Colegio Técnico Profesional San Sebastián

Profesor Wilfred Chaves Duran.

Sistemas de información. Primer periodo 2024
Telecomunicaciones
Cotidiano _____ 40% /cc nota _________
Fecha _____________ Sección ________________
Estudiante: _____________________________________________________

I. Historia del Virus

Prácticamente, desde que existen los ordenadores existen los virus

informáticos. Se dice que el científico húngaro Louis Von Neumann con su
"Teoría y organización de autómatas complejos", expuesta en 1939, es el
padre de lo que hoy se conoce como virus. En ella demostraba la
posibilidad de que un programa tomase el control de otros de naturaleza
semejante. A partir de ese momento cabe destacar cuatro momentos
históricos que marcan el nacimiento y evolución de los virus:

1949, Programadores de la empresa americana Bell Computer crean un

juego basándose en las teorías de Neumann, al que llamaron CoreWar, y
que consistía en activar programas dentro de un ordenador de forma que
iban agotando poco a poco la memoria del mismo, hasta llegar a su
bloqueo total.

1972, Aparece el considerado primer virus, Creeper, creado por Robert

Thomas Morris, que atacaba los computadores de la marca IBM, y cuya
acción era mostrar en pantalla un mensaje. Como respuesta se crea el
primer software antivirus, llamado Reaper, que desinfectaba los
ordenadores atacados por este virus.

1983, Keneth Thompson, creador del sistema operativo UNIX, volvió a

retomar las teorías de Neumann, demostrando la forma de desarrollar virus
informáticos. A partir de ese momento se produce una verdadera
revolución en el mundo de la creación de programas de este tipo.

1986, aparecen los primeros virus que infectaban ficheros del tipo EXE y
COM. Por esa época empezó a ganar popularidad el sistema precursor de
Internet, ARPANET, y comienza la difusión de virus por este medio.
Actualmente se manejan cifras de 500 nuevos virus en Internet cada mes.

1
II. ¿Qué son los virus informáticos?

Definición

Un virus de computadora, por definición, es cualquier programa (o código)

capaz de auto duplicarse. Por lo tanto, los virus también incluyen algo que
los torna muy peligrosos: función de destrucción. La función de
destrucción es la parte del virus que puede destruir la vida del usuario. Esta
puede borrar toda la información de su disco duro, destruir su "boot
sector" o cambiar su formato de trabajo de Word o Excel. También puede
hacer que su sistema quede bloqueado o crear algunos "efectos
especiales" interesantes de ver, como letras que caen por la pantalla del
micro. Para poder recuperar el sistema después de un ataque, no es de
forma ninguna interesante. Necesitará de mucho trabajo, será caro y
tomará mucho tiempo su recuperación. Son programas que se introducen
en nuestros computadores de formas muy diversas. Este tipo de
programas son especiales ya que pueden producir efectos no deseados y
nocivos. Una vez el virus se haya introducido en el computador, se
colocará en lugares donde el usuario pueda ejecutarlos de manera no
intencionada. Hasta que no se ejecuta el programa infectado o se cumple
una determinada condición, el virus no actúa. Incluso en algunas
ocasiones, los efectos producidos por éste, se aprecian tiempo después
de su ejecución (payload).

Síntomas de Virus

Si presenta algunos de los siguientes síntomas la PC, lo más seguro es que

tenga un virus. Por lo tanto, debemos tomar medidas como revisar la
computadora con un buen antivirus.

a) La velocidad de procesamiento y la perfomance del equipo se vuelve

lenta.

b) Algunos programas no pueden ser ejecutados, principalmente los

archivos COM o los EXE de menor extensión, posiblemente también los
macro virus, una vez que hayan cumplido con su efecto reproductor o
dañino. El COMMAND.COM es infectado en primer lugar, pero como la
función del virus es la de seguir infectando, éste continúa operando. Los
archivos ejecutables siguen existiendo pero sus cabeceras ya han sido
averiadas y en la mayoría de los casos, su extensión se han incrementado
en un determinado número de bytes.

