Virus Informticos

Montes B. Carlen M Pgina 1

 Virus Informticos

INTRODUCCION

Actualmente los virus informticos se han incrementado notablemente; desde la primera

aparicin su crecimiento ha sido sorprendente. En la actualidad se crean cinco virus
diarios aproximadamente, los virus no solamente copian sus cdigos en forma parcial a
otros programas sino que adems lo hacen en reas importantes de un sistema (sector de
arranque, tabla de particin, entre otros).

Un virus no necesariamente tiene que auto reproducirse, pues basta con que se instale en
memoria y desde all ataque a un determinado tipo de archivo o reas del sistema y lo
infecte. Con Internet se hace ms fcil tener el total control de los virus informticos, lo
que resulta perjudicial a todos los usuarios.

El crecimiento veloz de los virus, hace necesario un rpido tratamiento usando las
tcnicas de prevencin, deteccin y eliminacin de virus informticos, tenindose que
llevar a cabo de forma rpida y eficiente .

Como causa de ste crecimiento innumerable de los virus informticos, aparece,

paradjicamente la solucin, mediante las actualizaciones de los antivirus.

HISTORIA DE LOS VIRUS

Desde la aparicin de los virus informticos en 1984 y tal como se les concibe hoy en
da, han surgido muchos mitos y leyendas acerca de ellos. Esta situacin se agrav con
el advenimiento y auge de Internet. A continuacin, un resumen de la verdadera
historia de los virus que infectan los archivos y sistemas de las computadoras.

1939-1949 Los Precursores

En 1939, el famoso cientfico matemtico John

Louis Von Neumann, de orgen hngaro, escribi
un artculo, publicado en una revista cientfica de
New York, exponiendo su "Teora y organizacin de
autmatas complejos", donde demostraba la
posibilidad de desarrollar pequeos programas que
pudiesen tomar el control de otros, de similar
estructura.

Cabe mencionar que Von Neuman, en 1944

contribuy en forma directa con John Mauchly y J.
Presper Eckert, asesorndolos en la fabricacin de la
ENIAC, una de las computadoras de Primera
Generacin, quienes construyeran adems la famosa
UNIVAC en 1950.

John Louis von Neumann (1903-1957)

En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jvenes

programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera

Montes B. Carlen M Pgina 2

 Virus Informticos

de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la

teora de John Von Neumann, escrita y publicada en 1939.

Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet.

Puesto en la prctica, los contendores del CoreWar ejecutaban programas que iban
paulatinamente disminuyendo la memoria del computador y el ganador era el que
finalmente consegua eliminarlos totalmente. Este juego fue motivo de concursos en
importantes centros de investigacin como el de la Xerox en California y el
Massachussets Technology Institute (MIT), entre otros.

Sin embargo durante muchos aos el CoreWar fue mantenido en el anonimato, debido a
que por aquellos aos la computacin era manejada por una pequea lite de
intelectuales

A pesar de muchos aos de clandestinidad, existen reportes acerca del virus Creeper,
creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360,
emitiendo peridicamente en la pantalla el mensaje: "I'm a creeper... catch me if you
can!" (Soy una enredadera, agrrenme si pueden). Para eliminar este problema se cre el
primer programa antivirus denominado Reaper (segadora), ya que por aquella poca se
desconoca el concepto de los softwares antivirus.

En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de Amrica,
precursora de Internet, emiti extraos mensajes que aparecan y desaparecan en forma
aleatoria, asimismo algunos cdigos ejecutables de los programas usados sufran una
mutacin. Los altamente calificados tcnicos del Pentgono se demoraron 3 largos das
en desarrollar el programa antivirus correspondiente.

Hoy da los desarrolladores de antivirus resuelven un problema de virus en contados

minutos.

1981 La IBM PC

En Agosto de 1981 la International Business Machine lanza al mercado su primera

computadora personal, simplemente llamada IBM PC. Un ao antes, la IBM haban
buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los
derechos de su sistema operativo CP/M, pero ste se hizo de rogar, viajando a Miami
donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul".

Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y adquiere a la

Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que
realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el
nombre de PC-DOS se lo vendi a la IBM. Sin embargo, Microsoft retuvo el derecho de
explotar dicho sistema, bajo el nombre de MS-DOS.

El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rpido y
Rstico Sistema Operativo de Disco) y tena varios errores de programacin (bugs).

Montes B. Carlen M Pgina 3

 Virus Informticos

La enorme prisa con la cual se lanz la IBM PC impidi que se le dotase de un buen
sistema operativo y como resultado de esa imprevisin todas las versiones del llamado
PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya
que fundamentalmente heredaron muchos de los conceptos de programacin del antiguo
sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una
rutina de apenas 256 bytes, que es ejecutada previamente a la ejecucin de cualquier
programa con extensin EXE o COM.

1983 Keneth Thompson

Este joven ingeniero, quien en 1969 cre el sistema operativo UNIX, resucit las teoras
de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo
protagonista de una ceremonia pblica present y demostr la forma de desarrollar un
virus informtico.

1984 Fred Cohen

Al ao siguiente, el Dr. Fred Cohen al ser

galardonado en una graduacin, en su discurso
de agradecimiento incluy las pautas para el
desarrollo de un virus. Este y otros hechos
posteriores lo convirtieron en el primer autor
oficial de los virus, aunque hubo varios autores
ms que actuaron en el anonimato.

El Dr. Cohen ese mismo ao escribi su libro

"Virus informticos: teora y experimentos",
donde adems de definirlos los califica como
un grave problema relacionado con la
Seguridad Nacional. Posteriormente este
investigador escribi "El evangelio segn
Fred" (The Gospel according to Fred),
desarroll varias especies virales y
experiment con ellas en un computador VAX
11/750 de la Universidad de California del
Sur.

La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la
revista BYTE reportaron la presencia y difusin de algunos programas que actuaban
como "caballos de Troya", logrando infectar a otros programas.

Al ao siguiente los mensajes y quejas se incrementaron y fue en 1986 que se

reportaron los primeros virus conocidos que ocasionaron serios daos en las IBM PC y
sus clones.

1986 El comienzo de la gran epidemia

En ese ao se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron
las primeras especies representativas de difusin masiva. Estas 3 especies virales tan

Montes B. Carlen M Pgina 4

 Virus Informticos

slo infectaban el sector de arranque de los disckettes. Posteriormente aparecieron los

virus que infectaban los archivos con extensin EXE y COM.

El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de

los precursores de los virus y recin graduado en Computer
Science en la Universidad de Cornell, difundi un virus a travs
de ArpaNet, (precursora de Internet) logrando infectar 6,000
servidores conectados a la red. La propagacin la realiz desde
uno de los terminales del MIT (Instituto Tecnolgico de
Massashussets).

Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema

operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado
y condenado en la corte de Syracuse, estado de Nueva York, a 4
aos de prisin y el pago de US $ 10,000 de multa, pena que fue
conmutada a libertad bajo palabra y condenado a cumplir 400
horas de trabajo comunitario.

1991 La fiebre de los virus

En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeaba como
director del Laboratorio de Virologa de la Academia de Ciencias de Bulgaria, escribi
un interesante y polmico artculo en el cual, adems de reconocer a su pas como el
lder mundial en la produccin de virus da a saber que la primera especie viral blgara,
creada en 1988, fue el resultado de una mutacin del virus Vienna, originario de
Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de
Sofa. Al ao siguiente los autores blgaros de virus, se aburrieron de producir
mutaciones y empezaron a desarrollar sus propias creaciones.

En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se

propag por toda Europa y los Estados Unidos hacindose terriblemente famoso por su
ingeniosa programacin, peligrosa y rpida tcnica de infeccin, a tal punto que se han
escrito muchos artculos y hasta ms de un libro acerca de este virus, el mismo que
posteriormente inspir en su propio pas la produccin masiva de sistema generadores
automticos de virus, que permiten crearlos sin necesidad de programarlos.

1995 Los macro virus

A mediados de 1995 se reportaron en diversas ciudades del mundo la aparicin de una

nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin
ser archivos ejecutables podan auto replicarse infectando a otros documentos. Los
llamados macro virus tan slo infectaban a los archivos de MS-Word, posteriormente
apareci una especie que atacaba al Ami Pro, ambos procesadores de textos.

En 1997 se disemina a travs de Internet el primer macro virus que infecta hojas de
clculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma
familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor
informacin srvanse revisar la opcin Macro Virus, en este mismo mdulo.

Montes B. Carlen M Pgina 5

 Virus Informticos

1999 Los virus anexados (atachados)

A principios de 1999 se empezaron a propagar los virus anexados (atachados) a

mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo ao fue
difundidos a travs de Internet el peligroso CIH y el ExploreZip, entre otros muchos
ms.

A fines de Noviembre de este mismo ao apareci el BubbleBoy, primer virus que

infecta los sistemas con tan slo leer el mensaje de correo, el mismo que se muestra en
formato HTML. En Junio del 2000 se report el VBS/Stages.SHS, primer virus oculto
dentro del shell de la extensin .SHS.

Resultar imposible impedir que se sigan desarrollando virus en todo el mundo, por ser
esencialmente una expresin cultural de "graffiti ciberntico", as como los crackers
jams se detendrn en su intento de "romper" los sistemas de seguridad de las redes e
irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha
del bien y el mal ahora se ha extendido al ciber espacio.

DEFINICION DE LOS VIRUS INFORMTICOS

Los virus informticos son programas que utilizan tcnicas sofisticadas, diseados por
expertos programadores, los cuales tienen la capacidad de reproducirse por s mismos,
unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayora
de estas acciones son hechas con mala intencin.

