VIRUS MUTANTES

Estos virus son también llamados "mutantes" . Los virus polimórficos trabajan de la siguiente
manera: Se ocultan en un archivo y se cargan en memoria cuando el archivo infectado es ejecutado.
Pero a diferencia de hacer una copia exacta de sí mismos cuando infectan otro archivo, modifican
esa copia para verse diferente cada vez que infectan un nuevo archivo. Valiéndose de estos
"motores de mutación", los virus polimórficos pueden generar miles de copias diferentes de sí
mismos. A causa de esto, los rastreadores convencionales han fallado en la detección de los mismos.
De hecho, la mayoría de las herramientas de rastreo utilizadas actualmente todavía no pueden
detectar estos virus. Hay algunos antivirus que pueden detectar virus polimórficos observando
eventos característicos que los mismos deben realizar para sobrevivir y expandirse. Cualquier virus,
sin importar sus características debe hacer ciertas cosas para sobrevivir. Por ejemplo, debe infectar
otros archivos y residir en memoria.

El polimorfismo es otra de las capacidades de los virus biológicos aplicada a los virus informáticos.
Famosos escritores de virus, como el búlgaro conocido con el alias deDark Avenger, implementaron
rutinas polimórficas en sus virus.

El polimorfismo no es más que la capacidad de hacer copias más o menos distintas del virus original.
Esta técnica de programación tiene como objetivo hacer más difícil la detección de los virus, ya que
los antivirus, a la fecha (finales de los 1980, principios de los 1990) buscaban patrones
hexadecimales comunes para detectar a los virus; al encontrar a un virus polimórfico, no se podía
computar fácilmente una rutina de localización, haciendo muy difícil la erradicación de los virus.

Básicamente, el polimorfismo era logrado encriptando el código principal del virus con una clave no
constante, usando conjuntos aleatorios de desencripción o usar código ejecutable cambiante con
cada ejecución. Estas maneras de hacer código polimórfico son las más sencillas; sin embargo,
existen técnicas sumamente elaboradas y exóticas.

Hay toda clase de virus polimórficos: desde virus de sector de arranque hasta virus de macro.

VIRUS RECOMBINABLES

Estos virus que en su mayoría son experimentales pueden constituir una gran amenaza en los
próximos años. De la misma manera que un hombre y una mujer combinan su código genético el
tener un hijo, estos virus se unen, intercambian sus códigos y crean nuevos virus. La mayoría de
estos virus no funcionan directamente (el lenguaje Assembly no tiene los atributos del DNA), mas
sin embargo, algunos de éstos contienen rutinas destructivas muy peligrosas o nuevas técnicas de
reproducción. Son virus difíciles de ser previstos debido a que cambian constantemente, imitando
el proceso de selección natural y evolución biológica. Afortunadamente, muy pocos de este tipo
andan sueltos.
 SÍNTOMAS DE VIRUS

Si presenta algunos de los siguientes síntomas la PC, lo más seguro es que tenga un virus. Por lo
tanto, debemos tomar medidas como revisar la computadora con un buen antivirus.

a) La velocidad de procesamiento del equipo se vuelve lenta.

b) Algunos programas no pueden ser ejecutados, principalmente los archivos COM o los EXE de
menor extensión, posiblemente también los macro virus, una vez que hayan cumplido con su efecto
reproductor o dañino. El COMMAND.COM es infectado en primer lugar, pero como la función del
virus es la de seguir infectando, éste continúa operando. Los archivos ejecutables siguen existiendo
pero sus cabeceras ya han sido averiadas y en la mayoría de los casos, su extensión se han
incrementado en un determinado número de bytes.

c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus malogró el
COMMAND.COM y se muestra este mensaje: "bad or missing command interpreter".

d) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus malogró la Tabla de
Particiones o el Master Boot Record y se muestra este mensaje: "invalid drive especification".

e) Los archivos ejecutables de los gestores de bases de datos como: dBASE, Clipper, FoxPro, etc.
están operativos, sin embargo las estructuras de sus archivos DBF están averiadas. Lo mismo puede
ocurrir con las hojas de cálculo como: Lotus 1-2-3, Q-Pro, Excel, etc., o con el procesador de textos
MS-Word, hojas de cáculo de MS-Excel o base de datos de MS-Access (macro virus).

f) La configuración (set-up) del sistema ha sido alterado y es imposible reprogramarlo. Virus como :
ExeBug, CMOS-Killer o Anti-CMOS producen un bloqueo en la memoria conexa de 64 bytes del
CMOS.

g) El sistema empieza a "congelarse". Puede tratarse de un virus con instrucciones de provocar

"reseteos" aleatorios a los archivos del sistema, tales como: el COMMAND.COM, los "hidden files"
o el CONFIG.SYS que han sido infectados.

