Sauza Quebrado Erick

Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
VIRUS INFORMATICO

DEFINICIÓN:

Los Virus Informáticos o Electrónicos o Computacionales son aquellos programas que se esconden
en los dispositivos de almacenamiento y si en estos se encuentran otros programas o datos son
contaminados en ese momento por aquellos. Ningún programa de Virus puede funcionar por si
sólo, requiere de otros programas para poderlos corromper. Su otra característica es la capacidad
que tienen de auto duplicación, haciendo copias iguales de sí mismos, entrando furtivamente y
provocando anomalías en las computadoras al desarrollar su función destructora. Se les ha dado el
nombre de Virus por la analogía que tiene su comportamiento con el de los Virus Biológicos.

Qué no es un Virus?

Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario.

Un ejemplo de estos no - virus: "Hace algunos años, la red de I. B. M., encargada de conectar más
de 130 países, fue virtualmente paralizada por haberse saturado con un correo electrónico que
contenía un mensaje de salutación navideña que, una vez leído por el destinatario, se enviaba a sí
mismo a cada integrante de las listas de distribución de correo del usuario. Al cabo de un tiempo,
fueron tantos los mensajes que esperaban ser leídos por sus destinatarios que el tráfico se volvió
demasiado alto, lo que ocasionó la caída de la red".

Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una
computadora es necesariamente un virus, algunas de las pautas principales para diferenciar entre
qué debe preocupar y qué no son estas:

Bugs (Errores En Programas).

Los bugs no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores
(bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo puede
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
comenzar a ir mal dentro del programa, y este a negarse a grabar el archivo en el disco. Se pierde
entonces todo lo hecho desde la última grabación. Esto, en muchos casos, se debe a ERRORES del
programa. Todos los programas lo suficientemente complejos tienen bugs.

Falsa Alarma.

Algunas veces se tienen problemas con el hardware o software y, luego de una serie de
verificaciones, se llega a la conclusión de que se trata de un virus; pero esto pude resultar ser una
FALSA ALARMA luego de correr el programa antivirus.

Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes
preguntas puede ser de ayuda:

• ¿Es sólo un archivo el que reporta la falsa alarma (o quizás varios, pero copias del mismo)?.

• ¿Solamente un producto antivirus reporta la alarma? (Otros productos dicen que el

sistema está limpio).

Si al menos una de las respuestas fue afirmativa, es muy factible que efectivamente se trate de
una falsa alarma.

Programas Corruptos.

A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto
quiere decir que no siempre que se encuentren daños en archivos se debe estar seguro de estar
infectados.

¿CÓMO NACIERON LOS VIRUS?.

En realidad no existe información confiable del inicio de los virus informativos esto se debe a que
grandes compañías junto con las gubernamentales ocultaban este problema para no reconocer la
debilidad de los equipos y sistemas.
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
En 1949, Jhon Von Neuman, padre de la computación expone su "Teoría y organización de un
autómata complicado", donde describió programas que se reproducían a sí mismos.

La característica de auto - reproducción y mutación de estos programas, que los hace parecidos a
los de los virus biológicos, parece ser el origen del nombre con que hoy los conocemos. Antes de la
explosión de la micro computación se decía muy poco de ellos. Por un lado, la computación era
secreto de unos pocos. Por otro lado, las entidades gubernamentales, científicas o militares, que
vieron sus equipos atacadas por virus, se quedaron muy calladas, para no demostrar la debilidad
de sus sistemas de seguridad, que costaron millones, al bolsillo de los contribuyentes. Las
empresas privadas como Bancos, o grandes corporaciones, tampoco podían decir nada, para no
perder la confianza de sus clientes o accionistas.

Se reconoce como antecedente de los virus actuales en 1959, Douglas McIlory, Victor Vysottsky y
Robert Morris idearon un juego al que llamaron Core War (Guerra en lo Central, aludiendo a la
memoria de la computadora), que se convirtió en el pasatiempo de algunos de los programadores
de los laboratorios Bell de AT&T. El juego consistía en que dos jugadores escribieran cada uno un
programa llamado organismo, cuyo hábitat fuera la memoria de la computadora. A partir de una
señal, cada programa intentaba forzar al otro a efectuar una instrucción inválida, ganando el
primero que lo consiguiera.

Al finalizar, se borraba de la memoria todo rastro del juego, ya que estas actividades eran
fuertemente sancionadas por los jefes al considerarlas un gran riesgo dejar un organismo suelto
que pudiera acabar con las aplicaciones del día siguiente.

En 1974, Xerox presentó en Estados Unidos el primer programa que ya contenía un código
autoduplicador, este se llamaba Rabbit y se situaba dos veces en la cola de ejecución del ASP del
IBM, lo que causaba un bloqueo del sistema.

