Tipos de Virus

Virus Residente

Son aquellos virus que se ocultan en la Memoria de Acceso Aleatorio (RAM) de una

computadora y que a su vez afecta a los ficheros y programas en el preciso momento
que estos comienzan a ejecutarse. Un ejemplo de este tipo de virus es el Randex. Los
virus residentes son aquellos que se ocultan en la RAM de una computadora y que
afecta a los programas y ficheros en el momento que comienzan su funcionamiento.
Una vez ejecutado el programa portador del virus, se queda en la memoria de la
computadora hasta que se apague la misma. Mientras tanto va infectando todos
aquellos programas ejecutables que cargue. Se caracterizan por actuar segú n unas
pautas marcadas por el creador. Son los virus de archivo má s habituales, infecciosos y
contagiosos.

Su principal característica es que se esconden tras la memoria RAM de una manera

permanente. De manera que puedan controlar y obstaculizar todos los
procedimientos llevadas a cabo por el sistema operativo, contagiando todos aquellos
programas y ficheros que se hayan abierto, cerrado, renombrado, ejecutados,
copiados, o cualquier otra operació n que se haya realizado con los mismos.

Medidas de protección más efectivas

La má s efectiva, principal y mejor manera de protegerse es adquiriendo un antivirus,

mantenerlo actualizado y tratar de mantenerse informado sobre las nuevas técnicas
de protecció n y programació n de virus.
La mejor forma de prevenir y de eliminar el virus es instalando un antivirus en la
computadora, analizando todos los discos que desee instalar, y en caso de detectar
algú n virus, eliminar la instalació n lo antes posible. Si el antivirus que se tenga
instalado en su equipo no está actualizado puede ser totalmente inservible por lo que
es muy importante mantener actualizado perió dicamente el antivirus.
 Virus de Acción Directa

Al contrario que los residentes, estos virus no permanecen en memoria; su objetivo

prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al
cumplirse una determinada condició n, se activan y buscan los ficheros ubicados
dentro de su mismo directorio para contagiarlos.

Un virus de acció n directa es uno de los dos tipos principales de virus infector de
archivos (el otro es un virus residente). El virus se considera “no residente”; no se
instala o permanece oculto en la memoria de tu computadora. Funciona adjuntá ndose
a un tipo particular de archivo (normalmente archivos EXE o COM). Cuando alguien
ejecuta el archivo, cobra vida, buscando otros archivos similares en el directorio para
que se propague.
 
En una nota positiva, el virus no suele eliminar archivos ni obstaculizar el rendimiento
del sistema. Aparte de que algunos archivos se vuelven inaccesibles, tiene un impacto
mínimo en un usuario y puede eliminarse fá cilmente con un programa antivirus.

Un ejemplo de virus de acció n directa: Es un típico keyloguer que en cuanto se ejecuta

empieza a detectar lo que se teclea y lo envía a través de internet en direcció n al
servidor que se indica en la programació n. Realizan sus acciones en los directorios
especificados dentro de la línea PATH (camino o rutas de directorios), dentro del
fichero AUTOEXEC.BAT (fichero que siempre se encuentra en el directorio raíz del
disco duro). Los virus de acció n directa presentan la ventaja de que los ficheros
afectados por ellos pueden ser desinfectados y restaurados completamente.
 Virus Sobre Escritura

Para un usuario final, un virus de sobrescritura es uno de los má s frustrantes, incluso

si no es particularmente peligroso para tu sistema en general. Esto se debe a que
eliminará el contenido de cualquier archivo que infecte; La ú nica forma de eliminar el
virus es eliminar el archivo y, en consecuencia, perder tu contenido. Puedes infectar
archivos independientes y piezas de software completas.
 
Los virus de sobrescritura suelen tener poca visibilidad y se propagan por correo
electró nico, lo que los hace difíciles de identificar para un usuario promedio de
PC. Disfrutaron de un apogeo a principios de la década de2000 con Windows 2000 y
Windows NT, pero aú n puedes encontrarlos en la naturaleza.

Estos tipos de virus informá ticos se caracterizan por el hecho de que borran
la informació n contenida en los ficheros que infectan, haciéndolos parcial o
totalmente inú tiles. Una vez infectados, el virus reemplaza el contenido del fichero sin
cambiar su tamañ o. La ú nica manera de limpiar un archivo infectado por un virus de
sobre escritura es borrar el archivo completamente, perdiendo así el contenido
original. Sin embargo, es muy fá cil de detectar este tipo de virus ya que el programa
original se vuelve inú til.
 Virus de boot o de arranque

Desde la perspectiva del usuario, los virus del sector de arranque son algunos de los
má s peligrosos. Debido a que infectan el registro de arranque principal, son muy
difíciles de eliminar, ya que a menudo requieren un formato de sistema completo. Esto
es especialmente cierto si el virus ha cifrado el sector de inicio o ha dañ ado
excesivamente el có digo.
 