Un virus informtico, ataca en cualquier momento, destruyendo toda la informacin que

no est protegida con un antivirus actualizado.

La mayora de los virus suelen ser programas residentes en memoria, se van copiando
dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras
personas, tambin encontrarn en el interior archivos con virus.

Un virus tiene la capacidad de daar informacin, modificar los archivos y hasta borrar
la informacin un disco duro, dependiendo de su programador o creador.

En la actualidad los virus informticos no solo afectan a los archivos ejecutables de

extensin .EXE y .COM, sino tambin a los procesadores de texto, como los
documentos de Word y hojas de clculo como Excel, esta nueva tcnica de elaboracin
de virus informtico se llama Macro Virus.

POR QU LLAMARLOS VIRUS?

La gran similitud entre el funcionamiento de los virus computacionales y los virus

biolgicos, propici que a estos pequeos programas se les denominara virus.

Montes B. Carlen M Pgina 6

 Virus Informticos

Los virus en informtica son similares a los que atacan el organismo de los seres
humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo
objetivo es destruir o molestar el "husped".

Al igual que los virus orgnicos, los virus en informtica deben ser eliminados antes de
que causen la "muerte" del husped...

Los virus de las computadoras no son mas que programas; y estos virus casi siempre
los acarrean las copias ilegales o piratas.

Provocan desde la prdida de datos o archivos en los medios de almacenamiento de

informacin (diskette, disco duro, cinta), hasta daos al sistema y, algunas veces,
incluyen instrucciones que pueden ocasionar daos al equipo.

CARACTERSTICAS:

Estos programas tienen algunas caractersticas muy especiales:

Son muy pequeos.

Casi nunca incluyen el nombre del autor, ni el registro o

copyright, ni la fecha de creacin.

Se reproducen a s mismos.

Toman el control o modifican otros programas.

MOTIVOS PARA CREAR UN VIRUS:

A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de
computadora no ocurren en forma natural, cada uno debe ser programado. No existen
virus benficos.

Algunas veces son escritos como una broma, quiz para irritar a la gente desplegando
un mensaje humorstico. En estos casos, el virus no es mas que una molestia. Pero
cuando un virus es malicioso y causa dao real, quin sabe realmente la causa?
Aburrimiento? Coraje? Reto intelectual? Cualquiera que sea el motivo, los efectos
pueden ser devastadores.

Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su

identificacin.

Montes B. Carlen M Pgina 7

 Virus Informticos

FASES DE INFECCION DE UN VIRUS

Primera Fase (Infeccin)

El virus pasa a la memoria del computador, tomando el control del mismo, despus de
intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de
ejecutar un archivo infectado.

El virus pasa a la memoria y el sistema se ejecuta, el programa funciona aparentemente

con normalidad, de esta forma el usuario no se da cuenta de que su sistema est siendo
infectado.

Segunda Fase (Latencia)

Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema

cuando son ejecutados o atacando el

sector de arranque del disco duro.

De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendr el sector de arranque del disco, y los archivos del
sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura,
dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar
el sistema.

Tercera Fase (Activacin)

Esta es la ltima fase de la vida de un virus y es la fase en donde el virus se hace

presente.

La activacin del virus trae como consecuencia el despliegue de todo su potencial

destructivo, y se puede producir por muchos motivos, dependiendo de como lo cre su
autor y de la versin de virus que se trate, debido a que en estos tiempo encontramos
diversas mutaciones de los virus.

Algunos virus se activan despus de un cierto nmero de ejecuciones de un programa

infectado o de encender el sistema operativo; otros simplemente esperan a que se
escriba el nombre de un archivo o de un programa.

La mayora de los virus se activan mediante el reloj del sistema para comprobar la fecha
y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna
condicin y por ltimo atacan, el dao que causan depende de su autor.

Montes B. Carlen M Pgina 8

 Virus Informticos

CLASES DE VIRUS:

VIRUS POLIMORFICOS

o Muy difciles de detectar y eliminar, debido a que cada copia del virus es
diferente de otras copias.

o Sus instrucciones cambian cada vez que se autoencriptan.

o El virus produce varias copias diferentes de s mismo.

o Cambian su forma (cdigo) cada vez que infectan un sistema, de esta

manera parece siempre un virus distinto y es ms difcil que puedan ser detectados por
un programa antivirus.

o Pero existe un fallo en est tcnica, y es que un virus no puede

codificarse por completo. Por lo menos tiene que quedar la rutina desencriptadora, es
esta rutina la que buscan los antivirus para la deteccin del virus.

VIRUS ESTATICOS

Tipo de virus ms antiguos y poco frecuentes.

Su medio de propagacin es a travs de programas ejecutables.

Su forma de actuar es sencilla.

Cuando abrimos un archivo infectado, el virus toma el control y contamina otro

archivo que no este todava infectado.

Normalmente infectan archivos del mismo directorio, o puede ser que tengan
objetivos fijos como el COMMAND.COM del Sistema Operativo.

No permanecen en memoria ms que el tiempo necesario para infectar uno o

varios archivos.

Pueden ser virus destructivos en el caso de que sobrescriban la informacin del

programa principal con su cdigo de manera irreversible.

A veces bloquean el control del sistema operativo, sobrescribindolo.

VIRUS RESIDENTES

Virus que permanecen indefinidamente en memoria incluso despus de haber

finalizado el programa portador del virus.

Una vez ejecutado el programa portador del virus, ste pasa a la memoria del
computador y se queda all hasta que apaguemos el ordenador. Mientras tanto va
infectando todos aquellos programas ejecutables que utilicemos.

Montes B. Carlen M Pgina 9

 Virus Informticos

VIRUS DESTRUCTIVOS

Microprogramas muy peligrosos para la integridad de nuestro sistema y nuestros

datos.

Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco

duro.

Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestin

de segundos inutilizan los datos del disco duro.

VIRUS BIPARTIDOS
o Es un virus poco frecuente.
o Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su
cdigo (el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero
puede haber otra versin del mismo virus que incorpore ese algoritmo. Si ambos virus
coinciden en nuestro computador, y se unen en uno slo, se convierten en un virus
destructivo.

VIRUS COMPAEROS
o Son los virus ms sencillos de hacer.
o Cuando en un mismo directorio existen dos programas ejecutables con el
mismo nombre pero uno con extensin .COM y el otro con extensin .EXE, el MS-DOS
carga primero el archivo con extensin .COM.
o Si se crea un archivo .COM oculto, con el mismo nombre que el otro
archivo ejecutable de extensin .EXE. Primero se cargar en la memoria el archivo
.COM que contiene el virus. Despus el virus llamara al programa original.
o El archivo infectado no podra ser visto con un simple comando DIR en
C :\, porque contiene el atributo de oculto.

o VIRUS DE BOOT (SECTOR DE ARRANQUE)

Como su nombre lo indica, infecta el sector de arranque del disco
duro.
Dicha infeccin se produce cuando se intenta cargar el sistema
operativo desde un disco infectado.
Infecta los diskettes o discos duros, alojndose en el boot sector.
Cuando se enciende el computador, lo primero que hace la BIOS
es inicializar todo (tarjetas de vdeo, unidades de disco, chequear memoria, entre otros).

Y entonces lee el primer sector del disco duro, colocndolo en la memoria.

Normalmente es un pequeo programa que se

encarga de preparar al Sistema Operativo.
Lo que hace este tipo de virus es sustituir el boot
sector original por el programa con el virus informtico para que se cargue en el
Sistema Operativo.

Montes B. Carlen M Pgina 10

 Virus Informticos

Almacenando el boot sector original en otra parte

del disco o simplemente lo reemplaza en su totalidad.
Tambin localiza un sitio en el Disco Duro para
guardar la antigua rutina que haba en el BOOT.

o AUTOREPLICABLES

Realizan funciones parecidas a los virus biolgicos. Ya que se

autoreplican e infectan los programas ejecutables que se encuentren en el disco.
Se activan en una fecha, hora programada, cada determinado
tiempo, contando a partir de su ltima ejecucin o simplemente al sentir que se les trata
de detectar.

o ESQUEMA DE PROTECCIN
No son virus destructivos.
Se activan cuando se intenta copiar un archivo que est protegido
contra escritura.
Tambin se ejecutan cuando se intenta copiar softwares o
programas.
o VIRUS INFECTORES DE PROGRAMAS EJECUTABLES
La infeccin se produce al ejecutar el programa que contiene el
virus, en ese momento busca todos los programas cuyas extensiones sean .COM o
.EXE.
Cuando un programa infectado est ejecutndose, el virus puede
permanecer residente en memoria e infectar cada programa que se ejecute.
Los virus de este tipo tienen dos formas de alojarse en el
ejecutable.
Graban su cdigo de inicio al principio del archivo, realizando un
salto para ejecutar el programa bsico y regresar al programa infectado.
Sobrescribiendo en los sectores del disco, haciendo prcticamente
imposible su recuperacin, si no cuenta con los originales.

o VIRUS INVISIBLES
Este tipo de virus intenta esconderse del Sistema Operativo
mediante varias tcnicas.
Pueden modificar el tamao del archivo infectado, para que no se
note que se le ha aadido un virus.
Pueden utilizar varias tcnicas para que no se les pueda encontrar
en la memoria del ordenador engaando a los antivirus.
Normalmente utilizan la tcnica de Stealth o Tunneling.
o PROGRAMAS MALIGNOS

Montes B. Carlen M Pgina 11

 Virus Informticos

Son programas que deliberadamente borran archivos o software indicados por sus
autores eliminndose as mismo cuando terminan de destruir la informacin.

