Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SOFTWARE MALIGNO
Uno de los cambios más sorprendentes del mundo de hoy es la rapidez de las
comunicaciones. Modernos sistemas permiten que el flujo de conocimientos sea
independiente del lugar físico en que nos encontremos. Ya no nos sorprende la
transferencia de información en tiempo real o instantáneo. Se dice que el
conocimiento es poder; para adquirirlo, las empresas se han unido en grandes redes
internacionales para transferir datos, sonidos e imágenes, y realizan el comercio en
forma electrónica, para ser más eficientes. Pero al unirse en forma pública, se han
vuelto vulnerables, pues cada sistema de computadoras involucrado en la red es un
blanco potencial y apetecible para obtener información.
Al unir una red a la Internet se tiene acceso a las redes de otras organizaciones
también unidas. Del universo de varias decenas de millones de computadoras
interconectadas, no es difícil pensar que puede haber más de una persona con
perversas intenciones respecto de una organización. Por eso, se debe tener la red
protegida adecuadamente.
Cada vez es más frecuente encontrar noticias referentes a que redes de importantes
organizaciones han sido violadas por criminales informáticos desconocidos. A pesar de
que la prensa ha publicitado que tales intrusiones son solamente obra de adolescentes
con propósitos de entretenerse o de jugar, ya no se trata de un incidente aislado de
una desafortunada institución. A diario se reciben reportes los ataques a redes
informáticas, los que se han vuelto cada vez más siniestros: los archivos son alterados
subrepticiamente, las computadoras se vuelven inoperativas, se ha copiado
información confidencial sin autorización, se ha reemplazado el software para agregar
"puertas traseras" de entrada, y miles de contraseñas han sido capturadas a usuarios
inocentes.
Página 1 de 19
Software de diagnóstico y protección
Los administradores de sistemas deben gastar horas y a veces días enteros volviendo a
cargar o reconfigurando sistemas comprometidos, con el objeto de recuperar la
confianza en la integridad del sistema. No hay manera de saber los motivos que tuvo el
intruso, y debe suponerse que sus intenciones son lo peor. Aquella gente que irrumpe
en los sistemas sin autorización, aunque sea solamente para mirar su estructura, causa
mucho daño, incluso sin que hubieran Ya pasaron los tiempos en que la seguridad de
las computadoras era sólo un juego o diversión.
Hacia finales de los años 60, Douglas McIlory, Victor Vysottsky y Robert Morris idearon
un juego al que llamaron Core War (Guerra en lo Central, aludiendo a la memoria de la
computadora), que se convirtió en el pasatiempo de algunos de los programadores de
los laboratorios Bell de AT&T. El juego consistía en que dos jugadores escribieran cada
uno un programa llamado organismo, cuyo hábitat fuera la memoria de la
computadora. A partir de una señal, cada programa intentaba forzar al otro a efectuar
una instrucción inválida, ganando el primero que lo consiguiera. Al término del juego,
se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran
severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo
suelto que pudiera acabar con las aplicaciones del día siguiente. De esta manera
surgieron los programas destinados a dañar en la escena de la computación.
Uno de los primeros registros que se tienen de una infección data del año 1987,
cuando en la Universidad estadounidense de Delaware notaron que tenían un virus
porque comenzaron a ver "© Brain" como etiqueta de los disquetes. La causa de ello
era Brain Computer Services, una casa de computación paquistaní que, desde 1986,
vendía copias ilegales de software comercial infectadas para, según los responsables
de la firma, dar una lección a los piratas. Ellos habían notado que el sector de booteo
de un disquete contenía código ejecutable, y que dicho código se ejecutaba cada vez
que la máquina se inicializaba desde un disquete. Lograron reemplazar ese código por
Página 2 de 19
Software de diagnóstico y protección
su propio programa, residente, y que este instalara una réplica de sí mismo en cada
disquete que fuera utilizado de ahí en adelante.
Con relación a la motivación de los autores de virus para llevar a cabo su obra, existe
en Internet un documento escrito por un escritor freelance Markus Salo, en el cual,
entre otros, se exponen los siguientes conceptos:
Por otro lado, ciertos programadores parecen intentar legalizar sus actos
poniendo sus creaciones al alcance de mucha gente, (vía Internet, BBS
Página 3 de 19
Software de diagnóstico y protección
En definitiva, sea cual fuere el motivo por el cual se siguen produciendo virus, se debe
destacar que su existencia no ha sido sólo perjuicios: gracias a ellos, mucha gente ha
tomado conciencia de qué es lo que tiene y cómo protegerlo.