Loa 80's fueron de gran actividad; en el 80, la red ARPANET fue infectada por un "gusano" y queda
72 horas fuera de servicio, esto suceso se atribuyó a un estudiante de informática de 23 años
llamado Robert Tappan Morris, quien excuso que el hecho fue accidental. En el 81 los equipos
Apple II se vieron afectados por un virus llamado "Cloner"; y en el 83, Fred Cohen presenta en
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
público el primer virus de computadora, al Dr. Cohen se le conoce hoy día, como "el padre de los
virus; el juego Core Wars sale a la luz pública.

En 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo podía ser creado
para copiarse a sí mismo, uniendo una copia de él a otros archivos. Escribió una demostración de
este efecto a la que llamó VIRDEM, que podía infectar cualquier archivo con extensión .COM. Esto
atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él desconocía lo que
estaba ocurriendo en Paquistán, no mencionó a los virus de sector de arranque (boot sector). Para
ese entonces, ya se había empezado a diseminar el virus Vienna.

En el 87, se da el primer caso de contagio masivo de computadoras a través del MacMag Virus
llamado también Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo
incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de
los asistentes, Marc Canter, consultor de Aldus Corporation se llevó el disco a Chicago y contaminó
el disco maestro que fue enviado a la empresa fabricante que comercializó su producto infectado
por el virus. En este mismo año IBM diseña el primer programa antivirus.

En 1988, el virus Brian, creado por los hermanos Basit y Alvi Amjad de Pakistán aparece en Estados
Unidos; este es detectado en la Universidad estadounidense de Delaware cuando comenzaron a
ver "© Brain" como etiqueta de los disquetes. La causa de ello era Brain Computer Services, una
casa de computación paquistaní que, desde 1986, vendía copias ilegales de software comercial
infectadas para, según ellos, dar una lección a los piratas. Estos habían notado que el sector de
booteo de un disquete contenía código ejecutable, y que dicho código se ejecutaba cada vez que
la máquina se inicializaba desde un disquete. Lograron reemplazar ese código por su propio
programa, residente, y que este instalara una réplica de sí mismo en cada disquete que fuera
utilizado de ahí en adelante.

El 2 de marzo del mismo, debido a la celebración de la introducción de la Macintosh II, se manda

por medio de un virus benigno un mensaje de paz.

Por 1989 la cantidad de virus detectados en diferentes lugares sobrepasan los 100, y la epidemia
comienza a crear situaciones graves. Entre las medidas que se toma, para tratar de detener el
avance de los virus, es llevar a los tribunales a Robert Morís Jr. acusado de ser el creador de un
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
virus que infectó a computadoras del gobierno y empresas privadas. Al parecer, este muchacho
conoció el programa Core Ware, creado en la AT&T, y lo difundió entre sus amigos. Ellos se
encargaron de diseminarlo por diferentes medio a redes y equipos. Al juicio se le dio gran
publicidad, pero no detuvo a los creadores de virus.

Hasta la aparición de Microsoft Outlook, era imposible adquirir un virus por correo electrónico,
solo si se adjuntaba algún archivo susceptible de infección, se bajaba al computador y se
ejecutaba, se podía contagiar el equipo, pero esta nueva modalidad fue denunciada por el señor
Padgett Peterson, miembro de la Computer Antivirus Research Organization, el cual afirmó la
posibilidad de introducir un virus en el disco duro del usuario de Windows 98 mediante el correo
electrónico.

Actualmente, los virus son producidos en cantidades extraordinarias por muchísima gente
alrededor del planeta; algunos de ellos dicen hacerlo por hobby, otros por probar sus habilidad,
incluso se ha convertido en un elemento de competencia entre quienes realizan este tipo de
programas. Particularmente, las agrupaciones de programadores de virus están abiertas a
cualquiera que se interese en ellas, ofrecen consejos, familiaridad y pocas limitaciones. Además,
son libres de seguir cualquier objetivo que les parezca, sin temer por la pérdida de respaldo
económico.

CLASES DE VIRUS:

Gusano o Worm

Son programas que tratan de reproducirse a si mismo, no produciendo efectos destructivos sino el
fin de dicho programa es el de colapsar el sistema o ancho de banda, replicándose a si mismo.

Caballo de Troya (troyanos) o Camaleones

Son programas que permanecen en el sistema, no ocasionando acciones destructivas sino todo lo
contrario suele capturar datos generalmente password enviándolos a otro sitio, o dejar indefenso
el ordenador donde se ejecuta, abriendo agujeros en la seguridad del sistema, con la siguiente
profanación de nuestros datos.
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
El caballo de troya incluye el código maligno en el programa benigno, mientras que los camaleones
crean uno nuevo programa y se añade el código maligno.

Joke Program

Simplemente tienen un payload (imagen o sucesión de estas) y suelen destruir datos.

Bombas Lógicas o de Tiempo

Programas que se activan al producirse un acontecimiento determinado. La condición suele ser

una fecha (Bombas de Tiempo), una combinación de teclas, o un estilo técnico Bombas Lógicas),
etc... Si no se produce la condición permanece oculto al usuario.

Retro Virus

Este programa busca cualquier antivirus, localiza un bug (fallo) dentro del antivirus y normalmente
lo destruye.