Entre los principales programas malignos tenemos :

Bombas Lgicas
Bombas de Tiempo
Jokes
Gusanos
Caballos de Troya

Bombas Lgicas y de Tiempo

Son programas ocultos en la memoria del sistema

o en el disco, o en los archivos de programas ejecutables con extensin .COM y .EXE.
Una Bomba de Tiempo se activa en una fecha,
hora o ao determinado.
Puede formatear el disco duro.
El dao que las bombas de tiempo puedan causar
depende de su autor.
Una Bomba Lgica se activa al darse una
condicin especfica.
Tanto las bombas lgicas como las bombas de
tiempo, aparentan el mal funcionamiento del computador, hasta causar la prdida de la
informacin.

Jokes

Son programas desarrollados con el objetivo de

hacer bromas, de mal gusto, ocasionando distraccin y molestias a los usuarios.
Simulan el comportamiento de Virus, constituyen
Bombas Lgicas o de Tiempo.
Muestran en la pantalla mensajes extraos con la
nica intencin de fastidiar al usuario.

Gusanos

Es un programa que se autoreproduce.

No infecta otros programas como lo hara un virus,
pero crea copias de l, las cuales crean ms copias.
Son ms usados para atacar en grandes sistemas
informticos mediante una red de comunicaciones como Intranet o Internet, donde el
gusano crear ms copias rpidamente, obstruyendo el sistema.
Se propagan rpidamente en las computadoras.
Utilizan gran cantidad de memoria del
computador, disminuyendo la velocidad de ste.

Montes B. Carlen M Pgina 12

 Virus Informticos

Caballos de Troya

Son aquellos programas que se introducen en el

sistema bajo una apariencia totalmente diferente a la de su objetivo final.
Se presentan como informacin perdida o basura
sin ningn sentido.
Pero al cabo de un determinado tiempo y
esperando la indicacin del programa, se activan y comienzan a
ejecutarse.

Sus autores lo introducen en los programas ms

utilizados o softwares ilegales como por ejemplo :

Windows 95

No se autoreproducen.
Su misin es destruir toda la informacin que se
encuentra en los discos.
TCNICAS DE VIRUS

Las tecnologas de software han evolucionado asombrosamente en los ltimos

tiempos al igual que las arquitecturas de hardware y continan hacindolo da a da. De
este avance no se podra dejar de mencionar la creacin de los virus y sus programas
antivirus, lo cual ha motivado que ahora se empleen nuevas tcnicas y sofisticadas
estrategias de programacin, con el objeto de lograr especies ms dainas y menos
detectables y por consiguiente los software antivirus tienen que ser ms acuciosos y
astutos.

El lenguaje de programacin por excelencia para desarrollar virus, es el Assembler pues

los denominados lenguajes de alto nivel como Turbo Pascal, C, gestores de bases de
datos, etc. han sido diseados para producir software aplicativos. Una excepcin a la
regla son los Macro Virus, tratados por separado y los virus desarrollados en Java
Scripts, Visual Basic Scripts y de Controles Activex, a partir de 1999.

Estos hechos demuestran fehacientemente que no existe ningn impedimento para que
se puedan programar virus en lenguajes diferentes al assembler, aunque con ninguno de
ellos se podra generar las rdenes directas para tomar control de las interrupciones, o
saltar de un programa anfitrin (host) o receptor, a otro en forma tan rpida y verstil.

El autor de virus por lo general vive muy de prisa y tal pareciera que adems de haber
incrementado sus conocimientos, ha analizado los errores cometidos por los anteriores
programadores de virus que han permitido que sus especies virales sean fcilmente
detectadas, y es por ello que sin dejar de lado las formas tradicionales de programacin,
ha creado adems sofisticadas rutinas y nuevas metodologas.

Han transcurrido ms de 16 aos desde que el Dr. Fred Cohen expusiese sus conceptos
y teoras y los autores de virus no solamente se han convertido en ms creativos e
ingeniosos, sino que continuarn apareciendo nuevas Tcnicas de Programacin,

Montes B. Carlen M Pgina 13

 Virus Informticos

aprovechando de la facilidad de propagacin de sus especies virales, a causa del auge de

Internet.

Algunas tcnicas y estrategias de programacin de virus:

INFECTOR RAPIDO

Un virus infector rpido es aquel que cuando est activo en la memoria infecta no
solamente a los programas cuando son ejecutados sino a aquellos que son simplemente
abiertos para ser ledos. Como resultado de esto sucede que al ejecutar un explorador
(scanner) o un verificador de la integridad (integrity checker), por ejemplo, puede dar
como resultado que todos o por lo menos gran parte de los programas sean infectados.

Esta tcnica usa la funcin 3dh de la interrupcin 21h para abrir un archivo ejecutable
en forma muy rpida, empezando preferentemente con el COMMAND.COM y
ubicndose en clusters vacios detrs de un comando interno, por ejemplo DIR, de tal
modo que no solamente no incrementa el tamao del archivo infectado sino que adems
su presencia es inadvertible.

Puede darse el caso adems, de que cuando se ejecuta un archivo EXE o COM ste no
es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son
alterados. Si bajo esta tcnica se ha decidido atacar a las reas del sistema el cdigo
viral reemplaza a los 512 bytes del sector de arranque y envia el sector original a otra
posicin en el disco, pero a su vez emular al verdadero, y al ser un "clon" de boot le le
ser muy fcil infectar a la FAT y al Master Boot Record o a la Tabla de Particiones,
imposibilitando el acceso al disco.

INFECTOR LENTO

El trmino de infector lento se refiere a un virus que solamente infecta a los archivos en
la medida que stos son ejecutados, modificados o creados, pero con una salvedad:
puede emplear tambin parte de la tcnica del infector rpido pero sin la instruccin de
alteracin o dao inmediato al abrirse un archivo. Con la interrupcin 1Ch del TIMER
su autor programa una fecha, la misma que puede ser especfica o aleatoria (ramdom)
para manifestarse.

Mientras tanto el virus permanece inactivo y encriptado en el archivo o rea afectada

esperando su tiempo de activacin. Los virus del tipo "infector lento" suelen emplear
rutinas de anti-deteccin sumamente eficientes, algunas de las cuales inhabilitan a las
vacunas de los antivirus mas conocidos.

Existen muchsimos software Utilitarios u otras herramientas Tools), que se obtienen en

forma gratutita por Internet, que muestran las interrupciones que usan las vacunas al
cargarse en memoria. Una vez conocidos estos IRQ's resultar muy fcil para un
desarrollador de virus encontrar la forma de deshabilitar o saltear el control de ciertas
vacunas.

Montes B. Carlen M Pgina 14

 Virus Informticos

ESTRATEGIA PARSE

Esta tcnica consiste en instruir al virus para que infecte ocasionalmente, por ejemplo,
cada 10 veces que se ejecute un programa. Otras veces, infecta nicamente a los
archivos de menor extensin y al infectarlos en forma ocasional se minimiza la
posibilidad de descubrirlo fcilmente.

Por otro lado, el contador de ejecuciones de los archivos infectados con virus que
emplea esta modalidad, tiene por lo general ms de una rutina de auto encriptamiento.

La tcnica "parse" no es tan comunmente usada, pero sus efectos y estragos son muy
lamentables.

MODALIDAD COMPANION (acompaante)

Modalidad Companion (acompaante) es aquella por la cual el virus en lugar de

modificar un archivo existente, al infectarlo crea un nuevo archivo del mismo nombre,
el cual es inadvertido por el usuario. Resulta poco menos que imposible que alguien
recuerde el nombre de todos los archivos de los sub-directorios de su disco duro.

Cuando un programa es ejecutado, por ejemplo ejemplo WP.EXE, ste invoca al

conocido procesador de textos, pero el virus ya ha creado un falso WP.COM, de tal
modo que ste es ejecutado en primer lugar, por ser un archivo COM de una sla
imgen (mximo 64k) y puede arrastrar el cdigo viral sin que el usuario se percate. Y
as continuar hacindolo. Mas an, los verificadores de integridad (integrity checkers)
fallarn en la accin de detectar este tipo de virus ya que stos utilitarios solo buscan los
archivos existentes.

Debido a que sta no es una tcnica frecuentemente empleada, algunos investigadores

de virus denominan a los virus ANEXADOS, como virus COMPANION, que a nuestro
criterio no es su exacto concepto y clasificacin.

ESTILO ARMORED

Tambin conocido como virus blindado, es una forma muy peculiar de programacin,
donde el autor programa una serie de rutinas que usa como cubiertas o escudos (shells),
en el archivo que contiene el virus, para que ste no pueda ser fcilmente "rastreado" y
mucho menos desensamblado.

Pueden ser una o ms rutinas de encriptamiento, sobrepuestas unas sobre otras. Se les
conoce tambin como "virus anti-debuggers". El Dark Avenger, producido en Bulgaria
en 1987 fu el primer virus que us conjuntamente las tecnologas ARMORED y
STEALTH. En Junio del 2000 se report el gusano VBS/Stages.SHS, el primer virus
oculto propagado masivamente a travs de mensajes de correo electrnico en Internet.

