edicin", darle la opcin copiar.
Abrir el Word Pad o
el Write y en el men "Edicin" escoger la opcin "Pegar".
Guardar el
documento en el directorio previamente creado.
Repetir todos los
pasos anteriores con los documentos infectados.
Eliminar todos los
documentos infectados.
Borrar la plantilla
"Normal.dot".
ANTIVIRUS
QU ES UN ANTIVIRUS?.
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos
y cada uno de los virus existentes.
Es importante aclarar que todo antivirus es un programa y que, como todo programa,
slo funcionar correctamente si es adecuado y est bien configurado. Adems, un
antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100% de los
casos, sino que nunca ser una proteccin total ni definitiva.
El software antivirus contrarresta de varias maneras los efectos de los virus informticos
para detectarlos. La mayora de las soluciones se basan en tres componentes para la
deteccin : exploracin de acceso, exploracin requerida, y suma de comprobacin.
Como el cdigo vrico se une fsicamente a otro archivo, se puede determinar tal
modificacin guardando la informacin del archivo antes de la infeccin.
TIPOS DE ANTIVIRUS
Estos antivirus deben tener una base de datos con informacin de cada virus para saber
que mtodo de desinfeccin deben usar para eliminar el virus.
Protectores o Inmunizadores: Es un
programa para prevenir la contaminacin de virus, estos programas no son muy usados
porque utilizan mucha memoria y disminuyen la velocidad de la ejecucin de algunos
programas y hasta del computador.
Residentes: Permanecen en memoria para
el reconocimiento de un virus desde que es ejecutado. Cada vez que cargamos un
programa, el antivirus lo analiza para verificar si el archivo esta infectado o no, con
algn virus informtico.
ANTIVIRUS INTERNACIONALES
La primera generacin de antivirus eran vacunas TSR o eliminadores para cada especie
de virus. Entre ellos estaban el BBSTOP para el Bouncing Ball, BRSTOP para el Brain,
MBSTOP para el Marihuana, los cuales deban instalarse en el Autoexec.bat para poder
proteger el sistema contra estos virus. Cuando la programacin de virus aument se
volvi imposible ubicar las diferentes vacunas residentes en la memoria y ello motiv la
generacin de los softwares antivirus.
F-PROT ANTIVIRUS
ANTIVIRUS ANYWARE
VIRUSSCAN DE MCAFEE
Fcil de instalar no ocupa mucha memoria, tiene una grande base de datos, incluyendo
los virus macros, permanece en memoria, se actualiza constantemente por Internet.
Cheyenne Antivirus
Forefront Antivirus
IBM Antivirus
Pc-Cillin II
Panda Software
ANTIVIRUS NACIONALES
THE HACKER
La empresa tiene un prestigio ganado por su producto THE HACKER, el cual protege,
detecta y elimina a virus informticos, esta empresa tambin brinda el servicio de
asesoramiento y recuperacin de la informacin.
PER ANTIVIRUS
En 1,993 se crea PER SYSTEM S.A., que tiene como principal servicio el desarrollo de
software aplicativo para PCs, haciendo uso en primera instancia del Lenguaje BASIC,
luego del Quick BASIC y posteriormente del Turbo Pascal.
En 1,985, inicia sus investigaciones sobre los virus informticos debido a la aparicin
en Lima y rpida propagacin de los virus (c) Brain y Bouncing Ball (Bolita Saltarina),
concibiendo as el antivirus PER cumpliendo con las expectativas de los usuarios de esa
poca, desarrollando permanentemente estudios de investigacin como aporte
empresarial para la deteccin, eliminacin y prevencin de virus a las diferentes
Instituciones y Entidades Pblicas como a usuarios.
CONCLUSIONES GENERALES
Para implementar tales estrategias deberan tenerse a mano los siguientes elementos:
Si se cuenta con un antivirus comercial o registrado, debern tenerse siempre a mano los
telfonos de soporte tcnico.
por si uno de los discos de respaldo se daa. Los respaldos tambin pueden hacerse en
cinta (tape backup), aunque para el usuario normal es preferible hacerlo en discos, por el
costo que las unidades de cinta representan.
REVISAR TODOS LOS DISCOS NUEVOS ANTES
DE UTILIZARLOS: Cualquier disco que no haya sido previamente utilizado debe ser
revisado, inclusive los programas originales (pocas veces sucede que se distribuyan
discos de programas originales infectados, pero es factible) y los que se distribuyen
junto con revistas de computacin.
REVISAR TODOS LOS DISCOS QUE SE HAYAN
PRESTADO: Cualquier disco que se haya prestado a algn amigo o compaero de
trabajo, an aquellos que slo contengan archivos de datos, deben ser revisados antes de
usarse nuevamente.
REVISAR TODOS LOS PROGRAMAS QUE SE
OBTENGAN POR MDEM O REDES: Una de las grandes vas de contagio la
constituyen Internet y los BBS, sistemas en los cuales es comn la transferencia de
archivos, pero no siempre se sabe desde dnde se est recibiendo informacin.
REVISAR PERIDICAMENTE LA
COMPUTADORA: Se puede considerar que una buena frecuencia de anlisis es, por
lo menos, mensual.
HACKERS!!