Spyware

Los programas espía o spyware son aplicaciones que recopilan información sobre una persona u
organización sin su conocimiento. La función más común que tienen estos programas es la de
recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras
organizaciones interesadas, pero también se han empleado en círculos legales para recopilar
información contra sospechosos de delitos.

Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se
distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien
puede estar oculto en la instalación de un programa aparentemente inocuo.

Los programas de recolección de datos instalados con el conocimiento del usuario no son
realmente programas espías si el usuario comprende plenamente qué datos están siendo
recopilados y a quién se distribuyen.
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso

Los cookies son un conocido mecanismo que almacena información sobre un usuario de Internet
en su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de Internet un
número de identificación individual para su reconocimiento subsiguiente. Sin embargo, la
existencia de los cookies y su uso generalmente no están ocultos al usuario, quien puede
desactivar el acceso a la información de los cookies. Sin embargo, dado que un sitio Web puede
emplear un identificador cookie para construir un perfil del usuario y éste no conoce la
información que se añade a este perfil, se puede considerar a los cookies una forma de spyware.

Por ejemplo, una página con motor de búsqueda puede asignar un número de identificación
individual al usuario la primera vez que visita la página, y puede almacenar todos sus términos de
búsqueda en una base de datos con su número de identificación como clave en todas sus visitas
subsiguientes (hasta que el cookie expira o se borra).

Estos datos pueden ser empleados para seleccionar los anuncios publicitarios que se mostrarán al
usuario, o pueden ser transmitidos (legal o ilegalmente) a otros sitios u organizaciones

OTRAS CLASIFICACIONES:

Existen una variedad de virus en función de su forma de actuar o de su forma de infectar

clasificados de la siguiente manera

Virus de Acompañante

Estos virus basan su principio en que MS-DOS, ejecuta el primer archivo COM y EXE del mismo
directorio. El virus crea un archivo COM con el mismo nombre y en el mismo lugar que el EXE a
infectar.

Después de ejecutar el nuevo archivo COM creado por el virus y cede el control al archivo EXE.

Virus de Archivo
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Los virus que infectan archivos del tipo *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e incluso BAT. Este
tipo de virus se añade al principio o al final del archivo. Estos se activan cada vez que el archivo
infectado es ejecutado, ejecutando primero su código vírico y luego devuelve el control al
programa infectado pudiendo permanecer residente en la memoria durante mucho tiempo
después de que hayan sido activados.

Este tipo de virus de dividen en dos:

1. Virus de Acción Directa: son aquellos que no se quedan residentes en memoria y se

replican en el momento de ejecutar el fichero infectado y los virus de Sobrescritura que
corrompen el fichero donde se ubican al sobrescribirlo.

2. Virus de Bug-ware: Bug-ware es el término dado a programas informáticos legales

diseñados para realizar funciones concretas. Debido a una inadecuada comprobación de errores o
a una programación confusa causan daños al hardware o al software del sistema.

Muchas veces los usuarios finales aducen esos daños a la actividad de virus informáticos. Los
programas bug-ware no son en absoluto virus informáticos, simplemente son fragmentos de
código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan los datos del
computador.

Virus de Macro:

De acuerdo con la Internacional Security Association, los virus macro forman el 80% de todos los
virus y son los que más rápidamente han crecido en toda la historia de los ordenadores en los
últimos 5 años.

A diferencia de otros tipos de virus, los virus macro no son exclusivos de ningún sistema operativo
y se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes, bajadas de Internet,
transferencia de archivos y aplicaciones compartidas.
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro que
acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que un Word
virus macro puede infectar un documento Excel y viceversa.

En cambio, los virus macro viajan entre archivos en las aplicaciones y pueden, eventualmente,
infectar miles de archivos.

Los virus macro son escritos en Visual Basic y son muy fáciles de crear. Pueden infectar diferentes
puntos de un archivo en uso, por ejemplo, cuando éste se abre, se graba, se cierra o se borra. Lo
primero que hacen es modificar la plantilla maestra (normal.dot) para ejecutar varias macros
insertadas por el virus, así cada documento que abramos o creemos, se incluirán las macros
"víricas".

Con la posibilidad de contener un virus convencional, cambiar un ejecutable o DLL e insertarlo en

el sistema.

Virus de MailBomb:

Casi virus ¿o no?.Esta clase de virus todavía no esta catalogado como tal pero, se puede poner un
ejemplo de lo que hacen: Por lo general todos son iguales, se escribe un texto cualquiera, una
dirección de e-mail (victima) se introduce el numero de copias y ya esta.

El programa crea tantos mensajes como el número de copias indicado antes, seguidamente
empezara a enviar mensajes hasta saturar el correo de la victima.