2
c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el
virus malogró el COMMAND.COM y se muestra este mensaje: "bad or
missing command interpreter".

d) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus

malogró la Tabla de Particiones o el Master Boot Record y se muestra este
mensaje: "invalid drive especification".

e) Los archivos ejecutables de los gestores de bases de datos como:

dBASE, Clipper, FoxPro, etc. están operativos, sin embargo las estructuras
de sus archivos DBF están averiadas. Lo mismo puede ocurrir con las
hojas de cálculo como: Lotus 1-2-3, Q-Pro, Excel, etc., o con el procesador
de textos MS-Word, hojas de cálculo de MS-Excel o base de datos de MS-
Access (macro virus).

f) La configuración (set-up) del sistema ha sido alterado y es imposible

reprogramarlo. Virus como : ExeBug, CMOS-Killer o Anti-CMOS producen
un bloqueo en la memoria conexa de 64 bytes del CMOS.

g) El sistema empieza a "congelarse". Puede tratarse de un virus con

instrucciones de provocar "reseteos" aleatorios a los archivos del sistema,
tales como: el COMMAND.COM, los "hidden files" o el CONFIG.SYS que
han sido infectados.

h) Ciertos periféricos tales como: la impresora, módem, tarjeta de sonido,

etc., no funcionan o tienen un raro comportamiento. Se trata de un virus
que reprograma el chip "PPI" (Programmable Peripheral Interfase).

i) La pantalla muestra símbolos ASCII muy raros comúnmente conocidos

como "basura", se escuchan sonidos intermitentes, se producen bloqueos
de ciertas teclas o se activan los leds de los drives.

j) Las letras de los textos empiezan a caerse. Este es un efecto

impresionante del virus alemán "CASCADA".

k) La memoria RAM decrece.

l) Los archivos de documento .DOC o las macros empiezan a corromperse

y no funcionan

Características

Un virus informático actúa y posee las mismas características

fundamentales que un virus biológico, de ahí su nombre. Es un programa
que tiene la capacidad de copiarse o reproducirse a sí mismo y esta es la
cualidad que lo define. Infecta un sistema, se reproduce en sus archivos y

3
se esconde en ellos en estado latente. Cuando esos archivos contacten
con un nuevo sistema, aprovechará el momento adecuado para infectarlo
y continuar un nuevo ciclo. Están formados por poca cantidad de código,
ya que el tener un tamaño mínimo es fundamental para evitar ser
detectados y eliminados.

Estos programas tienen por características:

a) Auto-reproducción: Esta es la capacidad del programa de sacar una

copia de sí mismo sin consentimiento del usuario.

b) Infección: Esta es la capacidad del programa de alojarse por si mismo

en otros programas, diferentes al que lo portaba.

Dependiendo del tipo de virus también pueden:

Dañar archivos Estos archivos siguen existiendo, pero la información que

contienen no tiene sentido alguno, o bien no existe.

Dañar discos: Esto va tanto a los diskettes como a los discos duros,
existen virus que sobrecalientan los discos, que los aceleran para
disminuir su tiempo de vida, que los rayan (a fuerza de tanto leer sobre
ellos), etc.

Dañar estructura del disco: Esto es, que ni los archivos, ni los diskettes
son dañados de uno por uno, sino que simplemente "formatean" el
contenido del disco. Un virus puede destruir la FAT del disco duro, borrarlo
total o parcialmente, modificar o destruir ficheros importantes para el
ordenador, cambiar algún aspecto gráfico (ej: mostrar una imagen o
mensaje en pantalla o cambiar la disposición de los iconos del escritorio),
etc... Pero en realidad, no tiene porqué ejecutar una acción directamente
dañina para el ordenador infectado, eso depende de las instrucciones que
le haya dado su creador. De todos modos, por el simple hecho de replicarse
ya resulta perjudicial pues esa acción ira ralentizando el equipo, hasta el
punto que la capacidad de proceso se verá seriamente dañada. Cuando el
virus se carga en memoria no necesariamente empieza su misión
contaminante, muchos de ellos quedan a la espera de que ocurra un evento
determinado para su activación. Por ejemplo, el famoso virus Viernes 13,
espera a que el reloj interno del ordenador infectado marque un día 13, que
sea viernes, para activarse.