h) Ciertos periféricos tales como: la impresora, módem, tarjeta de sonido, etc., no funcionan o
tienen un raro comportamiento. Se trata de un virus que reprograma el chip "PPI" (Programmable
Peripheral Interfase).

i) La pantalla muestra símbolos ASCII muy raros comunmente conocidos como "basura", seescuchan
sonidos intermitentes, se producen bloqueos de ciertas teclas o se activan los leds de los drives.

j) Las letras de los textos empiezan a caerse. Este es un efecto impresionante del virus alemán
"CASCADA".

k) La memoria RAM decrece.

l) Los archivos de documento .DOC o las macros empiezan a corromperse y no funcionan

 "VIRUS BOUNTY HUNTER"

O cazador de cabezas Un "bounty hunter" es alguien que ha sido pagado para encontrar y matar a
una persona específica. Los virus "bounty hunter" funcionan de la misma manera, sin embargo, en
vez de matar personas, se dirigen a un cierto producto anti-virus. Como no es imposible que un
autor de virus examine un determinado producto para descubrir alguna debilidad en el producto,
éste podrá crear un nuevo virus que aprovechará esta debilidad para dispersarse y hacer estragos.

Más virus en las redes sociales que en las páginas porno

Las páginas de apuestas y de contenido pornográfico suelen ser fuente de todo tipo de troyanos y
virus informáticos. Sin embargo, según se desprende del Informe Anual de Seguridad 2013 de la
compañía Cisco, las mayores amenazas para la seguridad de los internautas no se encuentran allí,
sino en sitios webs mucho más habituales como las redes sociales, las páginas de compra online y
los principales motores de búsqueda.

Según este estudio, las páginas legítimas de compras tienen 21 veces más posibilidades de contener
malware que las páginas falsas, y la publicidad on line tiene un potencial malicioso 182 veces mayor
que las páginas pornográficas. Además, en el último año se han incrementado las amenazas de
malware en los dispositivos Android, a pesar de que todavía suponen tan solo el 0,5 por ciento del
total de amenazas de seguridad en Internet. Según los datos de la compañía, Estados Unidos es el
país con mayor número de malware detectado, seguido de Rusia y Dinamarca.

Los retos de la seguridad en la red

Según los autores del informe, los retos a los que se enfrentarán los profesionales de la seguridad
en Internet en los próximos años son grandes, ya que la forma de utilizar la red está cambiando.
Según estudios, un elevado número de trabajadores combina el uso de sus dispositivos móviles con
el ordenador de mesa y las tabletas, realizando tareas laborales desde cualquier lugar, y
combinándolas con sus visitas on line relacionadas con el ocio y la vida personal.

Además, la cantidad de información que fluye a través de las redes corporativas y los proveedores
de servicios está creciendo día a día y cada vez son mayores las conexiones máquina a máquina,
también llamadas M2M, lo que hace que la vulnerabilidad de las empresas a los ataques de los
hackers sea cada vez mayor. “Los hackers saben que hoy se han desdibujado los límites entre vida
personal y laboral, y el malware que encontramos al navegar por páginas muy utilizadas como
motores de búsquedas, comercios on line o redes sociales no afectan sólo al individuo, sino también
a las organizaciones para las que trabajamos”, ha explicado John N. Stewart, vicepresidente de la
compañía Cisco.
 VIRUS DE BOOT O DE ARRANQUE

Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco
(tanto un disquete como un disco duro respectivamente). En ella se guarda la información esencial
sobre las características del disco y se encuentra un programa que permite arrancar el ordenador.

Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actúan infectando en primer
lugar el sector de arranque de los disquetes. Cuando un ordenador se pone en marcha con un
disquete infectado, el virus de boot infectará a su vez el disco duro.

Los virus de boot no pueden afectar al ordenador mientras no se intente poner en marcha a éste
último con un disco infectado. Por tanto, el mejor modo de defenderse contra ellos es proteger los
disquetes contra escritura y no arrancar nunca el ordenador con un disquete desconocido en la
disquetera.

Ejemplo de este tipo de virus :

Polyboot.B no infecta ficheros y no lleva a cabo acciones destructivas en el ordenador. Los efectos
de Polyboot.B son:

 Infecta el sector de arranque de los disquetes (Boot) y el de los discos duros (Master Boot
Record).
 Infecta todos los disquetes que se utilicen en el ordenador afectado, siempre que no estén
protegidos contra escritura.
 Impide el correcto arranque del ordenador infectado.

Método de Infección

Polyboot.B infecta el sector de arranque de los discos duros y memorias usb, para ello sigue el
siguiente proceso:

Copia el sector de arranque original en los últimos sectores de la primera pista.