Virus del Mirc:

Son la nueva generación de infección, aprovechan la ventajas proporcionadas por la Red y de los
millones de usuarios conectados a cualquier IRC a través del Mirc. Consiste en un script para el
cliente de IRC Mirc. Cuando se accede a un canal de IRC, recibe por DCC un archivo llamado
"script.ini". Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta
instalado el programa, esto causa que el "script.ini" original se sobrescrito por el "script.ini"
maligno.
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Bueno después de lo dicho nos preguntaremos ¿y para en que nos afecta a nosotros? Pues muy
fácil, los autores pueden desconectarte del IRC o acceder a información privada,(archivo de claves
o el "etc/passwd" de Linux).

Virus de Multi-Partes:

Los virus multi-parte pueden infectar tanto el sector de arranque como los archivos ejecutables,
suelen ser una combinación de todos los tipos existentes de virus, su poder de destrucción es muy
superior a los demás y de alto riesgo para nuestros datos, su tamaño es mas grande a cambio de
tener muchas mas opciones de propagarse e infección de cualquier sistema.

Virus de Sector de Arranque:

Este tipo de virus infecta el sector de arranque de un disquete y se esparce en el disco duro del
usuario, el cual también puede infectar el sector de arranque del disco duro (MBR). Una vez que el
MBR o sector de arranque esté infectado, el virus intenta infectar cada disquete que se inserte en
el sistema ,ya sea una CD-R, una unidad ZIP o cualquier sistema de almacenamiento de datos.

Los virus de arranque trabajan de la siguiente manera: se ocultan en el primer sector de un disco y
se cargan en la memoria antes de que los archivos del sistema se carguen. Esto les permite tomar
total control de las interrupciones del DOS y así, pueden diseminarse y causar daño.

Estos virus, generalmente reemplazan los contenidos del MBR o sector de arranque con su propio
contenido y mueven el sector a otra área en el disco. La erradicación de un virus de arranque
puede hacerse inicializando la máquina desde un disquete sin infectar, o encontrando el sector de
arranque original y reemplazándolo en el lugar correcto del disco.

Virus de VBS:

Debido al auge de Internet los creadores de virus han encontrado una forma de propagación
masiva y espectacular de sus creaciones a través mensajes de correo electrónico, que contienen
archivos Visual Basic Scripts, anexados, los cuales tienen la extensión .VBS
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o
comandos en lotes. Con el advenimiento de Windows 95/98/NT/Me/2000/XP, este tipo de
archivos dejó de ser empleado y fue reemplazado por los Visual Basic Scripts.

Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas secuencialmente para

realizar una determinada acción al iniciar un sistema operativo, al hacer un Login en un Servidor
de Red, o al ejecutar una aplicación, almacenadas bajo un nombre de archivo y extensión
adecuada. Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows,
Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.

Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos de daño y
algunos simplemente usan las instrucciones Visual Basic Scripts, como medios de propagación.
Asimismo, un VBS puede contener instrucciones que afecten a los sistemas. También es posible
editar instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la extensión .VBS.

Actualmente existen 2 medios de mayor difusión de virus en VBS:

1. Infección de canales IRC: (el chat convoca a una enorme cantidad de "victimas")

El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación entre
usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados "clientes IRC"
(tales como el mIRC, pIRCh, Microsoft Chat).

Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC, pero es
necesario que primero se conecte a un servidor chat, el cual a su vez, está conectado a otros
servidores similares, los cuales conforman una red IRC. Los programas "clientes IRC" facilitan al
usuario las operaciones de conexión, haciendo uso del comando /JOIN, para poder conectarse a
uno o mas canales.

Las conversaciones pueden ser públicas (todo el canal visualiza lo que el usuario digita) o privadas
(comunicación entre 2 personas).
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat, elegir un canal
y un apodo (nickname). Todo esto se hace mediante un denominado "bachero", que emplea
comandos propios del protocolo IRC, permitiendo ejecutar estas operaciones de manera intuitiva y
proporcionando al usuario un entorno grafico amigable.

¿Como atacan los gusanos (VBS/Worms)?

Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el comando SEND file,
envían automáticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat,
además de otras instrucciones dentro de un Visual Basic Script. Este script que contiene el código
viral sobre-escribe al original, en el sistema remoto del usuario, logrando infectarlo, así como a
todos los usuarios conectados a la vez, en ese mismo canal. Este tipo de propagación de archivos
infectados, se debe a la vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas las
versiones de PIRCH, antes de PIRCH98.

2. Re-envío de mensajes de la libreta de direcciones Microsoft Outlook, Office 95/97/2000/XP,

respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso
del lenguaje Visual Basic for Aplications, que permiten invocar la ejecución de determinadas
instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque
también pueden editar instrucciones y comandos con el NotePad y archivarlo con la extensión
.VBS

Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for Aplications,
tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS Office. El mas afectado es
la libreta de direcciones de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe
la orden de re-enviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de
la libreta de direcciones del sistema de usuario infectado.

Estas infecciones también se reproducen entre todos los usuarios de una red, una vez que uno de
sus usuarios ha sido infectado.

Virus de Web (active x y java):

 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Los applets de JAVA y los controles Active X, son unos lenguajes nuevos orientados a Internet,
pero las nuevas tecnologías abren un mundo nuevo a explotar por los creadores de virus.