Por lo general, se propagan a través de medios extraíbles. Alcanzaron un pico en la
década de 1990 cuando los disquetes eran la norma, pero aú n puedes encontrarlos en
unidades USB y en archivos adjuntos de correo electró nico. Afortunadamente, las
mejoras en la arquitectura del BIOS han reducido su prevalencia en los ú ltimos añ os.

Las mejoras en la arquitectura de la BIOS han reducido la propagación de los

virus de arranque mediante la inclusión de una opción que impide cualquier
modificación del primer sector del disco duro de una computadora.
La eliminación de un virus de sector de arranque puede ser difícil debido a que
puede cifrar este sector. En numerosos casos, los usuarios incluso pueden
desconocer que están infectados con un virus hasta que ejecutan un programa
de protección antivirus o un análisis de malware.

Virus de Cifrados
Un virus cifrado es aquel que usa métodos criptográ ficos en un intento de esquivar los
antivirus  basados en cadenas de bú squedas, es  el autocifrado con una clave variable
Un ejemplo es el virus Cascade  el cual no se denomina polimó rfico, ya que su có digo
descifrado es invariable El ransomware realiza cifrado del nombre y el contenido de
ficheros. Inicialmente usaban criptografía simétrica. Actualmente suelen
usar criptografía asimétrica.

Ejemplos de este tipo de ransonware son el AIDS (el primer ransomware que

usaba criptografía simétrica para cifrar el nombre de los archivos) y PGPCoder
(usaba criptografía asimétrica). Normalmente un ransomware se transmite como
un troyano o como un gusano, infectando el sistema operativo, por ejemplo, con un
archivo descargado o explotando una vulnerabilidad de software. En este punto,
el ransomware se iniciará , cifrará los archivos del usuario con una determinada clave,
que solo el creador del ransomware conoce, y provocará al usuario que la reclame a
cambio de un pago.
 Virus de relleno espacial

También conocidos como “virus de la cavidad”, los virus de relleno espacial son má s
inteligentes que la mayoría de sus contrapartes. Un modus operandi típico para un
virus es simplemente adjuntarse a un archivo, pero los rellenos espaciales intentan
ingresar al espacio vacío que a veces se puede encontrar dentro del propio archivo.
 
Este método le permite infectar un programa sin dañ ar el có digo o aumentar su
tamañ o, lo que le permite evitar la necesidad de las técnicas de detecció n anti-
detecció n de otros virus. Afortunadamente, este tipo de virus es relativamente raro,
aunque el crecimiento de los archivos ejecutables portá tiles de Windows les está
dando una nueva vida.

De esta manera, no alteran el tamañ o de los archivos (como lo hacen otros virus), lo
que los hace muy difíciles de detectar. A la mayoría de los programas antivirus les
resulta difícil atrapar a los spacefillers, pero hay algunas herramientas manuales de
bú squeda de virus que los expertos en tecnología utilizan para eliminarlos.
Afortunadamente, no só lo son difíciles de detectar, sino que también son difíciles de
crear y no hay muchos tipos de archivos a los que se puedan adjuntar. Esto hace que
los virus de relleno espacial sean muy raros. 
 Virus multipartito

Si bien algunos virus se propagan con facilidad a través de un método vienen con un
ú nico payload, los virus multipartitos lo quieren todo. Un virus de este tipo puede
propagarse de mú ltiples maneras y puede tomar diferentes acciones en una
computadora infectada segú n las variables, como el sistema operativo instalado o la
existencia de ciertos archivos.
 
Pueden infectar simultá neamente tanto el sector de arranque como los archivos
ejecutables, lo que les permite actuar con rapidez y propagarse rá pidamente.
 
El ataque de dos puntas hace que sean difíciles de eliminar. Incluso si limpias los
archivos de programa de una má quina, si el virus permanece en el sector de arranque,
se reproducirá inmediatamente una vez que enciendas la computadora nuevamente.

Esa es la razó n por virus multipartitos a veces también conocido como virus híbridos.
uno de los mayores peligros de este tipo de virus es que puede volver a infectar el
sistema en caso de una metodología adecuada no se aplica para eliminarlo, es decir,
tienen una capacidad para ganar de nuevo los accesos al sistema host .

 
 Virus polimórfico

un virus polimó rfico (o también llamado código polimórfico o polimorfismo) es un

virus que por medio de un motor polimó rfico se muta a sí mismo mientras mantiene
su algoritmo original intacto, es decir, mantiene su funcionalidad prescrita intacta.
Esta técnica es utilizada comú nmente por virus informá ticos y gusanos para ocultar su
presencia. Muchos productos antivirus y sistemas de detecció n de intrusiones
intentan localizar programas maliciosos mediante bú squedas en los archivos de la
computadora y en los paquetes enviados a través de una red informá tica.