3. PROGRAMAS MALIGNOS
En la siguiente figura tenemos una taxonomía general de los programas malignos. Por
una parte tenemos aquellos que necesitan un programa anfitrión y que son,
básicamente, fragmentos de programas que no tienen existencia independiente de un
programa de aplicación, de utilidad o del sistema. Por otro lado tenemos programas
independientes, es decir, programas que por sí mismos pueden ser planificados y
ejecutados por el sistema operativo.
Página 4 de 19
Software de diagnóstico y protección
Daremos una visión general de este tipo de software para después centrarnos en los
virus y en las medidas para contrarrestarlos:
3.1 TRAMPILLAS
Es uno de los tipos de amenaza más antiguos, anterior a los virus y gusanos. Se trata de
código incrustado en un programa legítimo que “explota” cuando se cumplen ciertas
condiciones, como la presencia o ausencia de ciertos archivos, un día concreto de la
semana, cuando un usuario en particular ejecuta la aplicación, etc.
Una vez disparada, la bomba podía modificar o borrar datos o archivos enteros, hacer
que la máquina se detuviese o causar algún otro daño.
Página 5 de 19
Software de diagnóstico y protección
Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la
mitología: llegan al ordenador como un programa aparentemente inofensivo. Sin
embargo, al ejecutarlo instalará en nuestro ordenador un segundo programa, el
troyano.
Los efectos de los Troyanos pueden ser muy peligrosos. Al igual que los virus, tienen la
capacidad de eliminar ficheros o destruir la información del disco duro. Pero además
pueden capturar y reenviar datos confidenciales a una dirección externa o abrir
puertos de comunicaciones, permitiendo que un posible intruso controle nuestro
ordenador de forma remota.
Vamos a ver el funcionamiento de un troyano con el ejemplo más famoso. Qaz era una
réplica del bloc de notas o notepad.exe de Windows. Escrito en Visual C+. Este troyano
sustituía el archivo original por una “nueva copia”.
La primera vez que lo arrancamos modifica el registro de Windows, para que cada vez
que se lanzase el sistema se ejecutase.
Al ejecutarse se propagaba por todas las unidades compartidas de nuestra red local.
Por si esto fuera poco, mandaba un e-mail a su autor, con nuestra dirección TCP/IP, y
dejaba un puerto TCP abierto.
Con estos datos el autor del virus podía entrar en nuestro sistema de forma remota, y
vagar a sus anchas por nuestro ordenador.
Este troyano se propagó bastante bien por la red, llegando incluso a entrar en la red de
Microsoft. Otros ejemplos de Troyanos: IRC.Sx2, Trifor
Página 6 de 19
Software de diagnóstico y protección
3.4 GUSANOS
Igual que los virus, los gusanos muestran una fase latente, una fase de propagación,
una fase de activación y una fase de ejecución.
Este tipo de virus suelen estar programados en Visual Basic Script, o son macros de
programas como Word.
Un gusano muy famoso fue I LOVE YOU. Creado por Onel de Guzmán, un filipino de 24
años. Programad en Visual Basic Script, tenía solamente 275 líneas de código. Su
funcionamiento era extremadamente sencillo, el usuario infectado recibía un correo
electrónico donde como asunto aparecía I LOVE YOU. Casi nadie es capaz de resistirse
a abrir un mensaje así. Este mensaje contenía un fichero vinculado, el I-LOVE-YOU-
LETTER.TXT. Al abrir este archivo, despertábamos el virus, y éste abría nuestra agenda,
y se autoenviaba a todos nuestros contactos de la libreta de direcciones.
El virus se extendió como la pólvora en pocas horas. Los efectos que provocó fue el
colapso total de la red, con millones de e-mails con el virus. Los servidores de correo
tuvieron que desconectarse, para evitar la saturación, colapsando la red por unas
horas. El gusano no era maligno, ya que no destruía ninguna información.
Página 7 de 19
Software de diagnóstico y protección
3.5 ZOMBIES
3.6 VIRUS
Para que entre un virus en su sistema, simplemente tiene que ejecutar un programa
infectado por el virus, añadiendo nuevas “instrucciones” Estas “nuevas instrucciones”
son el propio virus.
Una vez que se ha situado en memoria, el objetivo del virus es infectar todos los
programas que pueda. La mayoría de los virus solo afectan ficheros ejecutables. A
partir de este momento todos los programas que ejecute se irán infectando, y estos
atacaran a otros programas, y estos a otros, a otros, etc. La propagación del virus es
muy rápida, y en pocos días tendremos infectado el sistema completo.
Otra zona que suelen atacar es el sector de arranque del disco duro o de discos
flexibles. La estrategia consiste en alterar esta zona, para que nada más arrancar
nuestro sistema operativo, también y sin saberlo despertemos al virus.