De momento no son muy utilizados pero a partir del 2000, superaran en número a los virus de
macro.

CICLO DE VIDA DE LOS VIRUS

Como vimos anteriormente, aunque los virus variar en el tiempo de acción y reacción, todos
presentan algunas características generales en su ciclo de vida, que comienza con su creación y
finaliza con su eliminación. Las siguientes son las etapas de este ciclo:

• Creación: Cualquier persona con un poco de conocimientos en programación puede crear

un virus.

• Gestación: El programador hace copias asegurándose que se disemine.

• Reproducción: Los virus se reproducen naturalmente.

• Activación: Los virus que contienen rutinas dañinas, se activaran bajo ciertas condiciones.
Los virus sin rutinas dañina no se activan, pero causan daño al robar espacio en el disco duro.

• Descubrimiento: Este normalmente se genera después de la activación.

• Asimilación: quienes fabrican antivirus modifican sus programas para que los pueda
detectar.

Ciclo de vida de los Virus

TÉCNICAS DE INFECCIÓN
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Cada uno de los miles de virus existentes utiliza diferentes mecanismos, tanto para realizar la
infección como para ocultarse y pasar desapercibido. Estas técnicas evolucionan con el tiempo, al
igual que las técnicas utilizadas por los programas antivirus para detectarlos. En esta sección
presentamos los mecanismos utilizados por los virus:

- Ocultamiento (Stealth): los virus que utilizan esta técnica intentan pasar desapercibidos ante los
ojos del usuario, no levantan ninguna sospecha sobre la infección que ya han efectuado; los virus
residentes son los que más la utilizan, aunque no es exclusiva de este tipo de virus.

Cuando un virus infecta un determinado fichero, normalmente deja signos evidentes de su

presencia como: aumento de tamaño en el fichero infectado, modificación de la fecha y hora de
creación en el fichero infectado, secciones marcadas como defectuosas, disminución de la
capacidad en la memoria, etc. En este caso el virus se encargará de que cada una de estas pistas
no puedan ser visualizadas.

- Sobrepasamiento (Tunneling): se trata de una técnica especialmente diseñada para imposibilitar

la protección antivirus en cualquier momento. Mientras el análisis permanente, o residente, del
programa antivirus que se encuentre instalado intenta realizar detecciones, el virus actúa en su
contra.

Todas las operaciones que se realizan sobre cualquiera de los archivos son inspeccionadas por el
antivirus mediante la interceptación de las acciones que el sistema operativo lleva a cabo para
hacerlas posible; al mismo tiempo, el virus interceptará estas peticiones o servicios del sistema
operativo, obteniendo las direcciones de memoria en las que se encuentran. Así el antivirus no
detectará la presencia del virus. Sin embargo, existen técnicas antivirus alternativas que permiten
la detección de virus que realicen este tipo de operaciones.

Autoencriptación: los programas antivirus se encargan de buscar determinadas cadenas de

caracteres (lo que se denomina la firma del virus) propias de cada uno de los posibles virus; estos,
por su parte y mediante la técnica de autoencriptación, infectarán de forma diferente en cada
ocasión. Esto significa que el virus utilizará una cadena concreta para realizar una infección,
mientras que en la siguiente infección utilizará otra distinta.
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Por otro lado, el virus codifica o cifra sus cadenas para que al antivirus le sea difícil encontrarlo. Sin
embargo, los virus que utilizan este tipo de técnicas, emplean siempre la misma rutina o algoritmo
de encriptación, con lo que es posible su detección.

Polimorfismo: basándose en la técnica de autoencriptación, el virus se codifica o cifra de manera

diferente en cada infección que realiza (su firma variará de una infección a otra) y adicionalmente
el virus cifrará también el modo (rutina o algoritmo) mediante el cual realiza el cifrado de su firma.
Todo esto hace posible que el virus cree ejemplares de sí mismo diferentes de una infección a la
siguiente, cambiando de "forma" en cada una de ellas. Para su detección, los programas antivirus
emplean técnicas de simulación de descifrado.

Armouring: mediante esta técnica el virus impide ser examinado. Para conocer más datos sobre
cada uno de ellos, éstos son abiertos como ficheros que son, utilizando programas especiales
(Debuger) que permiten descubrir cada una de las líneas del código (lenguaje de programación en
el que están escritos). Pero en los virus que utilicen la técnica de Armouring no se podrá leer el
código

MEDIOS DE CONTAGIO

Los siguientes son los medios por los cuales los virus pueden penetrar en nuestro computador:

Unidades de Disco Extraíbles: Estos medios de almacenamiento, presentan un alto riesgo dada la
facilidad que tienen para trabajar ficheros en uno u otro computador, tales cono los disquetes, CD-
Roms , unidades Zip.

Redes de Ordenadores: Una red de computadores conectados físicamente entre sí, corre el riesgo
de que alguno de los ordenadores si es infectado, contagie inmediatamente al resto.