Copia el código del virus en los primeros sectores del disco.

Se coloca, de este modo, residente en memoria. Desde ese momento podrá realizar infecciones
en todos los disquetes con los que trabaje el equipo.

Método de Propagación

Polyboot.B sólo se propaga a través de Memorias usb, del siguiente modo:

 Infecta el disco duro del ordenador, cuando éste se arranca con un disquete contaminado
por el virus.
 Contagia a todos los disquetes que se utilicen en el ordenador afectado. Éstos, a su vez,
infectarán a otros ordenadores.
 VIRUS DE MACRO

El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones
que contengan macros: documentos de Word (ficheros con extensión DOC), hojas de cálculo de
Excel (ficheros con extensión XLS), bases de datos de Access (ficheros con extensión MDB),
presentaciones de PowerPoint (ficheros con extensión PPS), ficheros de Corel Draw, etc.

Las macros son micro-programas asociados a un fichero, que sirven para automatizar complejos
conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas.

Cuando se abre un fichero que contenga un virus de este tipo, las macros se cargarán de forma
automática, produciéndose la infección. La mayoría de las aplicaciones que utilizan macros cuentan
con una protección antivirus y de seguridad específica, pero muchos virus de macro sortean
fácilmente dicha protección.

Existe un tipo diferente de virus de macro según la herramienta usada: de Word, de Excel, de Access,
de PowerPoint, multiprograma o de archivos RTF. Sin embargo, no todos los programas o
herramientas con macros pueden ser afectadas por estos virus.

Algunos de estos virus son: Relax, Melissa.A, Bablas, O97M/Y2K.

Y2K produce los siguientes efectos:

 Impide trabajar con macros ya que deshabilita la opción Macro, en el menú Herramientas.
 Oculta su presencia, desactivando la protección antivirus que Word incorpora frente a
documentos que contienen macros.
 En consecuencia, Word no solicita confirmación para activar o desactivar las macros que
contiene un documento, cuando éste es abierto.
 Extiende su infección a los documentos de Word, o bien a la plantilla global (NORMAL.DOT).
 Desactiva la actualización en pantalla para evitar que el usuario vea los cambios realizados
durante la infección.

Cambia las acciones asignadas a combinaciones de teclas habituales por otras acciones distintas:

Alt + F8 o Alt + F11 realiza la acción de Guardar Como.

Alt + F2 realiza la acción de habilitar Macros.

Alt + F1 realiza la acción de abrir el editor de Visual Basic para Word.

A continuación, oculta cualquier tarea que lleve el nombre Visual Basic. Para ello, busca una tarea
con este nombre y, en caso de encontrarla, le asigna el atributo visible y el valor falso.
 LOS CINCO VIRUS MÁS RAROS DE LA ERA INTERNET

El mayor enemigo de un ordenador es un virus. Desde la generalización de los PC en las casas, la

propagación de los virus ya fuera por diskettes en los años ochenta y noventa o a través de Internet
en una época más moderna, es el mayor temor de un usuario medio que no tiene los conocimientos
necesarios para enfrentarse a una amenaza así. La evolución de los firewalls ha hecho que cada vez
sea más difícil que los hackers y crackers puedan penetrar en los sistemas operativos, pero la
originalidad de algunos de ellos han conseguido que entraran en el recuerdo del mundo 'geek'. Estos
son algunos de los virus más extraños que se han creado.

Fotos por calamares

Informática y originalidad son dos palabras que juntas hacen poner el foco en Japón. De allí era
Masuto Nakatsuji, creador del virus Calamar, que llegó a infectar a más de 50.000 ordenadores en
pocas semanas. Los efectos de este malware eran bastantes perjudiciales ya que los infectados
perdían todos los archivos de imagen. Eso sí, el nipón lo hacía de una forma simpática (aunque al
dueño del PC no se lo pareciera). Las fotos del PC no desaparecían, sino que se cambiaban por otras
de dibujos manga que representaban calamares, pulpos y erizos de mar, siendo este proceso
irreversible. El autor fue detenido en 2010 por la segunda vez ya que anteriormente había realizado
la misma operación con imágenes de una serie de anime.

El virus vengador

Posiblemente sea la última gran amenaza en forma de virus que se ha propagado por Internet, y
parece que incluso tiene sentimientos. Rombertik es conocido como el virus vengador ya que se
toma muy mal el que lo descubran actuando en el PC. En principio no es un programa muy peligroso,
solo se dedica a guardar contraseñas y almacenar todo el texto escrito con el teclado. El problema
es que si el virus es descubierto, muta, y su reacción es borrar todo el disco duro. Es más, en el
momento de su creación no hacía falta que fuera detectado para mutar, sino que el simple hecho
de activar algún programa que pudiera dar con él hacía que empezara el formateo del ordenador.
Las actualizaciones de los antivirus ya prevén este problema.