Por último, falta el desenlace fatal: la activación de los virus. Todos los virus se activan
al cumplirse una condición, como que sea una determinada fecha, una determinada
hora, etc. Al provocarse la activación del virus puede pasar de todo, tenemos virus
como el 4 de Julio, que se activa el día de la independencia de los EE UU, que toca el
himno del este país, o el Viernes 13, que puede dañar la información de nuestro disco
duro.
Módulo de Reproducción
Módulo de Ataque
Módulo de Defensa
Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios
daños que pueden afectar a los sistemas. Nunca se puede asumir que un virus es
inofensivo y dejarlo "flotando" en el sistema
Página 9 de 19
Software de diagnóstico y protección
Los virus informáticos se pueden clasificar siguiendo criterios muy diversos, una
posible clasificación es la siguiente:
Virus de fichero.
Utilizan los ficheros ejecutables (.EXE, .COM, .SYS, .OVL, ...) como medio de
transmitirse y tomar el control. Si se instalan en un programa de poco uso, no se carga
en RAM hasta que lo ejecutemos. Si es un virus de acción directa (tipo caballo de
Troya), ya está hecho el daño.
Por el contrario, si es del tipo de virus residente, lo primero que hace es ver si debe
activarse (si es 5 de enero en el caso del Barrotes). Si no es el momento adecuado, se
queda en RAM dedicándose a añadirse a todos los programas que ejecutemos.
Un síntoma de infección viral es el aumento del tamaño de los ficheros. Algunos virus
de fichero se instalan en el fichero infectado sobreescribiendose, por lo que el
programa queda con el mismo tamaño pero inutilizable. Son los llamados virus de
sobreescritura.
Los virus de compañía crean un nuevo fichero con el mismo nombre que el que hemos
ejecutado pero con la extensión .COM (los .COM tienen prioridad de ejecución sobre
los .EXE) en el que instala una copia suya. A continuación le pone el atributo de oculto
para que no se vea.
Un tipo raro de virus son los virus de enlace o de directorio que modifican el directorio
cambiando el número del primer cluster del fichero ejecutado por el de la ubicación
del virus y situando en un pseudodirectorio la dirección real. No se crean nuevas
copias del virus, sino que hace que todos los ficheros infectados pasen primero por la
única copia del virus y posteriormente, a través del pseudodirectorio, ejecuta el
fichero.
Página 10 de 19
Software de diagnóstico y protección
Virus de BOOT.
Virus de macro.
En términos generales podemos considerar tres fases dentro del ciclo de vida de un
virus:
3. Activación: Una vez que se da una determinada circunstancia (p.e. una fecha) el
virus se activa y comienza su acción destructora, como puede ser el borrado de
ficheros, formateado de discos, o simplemente la aparición de objetos extraños y
molestos en pantalla.
Página 11 de 19
Software de diagnóstico y protección
Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad
de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños
causados por los virus, de acuerdo a la gravedad de los mismos:
DAÑOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de
cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus
implica, generalmente, segundos o minutos.
DAÑOS MENORES.
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes
13, todos los programas que uno trate de usar después de que el virus haya infectado
la memoria residente. En el peor de los casos, tendremos que reinstalar los programas
perdidos. Esto nos llevará alrededor de 30 minutos.
DAÑOS MODERADOS.
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicación de Archivos), o sobreescribe el disco rígido. En
este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos
reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una
hora.
DAÑOS MAYORES.
Página 12 de 19
Software de diagnóstico y protección
a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere
in time" (Eddie vive … en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día
en que detectemos la presencia del virus y queramos restaurar el último backup
notaremos que también él contiene sectores con la frase, y también los backups
anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados
con posterioridad a ese backup.
DAÑOS SEVEROS.
Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y
progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay
pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la
frase Eddie lives ...).
DAÑOS ILIMITADOS.
Aunque los síntomas pueden ser muy diversos, a continuación se presenta una
pequeña muestra de estos:
Página 13 de 19
Software de diagnóstico y protección
El disco duro se queda sin espacio o informa de falta de espacio sin que esto
sea necesariamente así.
Una infección se soluciona con las llamadas "vacunas" (que impiden la infección) o
con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los
archivos infectados. Hay cierto tipo de virus que no son desactivables ni removibles,
por lo que se debe destruir el archivo infectado.