Montes B. Carlen M Pgina 15

 Virus Informticos

TECNICA STEALTH

Un virus "stealth" es aquel que cuando est activado esconde las modificaciones hechas
a los archivos o al sector de arranque que estn infectados. Esta tcnica hace uso de
todos los medios posibles para que la presencia del virus pase totalmente desapercibida,
anulan efectos tales como el tamao de los archivos, los cambios de la fecha, hora o
atributo, hasta el decremento de la memoria RAM. Un ejemplo simple lo constituye el
primer virus (c) Brain que infectaba el sector de arranque, monitoreando los I/O
(entrada y salida) y redireccionando cualquier intento de leer este sector infectado.

Cuando un virus "Stealth" est activo en memoria cualquiera de estos cambios pasarn
desapercibidos al realizar un DIR, por ejemplo, ya que el virus habr tomado control de
todo el sistema. Para lograr este efecto, sus creadores usan la interrupcin 21h funcin
57h.

Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de virus y con
la proteccin contra escritura, al efectuar la misma orden DIR se detectarn los cambios
causados a los archivos infectados. Un virus de boot programado con esta tcnica
reemplaza perfectamente al verdadero sector de arranque, que tiene apenas 512 bytes y
al cual mueve hacia otro lugar del disco pero que con una instruccin de salto vuelve
otra vez a utilizarlo.

Hoy da es posible crear virus con la tcnica Stealth, en cualquier lenguaje de

programacin, adems del Assembler.

VIRUS POLIMORFICOS (mutantes)

Son quizs los ms difciles de detectar y en consecuencia de eliminar. Sus valores en la

programacin van cambiando secuencialmente cada vez que se autoencriptan, de tal
forma que sus cadenas no son las mismas. El virus polimrfico produce varias, pero
diferentes copias de s mismo, manteniendo operativo su microcdigo viral.

Un fcil mtodo de evadir a los detectores consiste en producir rutinas auto

encriptadoras pero con una "llave variable". La tcnica polimrfica o "mutante" es muy
sofisticada y demanda mucho conocimiento, ingenio y trabajo de programacin tal
como se puede apreciar en el cdigo fuente del virus DARK AVENGER.

Sin embargo existe uno de los ms ingeniosos generadores automticos de virus,

llamado "Mutation Engine" (distribuido gratuitamente en Internet), que emplea un
polimorfismo en la forma de mdulo objeto. Con este generador cualquier virus puede
convertirse en polimrfico al agregarle ciertas llamadas a su cdigo assembler y
"enlazndolas" al Mutation Engine, por medio de un generador de nmeros aleatorios.

Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier rea vital
del sistema, especialmente el MBR, ya sea individualmente, en forma combinada o en
su totalidad. Este estilo de programacin tambin emplea el control de memoria
dinmica as como algoritmos de compresin y descompresin de datos.

Montes B. Carlen M Pgina 16

 Virus Informticos

FUNCION DESACTIVADORA o TUNNELING

Un virus que emplea la tcnica del " tnel" intercepta los manipuladores de la
interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo
cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por
ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse,
habindose descubierto virus que usan originales artimaas para infectar a un sistema
sin ser descubiertos. Mencionaremos el caso particular del blgaro DARK AVENGER-
D, el virus peruano ROGUE II y el chileno CPW Arica.

Todos ellos tienen rutinas que en forma muy rpida se superponen a los IRQ's ocupados
por las vacunas logrando desactivarlas para acceder directamente a los servicios del
DOS y del BIOS tomando absoluto control del sistema y sin restriccin alguna.

Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de
Microsoft y otros antivirus son muy conocidas por los creadores de virus.

Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar a
algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus
suelen utilizar esta tcnica en su necesidad de "by-pasear" un virus nuevo y desconocido
que podra estar activo cuando se est explorando un sistema.

PROGRAMADORES DEL PPI

La mayora de virus "musicales" y los que afectan a los perifricos pertenecen a esta
categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya sea una tarjeta
de sonido, un mdem o CD-ROM por ejemplo, el software instalador de cada uno de
stos se encarga de programar automticamente el PPI (Interfase Programable de
Perifricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ (interrupt
request), los cuales son asignados para ser usados especficamente por cada perifrico,
para evitar que tengan conflictos con otros ya existentes.

Programar el PPI por medio del lenguaje assembler es relativamente fcil y si a esta
programacin se le incluye la funcin correspondiente al TIMER y caracteres de sonido,
se estar creando un virus "musical". Del mismo modo, pero con otras instrucciones se
podr afectar a las impresoras, tarjetas de sonido, de redes o mdems, provocando
diferentes efectos o manifestaciones.

Las tcnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se
pueden programar virus combinando cualquiera de las modalidades explicadas en este
mdulo.

VIRUS ANEXADO

El virus anexado (attached) no es una tcnica de programacin de virus, es una nueva

modalidad de difundirlo.

Montes B. Carlen M Pgina 17

 Virus Informticos

Con el incremento del intercambio de informacin por correo electrnico, a causa de la

gran demanda de uso de los servicios de Internet, los desarrolladores de virus han
hallado una nueva forma de difundir sus creaciones. Ella consiste en enviar un mesaje
de correo con un archivo anexado o adjunto, el cual al ser abierto ejecuta el virus con
consecuencias de dao inmediato a los sistemas de los usuarios, que por motivos de
curiosidad cometan el error de abrir estos archivos.

Para lograr este propsito de despertar la curiosidad innata en el ser humano, los autores
de esta modalidad de difusin emplean argumentos en el cuerpo del mensaje, tales
como: "Buenas nuevas", "Gane dinero", "Te adjunto una informacin muy interesante
que te va a convenir", etc., etc.

Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP,
ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o
archivos con extensin .SHS y si adems contienen instrucciones de auto-enviarse a la
Libreta de Direcciones del software de correo del usuario, su propagacin tendr un
efecto multiplicador.

Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orgen
totalmente desconocido se evite aperturar el archivo adjunto y se proceda a eliminarlo,
asi como tambin el mensaje de orgen.

El virus Melissa, difundido en Marzo de 1999, as como el virus Papa son muestras de
esta modalidad de difusin y recientemente el ExploreZip, el LoveLetter y el
VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas en todo
el mundo.

VIRUS EN JAVA

En 1991 Sun Microsystems, empez a desarrollar un proyecto de lenguaje, con el

cdigo GREEN, bajo la direccin de James Goslin, inicialmente con el propsito de
administrar y controlar interactivamente los dispositivos conectados a las redes.
Surgieron algunas situaciones frustrantes, pero por suerte, en pocos aos se empez a
popularizar Internet.

Entonces el proyecto se convirti en un intento de resolver simultneamente, todos los

problemas que se le planteaban a los desarrolladores de software por la diversidad de
arquitecturas incompatibles, los sistemas operativos y lenguajes de programacin y la
dificultad de crear aplicaciones distribuidas en Internet.

Java fu inicialemente desarrollado en C++, pero paulatinamente se fu

independizando, escribiendo su propio lenguaje denominado Oak, que finalmente
termin convirtindose en Java. En 23 de Mayo de 1995 fu lanzado al mercado el
HotJava Browser, y ese mismo ao Netscape decidi habilitar a Java en su versin 2.0
de 1996. Es a partir de esa oportunidad que Java empez a popularirase en todo el
mundo.

Montes B. Carlen M Pgina 18

 Virus Informticos

Las caractersticas mas importantes de Java son:

1. Es de arquitectura portable, neutral y robusta.

2. Es simple, orientada a objeto y muy verstil.
3. Es interpretado. El intrprete Java (system run-time) puede ejecu
cdigo objeto.

Un Applet de Java es un programa dinmico e interactivo que puede ser ejecutado

dentro de un archivo HTML y mostrado por un navegador con capacidad Java. Un
programa Java puede ser ejecutado por s mismo. En todos los casos, bajo una jerarqua
de Clase, Sub-Clase o Super Clase.

Con todas estas caractersticas de un poderoso lenguaje, los creadores de virus pensaron
tambin en Java, como un medio para producir especies virales. Debido a ciertas
restricciones definidas en las propiedades de seguridad, tanto de los sistemas operativos,
as como de los navegadores, hasta la fecha existen solamente 2 virus de Java notables:

Java.Beanhive

La tecnologa empleada en este virus tiene varias ventajas. La forma multi-componente

de infeccin permite al virus esconder su cdigo en los archivos infectados: su longitud
crece en muy pequeos valores y despus de una ligera observacin el cdigo insertado
pareciera no ser daino.

La combinacin del llamado starter-main tambin le permite a su autor, "actualizar" el

virus con nuevas versiones al reemplazar el cdigo principal en su servidor. Cabe
mencionar que este virus o cualquier virus de Java se puede propagar y reproducir en
condiciones limitadas. La proteccin estndar de seguridad de los navegadores cancela
cualquier intento de acceder a las unidades de disco o recoger (download) archivos
como una aplicacin Java, an en modo remoto.

Consecuentemente el virus puede ser propagado nicamente cuando es ejecutado en un

archivo de disco, como una aplicacin Java, al usar el Java machine.

Detalles Tcnicos

El ejecutor del virus es un pequeo programa Java de apenas 40 lneas de cdigo, que
cuando toma el control de un sistema, se conecta al servidor WEB remoto, enva
(download) el cdigo del virus que es guardado en el archivo BeanHive.class y se
ejecuta como una sub-rutina. El cdigo viral est dividido en 6 partes y es almacenado
en 6 diferentes archivos Java:

BeanHive.class : bsqueda de archivos en un rbol de directorio

+--- e89a763c.class : analiza el formateo de archivo

|--- a98b34f2.class : acceso a las funciones del archivo

|--- be93a29f.class : preparacin para la infeccin (parte 1)

Montes B. Carlen M Pgina 19

 Virus Informticos

|--- c8f67b45.class : preparacin para la infeccin (parte 2)

+--- dc98e742.class : insertado del virus en el sistema infectado

Al infectar el virus, analiza los formatos internos de Java, escribe en el archivo el

cdigo de inicio como una sub-rutina "loadClass" y agrega al archivo constructor de
cdigos, la invocacin para su sub-rutina loadClass "BeanHive". El parmetro enviado
"BeanHive" apunta al nombre del archivo remoto en el servidor WEB y empieza la
infeccin con su cdigo viral.