Defensor de los feos

Este virus ya no tiene ningún efecto ya que está totalmente controlado, pero en 2011 causó furor
en el mundo de las redes sociales. Resultó ser un ataque a la web Beautiful People, en donde se
emparejaban personas que la administración consideraba guapas. Algún hacker poco agraciado o
algún empleado no muy contento con esta política creó el virus Shrek. Este registró a más de 30.000
personas en la página que de otra de las maneras no habría podido pasar por la que llamaban 'La
policía de la belleza'. Cuando la empresa se dio cuenta de esta práctica, tuvieron que hacer un filtro
para volver a borrar a los que consideraban feos.

El virus egoísta

Es muy difícil que en la última década, un ordenador no tenga algún virus oculto, ya sea en forma
de malware, spyware o gusano. La competencia en ese mundo es brutal, pero existe un virus el cual
no quiere compañía dentro del PC. Ainslot.L es una infección que busca datos bancarios o
contraseñas, pero lo más curioso es que no quiere que otros programas lo imiten, por lo que elimina
a todos los virus que hay en el ordenador. Al instalarse (normalmente a través de algún correo
electrónico) actúa como un antivirus y hace un un escaneo del sistema. De esa forma los detecta y
los elimina para quedarse como el único programa malicioso en el PC.

El secuestrador

No todos los virus iban a centrarse en borrar y espiar, sino que algunos hackers y cracker los utilizan
para sacar dinero a través de chantajes. Uno de los últimos que utilizan esta técnica (similar al ya
conocido como el virus de la Policía) es Cryptowall, cuya función es cifrar los archivos del ordenador
infectado y después contactar con el usuario para pedirle un rescate por ellos. Para proceder al pago
siempre facilitan una dirección de Internet para explicar como hacerlo. El pago no garantiza el
desencriptado de los archivos y además suele ser de una alta cuantía, por lo que lo más seguro es
llevar a reparar el ordenador a un servicio técnico. Es uno de los virus más dañinos que puede
albergar el PC.

BONUS TRACKS

Rick Astley

Hemos tratado los virus raros en los PC, pero en los móviles también existen. Es curioso que Apple
siempre había liderado la batalla contra los virus dado que su sistema operativo hace difícil que
quede infectado. La primera infección para Iphones llegó en 2009, un año despúes de su salida al
mercado. Y realmente no era nada destructivo ya que ni borraba información ni robaba contraseñas.
Ikee, que ese es su nombre, simplemente cambiaba el fondo de pantalla por una foto del cantante
Rick Astley con la leyenda de “Ikee is never going to give you up” (Ikee no te abandonará nunca, en
español), en referencia de su canción más famosa. Habrá causado más sonrisas que penurias.

Barrotes

Este puede ser el virus peor programado de la historia. Y es español. Barrotes nació en la época MS-
DOS, cuando realmente los virus eran mucho más creativos y peligrosos. La infección consistía en
que el 5 de enero, se activaba en el ordenador atacado, borraba el disco duro y aparecían unos
barrotes en la pantalla del ordenador a modo de bloqueo. En su época fue considerado de los más
peligros. Pero al reprogramar el virus para que se activara los días 22 de cada mes, hubo un fallo de
escritura y el programador lo preparo para que lo hiciera el día 34. Obviamente, nunca se activaba.
Se acababa de crear el virus más inofensivo de la historia.
 EL RANSOMWARE

Es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de

bloquear un dispositivo desde una ubicación remota y encriptar nuestros archivos quitándonos el
control de toda la información y datos almacenados. El virus lanza una ventana emergente en la que
nos pide el pago de un rescate, dicho pago se hace generalmente en moneda virtual (bitcoins por
ejemplo).

Uno de los Ransomware más famosos es el Virus de la Policía, que tras bloquear el ordenador
infectado lanza un mensaje simulando ser la Policía Nacional y advirtiendo que desde ese equipo se
ha detectado actividad ilegal relacionada con la pederastia o la pornografía. Para volver a acceder a
toda la información, el malware le pide a la víctima el pago de un rescate en concepto de multa.

La vergüenza, la necesidad de recuperar los datos y la presión ante un mensaje alarmante y

desconocido, son algunos de los factores que provocan que algunos de los afectados por este tipo
de virus terminen pagando el rescate de su ordenador. Los hackers están viendo mucho negocio
detrás de esta forma de actuar y plantean modelos de negocio basados en acciones de infecciones
usando ransomware. En Panda Security queremos darte las claves para tanto evitar infectarte como
recuperar tu ordenador sin pagar nada.