Método de Infección

Los virus polimó rficos trabajan de la siguiente manera: Se ocultan en un archivo y se

cargan en memoria cuando el archivo infectado es ejecutado. Pero a diferencia de
hacer una copia exacta de sí mismos cuando infectan otro archivo, modifican esa copia
para verse diferente cada vez que infectan un nuevo archivo. El polimorfismo es otra
de las capacidades de los virus bioló gicos aplicados a los virus informá ticos. Famosos
escritores de virus, como el bú lgaro conocido con el alias de Dark Avenger,
implementaron rutinas polimó rficas en sus virus.

Camuflaje

mecanismos Polimó rficos Es una técnica para impedir que los virus puedan ser
detectados, variando el método de encriptación de copia. Esto obliga a los antivirus a
usar técnicas heurísticas ya que como el virus cambia en cada infecció n es imposible
localizarlo buscá ndolo por cadenas de có digo. Esto se consigue utilizando un
algoritmo de encriptació n que pone las cosas muy difíciles a los antivirus. No obstante
no se puede codificar todo el có digo del virus, siempre debe quedar una parte
sin mutar que toma el control y esa es la parte má s vulnerable al antivirus. Los virus
polimó rficos contienen mecanismos que les permiten cambiar de aspecto en cada
infecció n.

Virus Rootkit
Un rootkit es un término que se aplica a un tipo de malware, diseñ ado para infectar un
PC, el cual permite al hacker instalar diferentes herramientas que le dan acceso
remoto al ordenador. Este malware se oculta en la má quina, dentro del sistema
operativo y sortea los obstá culos como aplicaciones antimalware o algunos productos
de seguridad. El rootkit contiene diferentes herramientas maliciosas como un
keylogger, un mó dulo para robar los nú meros de tarjeta o cuentas bancarias, un bot
para ataques DDoS y otras funciones que pueden desactivar el software de seguridad.
Los rootkits actú an como un backdoor que permite al atacante infectar, de forma
remota, al equipo y eliminar o instalar componentes específicos.

¿Cómo infecta al equipo?

Los rootkits se pueden instalar siguiendo varios métodos, pero el má s comú n es
aprovechando una vulnerabilidad en el sistema operativo o en una aplicació n del
equipo. Los piratas informá ticos dirigen sus atacantes contra vulnerabilidades
conocidas y desconocidas en el sistema operativo y aplicaciones; usando un exploit
que controle la má quina. Luego, instalan el rootkit y configuran unos componentes
que proporcionan acceso remoto al PC. 

Eliminación

Es difícil detectar la presencia de un rootkit en un equipo, porque este tipo de

malware permanece oculto y hace “su trabajo” a escondidas.  No obstante, existen
herramientas diseñ adas para buscar rootkits siguiendo sus patrones de
comportamiento. Eliminar un rootkit es un proceso complejo, que requiere el uso de
herramientas especiales como TDSSKiller; herramienta de Kaspersky Lab que puede
detectar y eliminar el rootkit TDSS. A veces, puede ser necesario que la víctima
reinstale el sistema operativo ya que el equipo está demasiado dañ ado.

Virus Mydoom
Mydoom es un gusano que se propaga a través del correo electró nico en un mensaje
con características variables y a través del programa de ficheros compartidos KaZaA.
Tiene capacidades de puerta trasera, lo cual permite que un usuario remoto pueda
acceder al equipo infectado.

Este gusano proviene del virus Mimail, virus sin efectos dañ inos pero con gran
capacidad de propagació n a través del envío masivo de correos. Fue identificado por
primera vez el 26 de enero de 2004, y se presenta en dos versiones: versió n .A y .B,
esta ú ltima detectada el 28 de enero de 2004.

La nueva variante es aú n má s peligrosa que la anterior, ya que está diseñ ada para
impedir que muchos programas antivirus puedan actualizarse correctamente. Otra
diferencia de la nueva variante en relació n con Mydoom. A. es que, está diseñ ada para
causar ataques de denegació n de servicio contra los servidores de la compañ ía
Microsoft, mientras que el primero lanzaba ataques contra la web.

Modo de Ataque
Es similar a otros gusanos de correo electró nico. Mydoom una vez que contagia la PC,
lee todas las direcciones de la libreta de contactos y se las auto envía. Puede
enmarcarse como un correo fallido con el texto de MAIL DELIVERY SUBSYSTEM, e
incitar al usuario a abrir un archivo adjunto para verificar cual correo se envió mal, es
aquí donde continua la propagació n de Mydoom. Los expertos indican que 'MyDoom'
podría iniciar una nueva temporada de virus inspirados en el exitoso 'SoBig.F'
Mydoom. A diferencia de Mydoom. A, que se propagó en enero pasado y está
considerado el virus má s dañ ino de la historia, esta vez no solo se contenta con
congestionar las redes, sino que borra archivos aleatorios de Microsoft Word y Excel,
ademá s de fotos y películas almacenadas en la computadora.

Mydoom posiblemente resulte ser mas caro que Sobig, hasta ahora el virus mas
costoso, que generó pérdidas alrededor de 37 100 millones de dó lares.