VIRUS EN VBS

Debido al auge de Internet los creadores de virus han encontrado una forma de
propagacin masiva y espectacular de sus creaciones a travs mensajes de correo
electrnico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la
extensin .VBS

El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de

instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT y 2000
este tipo de archivos dej de ser empleado y fu reemplazado por los Visual Basic
Scripts.

Un Visual Basic Script es un conjunto de instrucciones lgicas, ordenadas

secuencialmente para realizar una determinada accin al iniciar un sistema operativo, al
hacer un Login en un Servidor de Red, o al ejecutar una aplicacin, almacenadas bajo
un nombre de archivo y extensin adecuada.

Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows,
Novell, etc. o por una aplicacin mIRC, pIRC, AutoCad, etc.

Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos
de dao y algunos simplemente usan las instrucciones Visual Basic Scripts, como
medios de propagacin. Asimismo, un VBS puede contener instrucciones que afecten a
los sistemas. Tambin es posible editar instrucciones en la Libreta de Notas (NotePad) y
guardar el archivo con la extensin .VBS.

Actualmente existen 2 medios de mayor difusin de virus en VBS:

1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas")

El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicacin

entre usuarios de Internet en "tiempo real', haciendo uso de software especiales,
llamados "clientes IRC" (tales como el mIRC, PIRCH, Microsoft Chat).

Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC,
pero es necesario que primero se conecte a un servidor chat, el cual a su vez, est
conectado a otros servidores similares, los cuales conforman una red IRC. Los

Montes B. Carlen M Pgina 20

 Virus Informticos

programas "clientes IRC" facilitan al usuario las operaciones de conexin, haciendo uso
del comando /JOIN, para poder conectarse a uno o mas canales.

Las conversaciones pueden ser pblicas (todo el canal visualiza lo que el usuario digita)
o privadas (comunicacin entre 2 personas).

Para "cargar" una sesin de chat los usuarios deben registrarse en un servidor chat,
elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado
"bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas
operaciones de manera intuitiva y proporcionando al usuario un entorno grafico
amigable.

Como atacan los gusanos (VBS/Worms)

Todos los gusanos del Chat, siguen el mismo principio de infeccin. Usando el
comando SEND file, envan automticamente una copia del SCRIPT.INI a todas las
personas conectadas al canal chat, adems de otras instrucciones dentro de un Visual
Basic Script.

Este script que contiene el cdigo viral sobrescribe al original, en el sistema remoto del
usuario, logrando infectarlo, as como a todos los usuarios conectados a la vez, en ese
mismo canal.

Este tipo de propagacin de archivos infectados, se debe a la vulnerabilidad de las

versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de
PIRCH98.

2. Re-envio de mensajes de la libreta de direcciones Microsot Outlook.

Office 95/97 y 2000, respectivamente, integran sus programas MS Word, Excel,

Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que
permiten invocar la ejecucin de determinadas instrucciones. En MS Word y Excel, el
usuario tiene acceso a un Editor de Visual Basic. Aunque tambin pueden editar
instrucciones y comandos con el NotePad y archivarlo con la extensin .VBS

Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for

Aplications, tienen un fcil y poderoso acceso a los recursos de otros usuarios de MS
Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es
controlado por las instrucciones del VBS y recibe la orden de re-enviar el mensaje con
el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones
del sistema de usuario infectado.

Estas infecciones tambin se reproducen entre todos los usuarios de una red, una vez
que uno de sus usuarios ha sido infectado.

Montes B. Carlen M Pgina 21

 Virus Informticos

VIRUS EN .SHS

La ltima modalidad de propagacin masiva de virus, a travs de Internet ha surgido a

partir de la creacin de un gusano denominado VBS/Stages.SHS, el mismo que ya tiene
algunas variantes,

VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaa a los
usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS),
pero con la extensin .SHS

Los archivos con extensin .SHS (Shell Scraps), son ejecutables de WINDOWS
RUNDLL32, tambin conocidos como Scrap Object Files (Archivos Objeto Basura).

Un archivo copiado dentro de un documento abierto de Microsoft Office, y luego

copiado y empastado sobre el Windows Desktop crea un archivo "Scrap" con la
extensin .SHS. Los archivos Scrap fueron creados desde la primera versin de
Windows 95, para permitir que los textos y grficos puedan ser arrastrados y colocados
(drag and drop) dentro de las aplicaciones de Microsoft Office.

Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensin y
ejecutar el programa que contiene en forma oculta, al hacerle un doble click. Cuando
es distribuido a travs del correo electrnico, transferido como mensaje dentro de la Red
u otro medio basado en la Web, la extensin .SHS se hace visible, pero una vez que es
grabado al disco duro, desaparecer otra vez.

Al tener estas caractersticas, puede ocultar archivos ejecutables, mayormente usados

como troyanos en Windows 95/98, Millenium, Windows 2000 y NT.

Con esta nueva modalidad de propagacin se facilita e incrementa el factor de riesgo de

infeccin de virus entre los usuarios de Internet, quienes a su vez infectarn a los que se
conecten sus estaciones de trabajo, dentro de redes locales o Intranets.

QUE ES UNA MUTACION ?

Se conoce con el nombre de mutacin a la alteracin intencional o accidental de un

virus informtico que ya fue creado con anterioridad.

Decimos que es una mutacin accidentada cuando son ocasionadas por programadores
que buscan la eliminacin de estos virus, provocando en sus investigaciones variaciones
en el cdigo original del virus, dando lugar a nuevas versiones del mismo virus.

Pero tambin hay mutaciones intencionales cuando los programadores solo buscan
causar daos perjudiciales a las computadoras, haciendo que estos virus se vuelvan cada
vez ms peligrosos.

Montes B. Carlen M Pgina 22

 Virus Informticos

SINTOMAS DE UN EQUIPO INFECTADO

Del procedimiento de Deteccin

El Procedimiento de Deteccin de los virus
informticos debe garantizar que la posible existencia de un virus en un medio
magntico u ptico no ingrese directamente al Sistema.

Para ello, el programa de deteccin de virus debe ser instalado en la memoria, a fin de
que permanentemente se controle cualquier medio de almacenamiento que sea utilizado
con el equipo de cmputo.

Se consideran medios de infeccin por

virus a los siguientes :

De un diskette infectado proveniente de una fuente exterior al equipo de

cmputo.

A travs de la adquisicin o movimiento de mquinas infectadas en el centro de

cmputo.

A travs de los diferentes tipos de comunicacin entre equipos de cmputo.

Cuando un Sistema Operativo est infectado, se presenta cualquiera de los

siguientes sntomas :
o El cargado de los programas toma ms tiempo de lo normal.
o Demora excesiva en los accesos al disco, cuando se efectan operaciones
sencillas de escritura.
o Se producen inusuales mensajes de errores.
o Se encienden las luces de acceso a los dispositivos, cuando no son
requeridos en ese momento.
o Disposicin de menos memoria de lo normal.
o Desaparecen programas o archivos misteriosamente.
o Se reduce repentinamente el espacio del disco.
o Los archivos ejecutables cambian de tamao.
o Aparecen, inexplicablemente, algunos archivos escondidos.
o Aparece en la pantalla una serie de caracteres especiales sin ninguna
explicacin lgica.
o Algunos comandos no pueden ser ejecutados, principalmente los
archivos con extensin .COM y .EXE.
o A veces infectan primero el COMMAND.COM, pero como su funcin
es la de seguir infectando ste continuar operando.
o La razn por la que ciertos ejecutables no pueden ser activados se debe a
que simplemente el virus puede haberlos borrado.
o Al prender el equipo no se puede accesar al disco duro, esto es debido a
que el virus ya malogr el comando COMMAND.COM y se muestra el siguiente
mensaje :

Montes B. Carlen M Pgina 23

 Virus Informticos

<>"bad or missing command

o Los archivos ejecutables de los gestores de bases de datos como dBase,

Clipper, FoxPro, etc., estn operativos, sin embargo la estructura de los archivos DBF
estn averiados o cambiados. Lo mismo puede ocurrir con las hojas de clculo como
Lotus 1-2-3, Q-Pro, Excel, etc.
o El sistema empieza a colgarse. Puede ser un virus con la orden de
provocar reseteos aleatorios.
o Cierto perifricos tales como : la impresora, mdem, tarjeta de sonido,
entre otros no funcionan.
o El sistema no carga normalmente o se interrumpe en los procesos.
o Los archivos ejecutables seguirn existiendo pero como el cdigo del
virus est presente en la mayora de los casos aumentar el tamao de los archivos
infectados.
o La pantalla muestra smbolos ASCII muy raros comnmente conocidos
como basura, se escuchan sonidos intermitentes, se producen bloqueos de ciertas teclas.

o COMO PREVENIR LOS VIRUS INFORMATICOS

Control de la Informacin Ingresada :
No deben utilizarse diskettes usados, provenientes del
exterior de la Institucin.
Utilizar siempre software comercial original.
Mantener la proteccin de escritura en todos los discos de
programas originales y de las copias de seguridad

En especial de los discos del sistema operativo y de las herramientas antivirus.