Internet: Dadas las grandes posibilidades que nos brinda el Internet para obtener, enviar y recibir
información, debemos tener en cuenta que esta proviene de un computador de cualquier parte
del mundo, por lo tanto no estamos exentos de que en el momento en que estemos recibiendo
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
una información ya sea por el correo electrónico o a través de una pagina web, un virus se
introduzca en nuestro equipo.

DAÑOS CAUSADOS

Se define daño como una acción indeseada, y se clasifican según la cantidad de tiempo necesaria
para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la
gravedad.

1. Daños Triviales.

Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes
cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente,
segundos o minutos.

2. Daños Menores.

Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13, todos los
programas que uno trate de usar después de que el virus haya infectado la memoria residente. En
el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor
de 30 minutos.

3. Daños Moderados.

Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table,
Tabla de Ubicación de Archivos), o sobreescribe el disco rígido. En este caso, sabremos
inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y
utilizar el último backup. Esto quizás nos lleve una hora.

4. Daños Mayores.

Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos,
pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un
ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él
escribe la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo).

Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que
detectemos la presencia del virus y queramos restaurar el último backup notaremos que también
él contiene sectores con la frase, y también los backups anteriores a ese.

Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente
hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese
backup.

5. Daños Severos.

Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos.
No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el
caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ...).

6. Daños Ilimitados.

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del
administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino
troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el
nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien
ingresará al sistema y haría lo que quisiera.

MEDIDAS DE PREVENCIÓN (ANTIVIRUS)

Cuando, de estar seguro de que el computador ha sido infectado por cualquier tipo de
virus, se debe proceder a apagar el equipo inmediatamente para evitar que el virus se introduzca
en los discos flexibles o en el disco duro. Además, al apagar el computador se logra eliminar el
virus de la memoria RAM.
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Posteriormente, se procede a la identificación de virus con algún programa detector (SCAN, NAV,
CPAV, MSAV, NORTON, McAfee, etc.) y después, si es posible, a su eliminación mediante estos
mismos programas.

Para los virus conocidos y analizados, existen programas antivirus que con mayor o menor
inteligencia los localizan, sin embargo, debemos recordar que sólo pueden detectarse virus ya
conocidos. Cuando la búsqueda tiene resultados positivos se comprueba en forma generalizada la
infección; pero, ante un diagnostico negativo, no puede detectarse una infección; por este motivo,
deberían utilizarse siempre las versiones más recientes de los programas de antivirus.

Es muy importante mantener actualizado el programa antivirus que posea; se puede considerar
actualizado a un antivirus que no tenga más de tres meses desde su fecha de creación (o de
actualización del archivo de strings). Es muy recomendable tener por lo menos dos antivirus.

Cuando se detecta la infección con un virus, se debe eliminar inmediatamente en forma total,
pues un único virus remanente vuelve a infectar toda el equipo. A continuación, se apaga la
computadora, para asegura que se borre completamente todo el contenido de la memoria de
trabajo. Luego, se pone en marcha el computador utilizando un sistema operativo del disco de
carga, protegido contra escritura y que obviamente no esté infectado. Una vez realizado el nuevo
arranque, se puede establecer una de las dos soluciones:

a) Borrar por completo el disco duro haciendo un formateo de bajo nivel y después cargar los
programas originales de seguridad nuevamente. Por ello es fundamental que las copias originales
hayan sido aseguradas y estén bien conservadas.

b) O bien, utilizar un programa eliminador de virus, si no se dispone de originales seguros para

todos los programas. Sin embargo, se debe tener cuidado cuando se aplican estos programas, ya
que después de la limpieza algunos de los programas podrán funcionar incorrectamente.

Cuando se encuentran archivos infectados, es preferible borrarlos y restaurarlos desde respaldos,

aún cuando el programa antivirus que usemos pueda desinfectar los archivos. Esto es porque no
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
existe seguridad sobre si el virus detectado es el mismo para el cual fueron diseñadas las rutinas
de desinfección del antivirus, o es una mutación del original.

Cuando, por alguna causa, no se puede erradicar un virus, deberá buscarse la asesoría de un
experto directamente pues, si se pidiera ayuda a cualquier aficionado, se correrá el riesgo de
perder definitivamente datos si el procedimiento sugerido no es correcto.

Cuando se ha detectado y erradicado un virus es conveniente reportar la infección a algún

experto, grupo de investigadores de virus, soporte técnico de programas antivirus, etc. Esto que
en principio parecería innecesario, ayuda a mantener estadísticas, rastrear focos de infección e
identificar nuevos virus, lo cual en definitiva, termina beneficiando al usuario mismo.

El problema con los virus, es que están escritos en códigos de programación muy diferentes que
tienen diversas características de funcionamiento, lo cual hace que estos programas antivirus solo
sean eficientes para combatir el tipo de virus para el cual fueron diseñados.

ALGUNOS CASOS DE VIRUS INFORMATICOS:

Viernes 13 (1988)

Los nombres del virus, “Viernes 13″ o “Jerusalem”, vienen dados por la fecha y el lugar en que
fueron descubiertos, el viernes 13 Mayo de 1988, fecha en que se celebraba el cuarenta
aniversario de la fundación del Estado Judío, en la ciudad de Jerusalem.