Defenderse del ataque de los virus informáticos es una batalla con dos trincheras: el
objetivo principal es evitar el contagio, poniendo los medios necesarios para alejarnos
de cualquier foco de infección. Sin embargo, nunca podemos estar completamente a
salvo del peligro, por lo que debemos prepararnos para, en caso de contagio, atajar la
enfermedad de la manera más rápida posible y minimizar en lo posible sus efectos.
Página 14 de 19
Software de diagnóstico y protección
Antivirus
Son los programas más conocidos y extendidos, y están dirigidos contra tipos
específicos de virus, siendo capaces de detectar y eliminar un número determinado de
ellos. Un antivirus funciona analizando los ficheros en busca de secuencias de bytes
características de un determinado virus. Si el código de un cierto virus contiene una
determinada cadena de caracteres, podemos explorar los ficheros de un disco en
busca de dicha cadena. Los ficheros que la contengan estarán, posiblemente,
infectados, por lo que el antivirus puede señalar su presencia al usuario.
Los antivirus son útiles para evitar el contagio (ya que podemos analizar cada disquete
que vayamos a introducir en el ordenador antes de ejecutar ninguno de los ficheros
que contenga), para detectar el contagio una vez producido y, en algunos casos, para
eliminar el virus de nuestros ficheros.
El inconveniente de este tipo de programas es que basta con que alguien realice algún
tipo de modificación sobre un virus detectable para que deje de serlo. En cualquier
caso, constituyen una herramienta útil para defendernos de los tipos de virus más
conocidos.
Comprobadores
Página 15 de 19
Software de diagnóstico y protección
que lo deseemos, podemos volver a pasar el comprobador para ver si los resultados
obtenidos coinciden con los que teníamos guardados de la última vez. Si hay alguna
discrepancia, entonces es que alguien (posiblemente un virus) ha modificado los
ficheros. Este tipo de comprobación es lo que se conoce con el nombre de técnicas de
fotografía.
Vacunas
Su objetivo es intentar prevenir la infección antes de que llegue a producirse. Para ello,
actúan con las mismas armas con que lo hacen los virus: tomando el control del
sistema operativo.
Estos programas son unas de las herramientas más eficaces de lucha contra los virus,
aunque tampoco están exentos de limitaciones. En primer lugar, no pueden hacer
nada frente a virus que no hagan uso de las interrupciones BIOS o DOS (cualquier virus
que acceda de forma directa al hardware del controlador de disco no será detectado);
además, para que la vacuna comience a actuar es necesario ejecutarla antes, y, en
consecuencia, cualquier virus que se ejecute antes de cargar la vacuna no será
detectado por ésta (en particular, las vacunas no pueden hacer nada contra los virus
que infectan el boot record). En tercer lugar, para hacer frente a los virus más
complejos es necesario complicar a su vez la vacuna, para que ésta sea capaz de
supervisar más tipos de posibles síntomas. El incluir un gran número de síntomas como
posibles indicios de la existencia de un virus hace que el detector de la vacuna salte
con mucha frecuencia al ejecutar programas completamente sanos.
Página 16 de 19
Software de diagnóstico y protección
6. ALGUNOS ANTIVIRUS
8. CONCLUSIONES
TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
NINGÚN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras
debería tratar de implementar estrategias de seguridad antivirus, no sólo para
proteger su propia información sino para no convertirse en un agente de dispersión de
algo que puede producir daños graves e indiscriminados.
Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:
Página 17 de 19
Software de diagnóstico y protección
TENER RESPALDOS: Se deben tener respaldados en disco los archivos de datos más
importantes, además, se recomienda respaldar todos los archivos ejecutables. Para
archivos muy importantes, es bueno tener un respaldo doble, por si uno de los discos
de respaldo se daña. Los respaldos también pueden hacerse en cinta (tape backup),
aunque para el usuario normal es preferible hacerlo en discos, por el costo que las
unidades de cinta representan.
REVISAR TODOS LOS DISCOS NUEVOS ANTES DE UTILIZARLOS: Cualquier disco que no
haya sido previamente utilizado debe ser revisado, inclusive los programas originales
(pocas veces sucede que se distribuyan discos de programas originales infectados,
pero es factible) y los que se distribuyen junto con revistas de computación.
REVISAR TODOS LOS DISCOS QUE SE HAYAN PRESTADO: Cualquier disco que se haya
prestado a algún amigo o compañero de trabajo, aún aquellos que sólo contengan
archivos de datos, deben ser revisados antes de usarse nuevamente.
REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR MÓDEM O REDES: Una
de las grandes vías de contagio la constituyen Internet y los BBS, sistemas en los cuales
es común la transferencia de archivos, pero no siempre se sabe desde dónde se está
recibiendo información.
Página 18 de 19
Software de diagnóstico y protección
Página 19 de 19