Si por razones de trabajo fuera necesario la utilizacin de

un medio magntico u ptico venido del exterior, ste deber necesariamente pasar por
los controles siguientes :
Identificar el medio de almacenamiento
que contiene la informacin. Los medios magnticos u pticos de
almacenamiento(diskettes, cintas, cartuchos, discos u otros) que contienen archivos de
informacin, deben estar debidamente etiquetados, tanto interna como externamente.
Chequear el medio magntico u ptico,
mediante un procedimiento de deteccin de virus, establecido por el organismo
competente de la Institucin.
Registrar el medio magntico u ptico, su
origen y la persona que lo porta.

Los medios de deteccin de virus deben ser actualizados mensualmente, de acuerdo a

las nuevas versiones de los detectores de virus que adquiera la Institucin. Deber
utilizarse programas antivirus originales.

Montes B. Carlen M Pgina 24

 Virus Informticos

Del Personal Usuario de las Computadoras :

El personal que tiene acceso a las computadoras en forma
monousuaria, deber encargarse de detectar y eliminar en los medios magnticos u
pticos, la infeccin o contagio con virus. A tal efecto, utilizar los procedimientos
establecidos por el rgano competente de la Institucin.

Este personal es responsable del control de los medios magnticos u pticos venidos del
exterior as como de la posible introduccin de virus en el equipo de computo.

Las computadoras conectadas a una Red,

preferentemente, no debern tener unidades de diskettes, a fin de prevenir la infeccin
de virus informticos. El uso de los diskettes deber ser efectuado por el administrador
de red.
Otras Medidas de Prevencin Contra Virus :
Semanalmente deber efectuarse un respaldo de toda la
informacin til que se encuentra almacenada en el disco duro.

Dicha actividad ser realizada por el responsable designado para este fin.

En caso de que se labore en red o en modo multiusuario,

el administrador de la red har un respaldo diario de la informacin til del disco.
Por ningn motivo debe usarse los servidores de red como
estaciones de trabajo.
Slo los archivos de datos y no los programas ejecutables
debern ser copiados de una computadora a otra.
Todo diskette debe, normalmente, estar protegido contra
escritura para evitar su posible infeccin al momento de la lectura.
El Sistema debe cargarse desde un diskette que sea
original, o en su defecto desde una copia, especialmente preparada y verificada para que
no contenga virus informticos.
Nunca se debe de ejecutar programas de origen
desconocidos.
No se debe aadir archivos de datos o programas a
diskettes que contienen programas originales.
Efectuar peridicamente la depuracin de archivos en los
discos duros de la computadora.

11. DAOS DE LOS VIRUS.

Definiremos dao como accin una indeseada, y los clasificaremos segn la cantidad de
tiempo necesaria para reparar dichos daos. Existen seis categoras de daos hechos por
los virus, de acuerdo a la gravedad.

o DAOS TRIVIALES.

Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da 18
de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus
implica, generalmente, segundos o minutos.

o DAOS MENORES.

Montes B. Carlen M Pgina 25

 Virus Informticos

Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los viernes
13, todos los programas que uno trate de usar despus de que el virus haya infectado la
memoria residente. En el peor de los casos, tendremos que reinstalar los programas
perdidos. Esto nos llevar alrededor de 30 minutos.

o DAOS MODERADOS.

Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicacin de Archivos), o sobrescribe el disco rgido. En
este caso, sabremos inmediatamente qu es lo que est sucediendo, y podremos
reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizs nos lleve una
hora.

o DAOS MAYORES.

Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasar

desapercibidos, pueden lograr que ni an restaurando un backup volvamos al ltimo
estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta
archivos y acumula la cantidad de infecciones que realiz. Cuando este contador llega a
16, elige un sector del disco al azar y en l escribe la frase: "Eddie lives somewhere
in time" (Eddie vive en algn lugar del tiempo).

Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el da en
que detectemos la presencia del virus y queramos restaurar el ltimo backup notaremos
que tambin l contiene sectores con la frase, y tambin los backups anteriores a ese.

Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados con
posterioridad a ese backup.

o DAOS SEVEROS.

Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales y
progresivos. No sabemos cundo los datos son correctos o han cambiado, pues no hay
pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la
frase Eddie lives ...).

o DAOS ILIMITADOS.

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen

la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no
son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los
privilegios mximos, fijando el nombre del usuario y la clave. El dao es entonces
realizado por la tercera persona, quien ingresar al sistema y hara lo que quisiera.

LOS MACRO VIRUS

los macro virus, son las especies virales que rompieron los esquemas de programacin y
ejecucin de los virus tradicionales

Montes B. Carlen M Pgina 26

 Virus Informticos

Los macro virus son una nueva familia de virus que infectan documentos y hojas de
clculo. Fueron reportados a partir de 1995, cambiando el concepto que los virus tan
slo podan infectar o propagarse a travs de archivos ejecutables.

Los daos que ocasionan estos virus depende de sus autores siendo capaz desde cambiar
la configuracin del Windows, borrar archivos de nuestro disco duro, enviar por correo
cualquier archivo que no nos demos cuenta, mandar a imprimir documentos
inesperadamente, guardar los documentos como plantillas, entre otros.

Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.

o CARACTERISTICAS DE LOS MACRO VIRUS :

Los macro virus tienen 2 caractersticas bsicas :

Infectan nicamente documentos de MS-Word o Ami Pro

y hojas de clculo Excel.
Poseen la capacidad de infectar y propagarse por s
mismos.

Los macro virus, no pueden grabar los documentos infectados en ningn otro formato
que no sean las plantillas, el archivo es convertido a plantilla y tiende a no permitir
grabar el archivo o documento en ningn otro directorio, usando el comando SAVE AS.

Estos son algunos de los virus ms conocidos que afectan a las macros :

CAP : Es un conjunto de diez macros encriptados (el usuario

infectado no puede verlos ni editarlos), muestra el siguiente texto en la pantalla :

C.A.P : Un virus social...Y ahora digital...

"j4cKy Qw3rTy" (jqw3rty@hotmail.com)
Venezuela, Maracay, Dic 1996

PD : Que haces gochito ? Nunca sers Simn

Bolvar...Bolsa !

Cuando infecta el Word, el virus modifica cinco mens existentes, redireccionndolos al

cdigo del virus. Los problemas que crea son diferentes, dependiendo del tipo de
instalacin y el lenguaje del Word que este en uso. Al infectar los documentos, borra
todos los macros preexistentes, pero no tiene un efecto destructivo en s mismo. Oculta
en el men de Herramientas la opcin Macros.

WM.CONCEPT : Es un macro virus MS-Word que usa

cinco macros para infectar, y propagarse. Los macros se llaman :

AAAZAO, AAAZFS, AutoOpen, FileSavesAs, Payload.

WAZZU : Es un macro virus que infecta documentos de

Microsoft Word para Windows, solo contiene la macro Autoopen. Cuando un

Montes B. Carlen M Pgina 27

 Virus Informticos

documento es abierto el virus genera un nmero aleatorio mayor a 0 y menor a 1. Si este

nmero es menor que 0.2, el virus mueve la palabra a otro lugar al azar, dentro del
mismo documento, si el nmero es menor que 0.25, el virus insertar la palabra :

"wazzu"

MDMA : Es un virus que borra archivos

especficos de Windows 95, haciendo uso de la macro AutoClose, o el FORMAT.C, el
virus dentro de la macro AutoOpen ordena formatear el disco duro.
XM.LAROUX :Es el primer macro virus
funcional en EXCEL, descubierto en julio de 1996. El cdigo del macro consiste de dos
macros llamados : Auto_Open y Check_Files. Los macros son almacenados en una hoja
de datos escondida, llamada Laroux.
XM.SOFA : Descubierto en diciembre de 1996, se
propaga por medio de un archivo llamado BOOK.XLT. Este virus contiene cuatro
macros :

Auto_Open, Auto_Range, Current_Open y Auto_Close.

Cuando se abre un archivo infectado, el virus toma el control y cambia el ttulo arriba de
la ventana a Microsofa Excel en lugar de Microsoft Excel.

METODO DE INFECCION Y EFECTOS DE LOS

MACRO VIRUS

INFECCIN

Cuando un documento es abierto por primera vez, la aplicacin (Word, Excel, etc.)
buscan la presencia del macro AutoOpen, si lo encuentra y la variable global
DisableAutoMacros no est seleccionada, entonces Word o Excel automticamente
ejecutan el macro AutoOpen (sin notificar nada al usuario). Al igual sucede cuando se
cierra la aplicacin, se ejecuta la macro AutoClose si est presente.

En Word, los macros son guardados en archivos denominados "plantillas", as que

durante una infeccin, los macro virus son capaces de convertir los documentos a
plantillas y copiarse en ellos.

Al momento de ser infectado, los datos son mezclados con cdigo ejecutable, que
normalmente estn escondidos a la vista del usuario. Entonces cuando se vea el
documento, este estar infectado, se podr trabajar normalmente pero la plantilla con
virus seguir infectando documentos y las macros que utilice.

Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se
graban automticamente al final de cada sesin de trabajo.

EFECTOS

Una vez que se infecta un documento u hoja de clculo, los macro virus son capaces de
aduearse de las funciones de la aplicacin, evitando por ejemplo, que el usuario guarde

Montes B. Carlen M Pgina 28

 Virus Informticos

la informacin que ha estado escribiendo por minutos u horas, no se puede mandar a

imprimir, entre otros.