El virus infectaba archivos .COM y .EXE, cada vez que eran ejecutados y mientras estaba el virus
activo en memoria. La primera versión se auto-instalaba residente en la memoria RAM del
sistema, tomando control de las interrupciones 08h y 21h, y desde allí infectaba a archivos con
extensión .COM, a los cuales incrementaba 1,792 bytes y a los .EXE que incrementaba entre 1,808
a 1822 bytes adicionales. Cuando el calendario coincidía en viernes 13, el virus se activaba
borrando todos los programas que se intentaban ejecutar, mientras que si no era esa la fecha
simplemente ralantizaba el uso del equipo al poner un delay en la interrupción del reloj.
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Aunque el virus lleva circulando desde dicha fecha, todavía siguen apareciendo alertas cada vez
que se acerca la fecha. Esto se debe en parte a la especial predilección por esa fecha de muchos
creadores de virus, que hace que el viernes 13 sea un día especialmente negro para los usuarios de
ordenadores. “Viernes 13″ Es quizá el virus más longevo y con más versiones de la historia de la
informática.

Casino (1991)

El virus se activa los días 15 de enero, 15 de abril y 15 de agosto, mostrando el siguiente mensaje
en pantalla:

DISK DESTROYER . A SOUVENIR OF MALTA

I have just DESTROYED the FAT on your Disk !!

However, I have a copy in RAM, and I`m giving you a last chance

to restore your precious data.

IF YOU RESET NOW, ALL YOUR DATA WILL BE LOST-FOREVER !! :WARNING

Your Data depends on a game of JACKPOT

CASINO DE MALTE JACKPOT

5 : CREDITS

LLL = Your Disk

??? = My Phone No.

ANY KEY TO PLAY

Que traducido, significa:

“DESTRUCTOR de DISCO. UN RECUERDO DE MALTA

¡Acabo de DESTRUIR la FAT de tu Disco!

 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Sin embargo, tengo una copia en RAM, y voy a darte una última oportunidad

de restaurar tus preciosos datos.

SI REINICIAS AHORA, TODOS TUS DATOS SE BORRARÁN - ¡PARA SIEMPRE!: PELIGRO

Tus datos dependen de una partida de JACKPOT

CASINO DE MALTE JACKPOT

5 : CREDITOS

LLL = Tu Disco

??? = Mi número de teléfono

CUALQUIER TECLA PARA JUGAR

El virus borraba la FAT, estructura básica de cualquier disco DOS que permite encontrar los datos.
Sin embargo, según indicaba en el mensaje, había guardado una copia de seguridad en memoria
que el usuario podía recuperar si ganaba la partida. Y entonces daba comienzo una partida de
tragaperras en la que nos jugabamos los datos de nuestro disco duro. Si conseguíamos sacar tres
“L”, podíamos respirar tranquilos. El virus restauraba los datos y se despedía con el siguiente
mensaje:

BASTARD! YOURE LUCKY THIS TIME, BUT FOR YOUR

OWN SAKE, SWITCH OFF YOUR COMPUTER NOW AND DONT TURN IT ON UNTIL TOMORROW!

Traducción:

¡BASTARDO! HAS TENIDO SUERTE ESTA VEZ, PERO POR TU

PROPIA SEGURIDAD, ¡APAGA TU ORDENADOR AHORA Y NO LO ENCIENDAS HASTA MAÑANA!

Y si no conseguíamos las tres “L”… bueno… digamos que esa será la última partida que se jugaría
en ese ordenador.
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
Barrotes (1993)

Este es un virus de la vieja escuela. Un auténtico clásico que todos los que tuvieran ordenador
antes de 1993 seguro que recordarán. En aquel entonces, este tipo de programas se transmitían a
través de diskettes infectados o bien de las primitivas BBS, por lo que normalmente cuando
alguien “pillaba” el virus, todos sus amigos solían contagiarse. Su principal vía de propagación era,
por tanto, el intercambio de juegos piratas.

Barrotes no era un virus especialmente dañino, pero si muy llamativo. Cuando lo pillabas,
enseguida te dabas cuenta. El virus era un pequeño programa que, al entrar en un nuevo sistema,
buscaba y escribía su código en los archivos .COM y .EXE de MS-DOS (archivos ejecutables). Una
vez hecha la jugarreta, el virus permanecía en estado latente hasta el 5 de Enero, momento en que
se activaba sobreescribiendo el sector de arranque del disco duro. El resultado era que a partir de
entonces, cada vez que el usuario utilizara el ordenador, se podian ver unas barras azules
verticales, como los barrotes de una cárcel (de ahí el nombre del virus). En pantalla aparecía
además la firma de su creador: “Virus BARROTES por OSoft”.

Las siguientes versiones del virus eran más malignas. De esta forma existía Barrotes.1463, que
intenta borrar múltiples archivos el día 22 de cada mes, pero que debido a un error de
programación, se activaba los días 34 (o sea, nunca). El Barrotes.1303 es la versión más dañina, ya
que destruye el sector de arranque del disco duro los días 23 de Septiembre.

CIH (1998)

Este Virus causó muchos quebraderos de cabeza. El virus, programado por el taiwanés Chen Ing
Hau. El virus sobreescribe información crítica en muchos archivos del sistema y lo que es peor,
puede llegar a causar corrupción de la BIOS del sistema, lo que supone tener que tirar la placa
base a la basura.

Es el virus más dañino de todos los que se han expandido masivamente. Su expansión se debe
tanto a sus múltiplies vías de propagación (archivos infectados) como a errores en controles de
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
calidad de las empresas. Así, en 1998, Yamaha lanzó una actualización de firmware para sus
unidades de CD-ROM CD-R400 que estaba infectada por el virus. Pero la cosa no acaba ahí. En
1999, una partida de ordenadores IBM Aptiva fueron entregados a sus compradores con el
software infectado por el virus CIH, debido una vez más a un error humano.

CIH es el virus más dañino de la historia. Ha causado de 20 a 80 millones de dólares en pérdidas en

todo el mundo, sin contar toda la información que ha destruído. Pero los hipocondriacos de la
seguridad informática podéis estar tranquilos: CIH no afecta a sistemas operativos Windows 2000
y posteriores (como Windows XP), así que podéis estar tranquilos

ILOVEYOU (2000)

Es uno de los virus más simples y, sin embargo, más difundidos de la historia. El virus “ILOVEYOU”,
creado por el estudiante filipino Onel A. de Guzman. Este gusano marcó un hito en la historia de la
informática, no sólo por su rápida expansión, sino poque enseño a millones de personas a no
creerse todo lo que recibían por e-mail.

La forma de infección del virus “VBS/Loveletter” o “ILOVEYOU”, como se le conoce comúnmente,

es de lo más simple. Se trataba de un e-mail cuyo asunto era “ILOVEYOU” (”Te quiero”, en inglés)
que incluía un archivo adjunto llamado “LOVE-LETTER-FOR-YOU.TXT.vbs” (”Carta de amor para
ti”). Esto hoy en día nos parece ridículo y haría sospechar a cualquiera, pero en el año 2000, en el
que la infección por correo electrónico no era tan conocida, millones de incautos picaron el
anzuelo y abrieron el archivo adjunto, creyendo que efectivamente tenían un/a admirador/a
secreto/a.

El gusano estaba programado en Visual Basic Script, un sencillo lenguaje de programación

diseñado por Microsoft para ser utilizado fundamentalmente en procesos de automatización, esto
es, simplificar y/o acelerar tareas monótonas. Pero este lenguaje pronto se reveló como una
potente herramienta para los programadores de virus por dos razones principales: la primera es
que el icono parecido a un pergamino que representa a los ficheros .vbs puede llevar a pensar a
 Sauza Quebrado Erick
Taller de Computo
4-Abril-2011
Grupo: 228 A
Escalante Reynoso Alonso
los usuarios inexpertos que se trata de un fichero de texto. La segunda es su facilidad de uso: se
necesitan pocas líneas de código para programar un programa malicioso.

También escaneaba el disco duro del ordenador infectado y reemplazaba todos los archivos *.jpg,
*.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA con copias de los mismos en las que
escribía su código y a las que añadía la extensión .VBS. Asimismo, también buscaba archivos *.MP3
y *.MP2 y repetía el proceso de reemplazarlos por copias de si mismo a las que daba el mismo
nombre que el archivo original, pero con añadiendo la extensión .VBS.

Un gusano fácil de detectar y bastante tosco, ¿verdad?. Pues el famoso “ILOVEYOU” afectó a miles
de ordenadores en todo el mundo y causó aproximadamente 10 billones de dólares en pérdidas.
Para más inri, como Filipinas no tenía leyes sobre la creación de virus informáticos, el autor de
ILOVEYOU quedó en libertad sin cargos.

Blaster (2003) y Sasser (2004)

Otro clásico. Se propagaba a través de internet utilizando una vulnerabilidad de Windows 2000 y
Windows XP. Es el virus de propagación más rápida de la historia, ya que afectó a millones de
ordenadores en tan sólo dos días.

Al activarse, el virus mostraba un cuadro de diálogo con una cuenta atrás que indicaba que el
ordenador sería apagado en unos minutos. Por suerte Microsoft se dio prisa en sacar un parche
que arreglara dicha vulnerabilidad, pero durante un tiempo este programilla supuso a los usuarios
de Windows un auéntico quebradero de cabeza.

En cuanto a Sasser, su efecto era similar al Blaster: el apagado del sistema al cabo de un minuto.
Otra vez un nuevo parche de Microsoft solucionó el problema, pero el daño ya estaba hecho: la
confianza de los usuarios hacia la seguridad de windows sufrió un duro revés dada la masiva
propagación de estos dos gusanos.