En el caso de Word los macro virus se instalan en la plantilla Normal.dot, que es la que
el usuario utiliza para crear archivos nuevos. Cuando abramos un archivo o lo
guardemos, estaremos infectando los documentos. En Excel ocurre algo similar con el
archivo Personal.XLS. En el men de la Barra de Herramientas desaparece la opcin
Macros.

Los macros virus ms conocidos actualmente son de documentos de Microsoft Word.

Los macros son un conjunto de instrucciones y comandos. El lenguaje de macros, es

una herramienta poderosa, nos permite ejecutar tareas como por ejemplo : copiar
archivos, ejecutar programas, cambiar archivos, etc.

ELIMINACION DE UN MACRO VIRUS

MANUALMENTE.
El documento
infectado se convierte en plantilla.
En el men de
herramientas el virus oculta la opcin "Macros".
Para descubrirlo :
Men "Ver" se
escoge la opcin "Barra de Herramientas"

Montes B. Carlen M Pgina 29

 Virus Informticos

Se pulsa el botn
"personalizar".

Montes B. Carlen M Pgina 30

 Virus Informticos

Se escoge la opcin
"Herramientas", despus "Men" y por ltimo "Lista de Macros"

Montes B. Carlen M Pgina 31

 Virus Informticos

Se pulsa el botn
"Agregar".
Abrimos el men
"Herramientas", hacemos click en la opcin Macros, luego la opcin Normal.dot, ah
observaremos las macros del virus.

Montes B. Carlen M Pgina 32

 Virus Informticos

Montes B. Carlen M Pgina 33

 Virus Informticos

Crear un nuevo
directorio de archivos.
Abrir el documento
infectado.
Seleccionar el
documento y en el men "Edicin", darle la opcin copiar.
Abrir el Word Pad o
el Write y en el men "Edicin" escoger la opcin "Pegar".
Guardar el
documento en el directorio previamente creado.
Repetir todos los
pasos anteriores con los documentos infectados.
Eliminar todos los
documentos infectados.

Montes B. Carlen M Pgina 34

 Virus Informticos

Borrar la plantilla
"Normal.dot".

ANTIVIRUS

QU ES UN ANTIVIRUS?.

No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos
y cada uno de los virus existentes.

Es importante aclarar que todo antivirus es un programa y que, como todo programa,
slo funcionar correctamente si es adecuado y est bien configurado. Adems, un
antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100% de los
casos, sino que nunca ser una proteccin total ni definitiva.

Montes B. Carlen M Pgina 35

 Virus Informticos

La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el

accionar de un virus informtico en una computadora.

Este es el aspecto ms importante de un antivirus, independientemente de las

prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible
presencia de un virus informtico, detener el trabajo y tomar las medidas necesarias, es
suficiente para acotar un buen porcentaje de los daos posibles. Adicionalmente, un
antivirus puede dar la opcin de erradicar un virus informtico de una entidad infectada.

LOS ANTIVIRUS INFORMATICOS

Un antivirus es cualquier metodologa, programa o sistema para prevenir la activacin

de los virus, su propagacin y contagio dentro de un sistema y su inmediata eliminacin
y la reconstruccin de archivos o de reas afectadas por los virus informticos.

Los antivirus permiten la deteccin y eliminacin de virus. Un virus es identificado

mediante una cadena del antivirus que busca, encuentra y elimina los distintos virus
informticos.

El software antivirus contrarresta de varias maneras los efectos de los virus informticos
para detectarlos. La mayora de las soluciones se basan en tres componentes para la
deteccin : exploracin de acceso, exploracin requerida, y suma de comprobacin.

La exploracin de acceso : Inicia automticamente una exploracin de virus, cuando se

accede a un archivo, es decir al introducir un disco, copiar archivos, ejecutar un
programa, etc.

La exploracin requerida : El usuario inicia la exploracin de virus. Las exploraciones

se pueden ejecutar inmediatamente, en un directorio o volumen determinado.

La suma de comprobacin o comprobacin de integridad : Mtodo por el que un

producto antivirus determina si se ha modificado un archivo.

Como el cdigo vrico se une fsicamente a otro archivo, se puede determinar tal
modificacin guardando la informacin del archivo antes de la infeccin.

La suma de comprobacin es generalmente exacta y no necesita actualizaciones. Sin

embargo la suma de comprobacin no proporciona ni el nombre, ni el tipo de virus.

Los programas antivirus se componen fundamentalmente de dos partes : un programa

que rastrea (SCAN), si en los dispositivos de almacenamiento se encuentra alojado
algn virus, y otro programa que desinfecta (CLEAN) a la computadora del virus
detectado.

TIPOS DE ANTIVIRUS

Antivirus Detectores o Rastreadores :

Son aquellos antivirus que usan tcnicas de bsqueda y deteccin explorando o
rastreando todo el sistema en busca de un virus. Estos programas se utilizan para
detectar virus que pueden estar en la memoria, en el sector de arranque del disco duro,

Montes B. Carlen M Pgina 36

 Virus Informticos

en la zona de particin del disco y en algunos programas. Dependiendo de la forma de

analizar los archivos los podemos clasificar a su vez en antivirus de patrn y heurstico.
Antivirus de Patrn : Realizan el anlisis
de los archivos por medio de la bsqueda en el archivo de una cualidad particular de los
virus. Existen antivirus especficos para un determinado virus, conociendo su forma de
atacar y actuar.
Antivirus Heurstico : Este antivirus
busca situaciones sospechosas en los programas, simulando la ejecucin y observando
el comportamiento del programa.
Limpiadores o Eliminadores : Una vez
desactivada la estructura del virus procede a eliminar o erradicar el virus de un archivo,
del sector de arranque de un disco, en la zona de particin de un disco y en algunos
programas.

Estos antivirus deben tener una base de datos con informacin de cada virus para saber
que mtodo de desinfeccin deben usar para eliminar el virus.

Dependiendo de los efectos de la especie viral proceder a reconstruir las partes

afectadas por el virus informtico.

Protectores o Inmunizadores: Es un
programa para prevenir la contaminacin de virus, estos programas no son muy usados
porque utilizan mucha memoria y disminuyen la velocidad de la ejecucin de algunos
programas y hasta del computador.
Residentes: Permanecen en memoria para
el reconocimiento de un virus desde que es ejecutado. Cada vez que cargamos un
programa, el antivirus lo analiza para verificar si el archivo esta infectado o no, con
algn virus informtico.

TECNICAS DE LOS ANTIVIRUS

Escaneo de Firmas : La mayora de los

programas antivirus utilizan esta tcnica. Revisan los programas para localizar una
secuencia de instrucciones que son nicas de los virus.
Chequeo de Integridad: Utilizan el
Chequeo de Redundancia Cclica (CRC), es decir toman las instrucciones de un
programa como si fuesen datos y se hace un clculo, se graban en un archivo los
resultados, y luego se revisa si el programa fu modificado o alterado.
Monitoreo: Interceptan o bloquean
instrucciones sospechosas o riesgosas, por ejemplo cuando un programa pide cargarse
en memoria y permanecer residente, alterar el rea de arranque o modificar un archivo
de algn programa. Esta tcnica funciona residente en memoria supervisando
continuamente cuando se ejecuta un programa, entonces intercepta los llamados a
funciones sospechosas.
Anlisis Heurstico : Analiza cada
programa sospechoso sin ejecutar sus instrucciones, lo que hace es desensamblar el
cdigo de mquina para saber que hara el programa si se ejecuta. Avisa al usuario si el
programa tiene instrucciones para hacer algo raro en un programa normal, pero que es
comn en los virus, puede revisar varios o todos los programas de un disco, e indica que
puede suceder algo raro cuando se ejecute el programa.

Montes B. Carlen M Pgina 37

 Virus Informticos

ANTIVIRUS INTERNACIONALES

La primera generacin de antivirus eran vacunas TSR o eliminadores para cada especie
de virus. Entre ellos estaban el BBSTOP para el Bouncing Ball, BRSTOP para el Brain,
MBSTOP para el Marihuana, los cuales deban instalarse en el Autoexec.bat para poder
proteger el sistema contra estos virus. Cuando la programacin de virus aument se
volvi imposible ubicar las diferentes vacunas residentes en la memoria y ello motiv la
generacin de los softwares antivirus.

Uno de los primeros programas antivirus fueron : FLU-SHOT, VPROTECT y

VIRUSCAN.

Actualmente existen muchos programas antivirus, con diversos estilos de programacin

nombres como el Dr. SOLOMONS Toolkit de Alan Solomon, NORTON ANTIVIRUS
de Symantec, CPAV de Central Point, F-PROT de Fridrik Skulason, VIRUSSCAN de
McAfee entre otros.

A continuacin algunos antivirus extranjeros y sus caractersticas :

TBAV : THUNDERBYTE ANTIVIRUS

El Thunderbyte Antivirus provee : Deteccin por firmas (TbScan), chequeo de

integridad por clculo (TbSetup y TbScan), bloqueo de instrucciones sospechosas
(TbMem, TbFile y TbDisk).

F-PROT ANTIVIRUS

Brinda deteccin de virus por firmas y deteccin heurstica de instrucciones

sospechosas.

ANTIVIRUS ANYWARE

Proteccin permanente, reconoce y elimina ms de 11,400 virus, incluyendo los macro

virus. Detecta virus no conocidos mediante el mtodo heurstico, analiza los archivos
comprimidos.

VIRUSSCAN DE MCAFEE

Fcil de instalar no ocupa mucha memoria, tiene una grande base de datos, incluyendo
los virus macros, permanece en memoria, se actualiza constantemente por Internet.

Entre otros antivirus extranjeros tenemos :

Cheyenne Antivirus
Forefront Antivirus
IBM Antivirus
Pc-Cillin II
Panda Software

Montes B. Carlen M Pgina 38

 Virus Informticos

ANTIVIRUS NACIONALES

THE HACKER

Hacksoft es una empresa peruana dedicada al desarrollo de software de seguridad de

datos.

La empresa tiene un prestigio ganado por su producto THE HACKER, el cual protege,
detecta y elimina a virus informticos, esta empresa tambin brinda el servicio de
asesoramiento y recuperacin de la informacin.

Las primeras investigaciones en el rea se inician a finales de 1,990 la primera versin

del antivirus THE HACKER es emitida en agosto de 1,992.

PER ANTIVIRUS

En 1,993 se crea PER SYSTEM S.A., que tiene como principal servicio el desarrollo de
software aplicativo para PCs, haciendo uso en primera instancia del Lenguaje BASIC,
luego del Quick BASIC y posteriormente del Turbo Pascal.

En 1,985, inicia sus investigaciones sobre los virus informticos debido a la aparicin
en Lima y rpida propagacin de los virus (c) Brain y Bouncing Ball (Bolita Saltarina),
concibiendo as el antivirus PER cumpliendo con las expectativas de los usuarios de esa
poca, desarrollando permanentemente estudios de investigacin como aporte
empresarial para la deteccin, eliminacin y prevencin de virus a las diferentes
Instituciones y Entidades Pblicas como a usuarios.

Montes B. Carlen M Pgina 39

 Virus Informticos

CONCLUSIONES GENERALES

En razn de lo expresado pueden extraerse algunos conceptos que pueden considerarse

necesarios para tener en cuenta en materia de virus informticos:

No todo lo que afecte el normal funcionamiento de

una computadora es un virus.
TODO virus es un programa y, como tal, debe ser
ejecutado para activarse.
Es imprescindible contar con herramientas de
deteccin y desinfeccin.
NINGN sistema de seguridad es 100% seguro.
Por eso todo usuario de computadoras debera tratar de implementar estrategias de
seguridad antivirus, no slo para proteger su propia informacin sino para no
convertirse en un agente de dispersin de algo que puede producir daos graves e
indiscriminados.

Para implementar tales estrategias deberan tenerse a mano los siguientes elementos:

UN DISCO DE SISTEMA PROTEGIDO CONTRA

ESCRITURA Y LIBRE DE VIRUS: Un disco que contenga el sistema operativo
ejecutable (es decir, que la mquina pueda ser arrancada desde este disco) con
proteccin contra escritura y que contenga, por lo menos, los siguientes comandos:
FORMAT, FDISK, MEM y CHKDSK (o SCANDISK en versiones recientes del MS-
DOS).
POR LO MENOS UN PROGRAMA ANTIVIRUS
ACTUALIZADO: Se puede considerar actualizado a un antivirus que no tiene ms de
tres meses desde su fecha de creacin (o de actualizacin del archivo de strings). Es
muy recomendable tener por lo menos dos antivirus.
UNA FUENTE DE INFORMACIN SOBRE VIRUS
ESPECFICOS: Es decir, algn programa, libro o archivo de texto que contenga la
descripcin, sntomas y caractersticas de por lo menos los cien virus ms comunes.
UN PROGRAMA DE RESPALDO DE REAS
CRTICAS: Algn programa que obtenga respaldo (backup) de los sectores de
arranque de los disquetes y sectores de arranque maestro (MBR, Master Boot Record)
de los discos rgidos. Muchos programas antivirus incluyen funciones de este tipo.
LISTA DE LUGARES DNDE ACUDIR: Una buena
precaucin es no esperar a necesitar ayuda para comenzar a buscar quin puede
ofrecerla, sino ir elaborando una agenda de direcciones, telfonos y direcciones
electrnicas de las personas y lugares que puedan servirnos ms adelante.

Si se cuenta con un antivirus comercial o registrado, debern tenerse siempre a mano los
telfonos de soporte tcnico.

UN SISTEMA DE PROTECCIN RESIDENTE:

Muchos antivirus incluyen programas residentes que previenen (en cierta medida), la
intrusin de virus y programas desconocidos a la computadora.
TENER RESPALDOS: Se deben tener respaldados en
disco los archivos de datos ms importantes, adems, se recomienda respaldar todos los
archivos ejecutables. Para archivos muy importantes, es bueno tener un respaldo doble,

Montes B. Carlen M Pgina 40

 Virus Informticos

por si uno de los discos de respaldo se daa. Los respaldos tambin pueden hacerse en
cinta (tape backup), aunque para el usuario normal es preferible hacerlo en discos, por el
costo que las unidades de cinta representan.
REVISAR TODOS LOS DISCOS NUEVOS ANTES
DE UTILIZARLOS: Cualquier disco que no haya sido previamente utilizado debe ser
revisado, inclusive los programas originales (pocas veces sucede que se distribuyan
discos de programas originales infectados, pero es factible) y los que se distribuyen
junto con revistas de computacin.
REVISAR TODOS LOS DISCOS QUE SE HAYAN
PRESTADO: Cualquier disco que se haya prestado a algn amigo o compaero de
trabajo, an aquellos que slo contengan archivos de datos, deben ser revisados antes de
usarse nuevamente.
REVISAR TODOS LOS PROGRAMAS QUE SE
OBTENGAN POR MDEM O REDES: Una de las grandes vas de contagio la
constituyen Internet y los BBS, sistemas en los cuales es comn la transferencia de
archivos, pero no siempre se sabe desde dnde se est recibiendo informacin.
REVISAR PERIDICAMENTE LA
COMPUTADORA: Se puede considerar que una buena frecuencia de anlisis es, por
lo menos, mensual.

Finalmente, es importante tener en cuenta estas sugerencias referentes al

comportamiento a tener en cuenta frente a diferentes situaciones:

Cuando se va a revisar o desinfectar una

computadora, es conveniente apagarla por ms de 5 segundos y arrancar desde un disco
con sistema, libre de virus y protegido contra escritura, para eliminar virus residentes en
memoria. No se deber ejecutar ningn programa del disco rgido, sino que el antivirus
deber estar en el disquete. De esta manera, existe la posibilidad de detectar virus
stealth.
Cuando un sector de arranque (boot sector) o de
arranque maestro (MBR) ha sido infectado, es preferible restaurar el sector desde algn
respaldo, puesto que en ocasiones, los sectores de arranque genricos utilizados por los
antivirus no son perfectamente compatibles con el sistema operativo instalado. Adems,
los virus no siempre dejan un respaldo del sector original donde el antivirus espera
encontrarlo.
Antes de restaurar los respaldos es importante no
olvidar apagar la computadora por ms de cinco segundos y arrancar desde el disco libre
de virus.
Cuando se encuentran archivos infectados, es
preferible borrarlos y restaurarlos desde respaldos, an cuando el programa antivirus
que usemos pueda desinfectar los archivos. Esto es porque no existe seguridad sobre si
el virus detectado es el mismo para el cual fueron diseadas las rutinas de desinfeccin
del antivirus, o es una mutacin del original.
Cuando se va a formatear un disco rgido para
eliminar algn virus, debe recordarse apagar la mquina por ms de cinco segundos y
posteriormente arrancar el sistema desde nuestro disquete limpio, donde tambin debe
encontrarse el programa que se utilizar para dar formato al disco.
Cuando, por alguna causa, no se puede erradicar
un virus, deber buscarse la asesora de un experto directamente pues, si se pidiera

Montes B. Carlen M Pgina 41

 Virus Informticos

ayuda a cualquier aficionado, se correr el riesgo de perder definitivamente datos si el

procedimiento sugerido no es correcto.
Cuando se ha detectado y erradicado un virus es
conveniente reportar la infeccin a algn experto, grupo de investigadores de virus,
soporte tcnico de programas antivirus, etc. Esto que en principio parecera innecesario,
ayuda a mantener estadsticas, rastrear focos de infeccin e identificar nuevos virus, lo
cual en definitiva, termina beneficiando al usuario mismo.

Ranking de los ms difundidos

1) VBS/LoveLetter: Este virus se distribuye a travs del e-mail, en un

archivo llamado LOVE-LETTER-FOR-YOU.TXT.vbs. El LoveLetter worm se
activa sobresescribiendo archivos de imgenes y msica en drives locales y de red,
especficamente archivos con extensin JPG, JPEG, MP3 y MP2

2) Win32/SKA: Este virus generalmente es enviado con el nombre

Happy99.exe. Este troyano se encarga de enviar una copia de si mismo a todas las
personas a las cuales se les enva un E-mail.

3) W97/Melissa: El virus se propaga tomando las primeras 50 direcciones del Outlook

Global Address Book del usuario

4) Win32/Pretty Park: Este programa cuando corre se copia a si mismo

al FILES32.VXD, Y usa al VXD va el entorno para ejecutar algunos
archivos ejecutables. Esto hace que el virus se re-enva a si mismo a toda la libreta de
direcciones

5) W97M/Ethan.A: es un virus de macro de Word97, El virus se propaga a si mismo

por la Normal.dot. Hay 3 de 10 chances que el virus modifique las propiedades del
documento in fectado de archivos infectados.

HACKERS!!

Montes B. Carlen M Pgina 42