Una característica común a todos los virus es que no se activan por sí

solos, dependen siempre de un fichero ejecutable, en el que viajan. Cuando
este es ejecutado por el usuario o por el sistema, el virus es cargado en
memoria y entonces realiza las dos tareas indispensables para él: buscar
otros programas ejecutables, discos duros o disquetes a los que infectar y
autocopiarse en ellos. Este programa anfitrión del virus puede ser desde

4
un juego hasta una simple macro, pasando por toda la gama de ficheros
que contengan código ejecutable. Al principio la vía principal de expansión
de los virus eran los disquetes flexibles, incrustados en su sector de
arranque, de tal forma que cuando se usaba como disco de inicio, o se
arrancaba el ordenador con este introducido en la disquetera, el virus se
hacía con el control de equipo. Con la llegada de nuevas tecnologías como
los CD Rom empezó la contaminación con ficheros ejecutables,
generalmente del tipo .exe, .com o .bat., y últimamente como macros.
Finalmente la aparición de internet les ha abierto nuevas vías como el
correo electrónico, programas descargados, agujeros de seguridad (bugs)
en los sistemas operativos y grandes aplicaciones e incluso aprovechando
los lenguajes de internet que permiten la ejecución de secuencias de
comandos a nuestras espaldas (VBScript, Activex e incluso JavaScript).

III. Clasificación de los virus

La variedad de virus existentes hoy en día, no sólo prueba que sus autores
provienen de una gran lista de expertos en programación, sino que también
son altamente creativos.

genéricos

Furtivos

Mutantes

Recombinadles

"Bounty Hunter"

Específicos para redes

De sector de arranque

Multipartitivos

De Macro

Virus de Internet

Virus Falsos (Hoaxes)

GENERICOS (virus de archivo) Los primeros virus en ganar popularidad

fueron los contaminadores "genéricos" (también conocidos como
parásitos o virus de archivo). Estos programas son verdaderamente
pequeños con menos de 4k de contaminadores genéricos que viven como
un parásito dentro de un archivo ejecutable. De hecho, éstos aparecen

5
como infiltrados en algún lugar dentro de un programa. Cuando el
programa es copiado, el virus asume el control del sistema y después de
asumirlo, generalmente busca otros archivos ejecutables para enviarles
una copia de sí mismo. Cuando ataca otro archivo puede anteponerse a
éste; o sea, se coloca antes del archivo y agrega una instrucción `jump´;
también puede anexarse (colocarse al final del archivo y agregar una
instrucción "jump¨al principio) o simplemente puede re-escribir el código
de "insertar" dentro del "archivo-víctima". Así mismo, un virus genérico
puede propagarse con bastante rapidez y los usuarios ni siquiera
percibirán retrasos al momento de cargar sus programas. Como la mayoría
de los virus, los genéricos acechan al sistema esperando que alguna
condición sea satisfactoria; esta condición puede ser la fecha del sistema
o el número de archivos en un disco. Cuando esta condición (conocida
como catalisadora) se presenta, el virus inicia su rutina de destrucción. Los
virus genéricos son relativamente fáciles de percibir, ya que éstos no se
modifican a sí mismos y pueden ser fácilmente localizados a través de un
programa rastreador. Además de que éstos dejan rastro; cada vez que un
virus genérico infecta otro archivo, el tamaño del archivo puede aumentar.

Furtivos (stealth) Los virus furtivos son variaciones de los virus

genéricos; estos evitan que sean detectados guardando una copia de la
información del archivo en el disco. Cabe mencionar que una vez que el
virus esté en la memoria, éste puede provocar una variedad de
operaciones. Por lo tanto, cada vez que se teclee "DIR", podrá obtenerse
una lista de los archivos anteriores antes de haber sido infectados por el
virus. En verdad, las técnicas de los virus furtivos son mucho mas
complejas que esto, sin embargo, todos evitan la detección explorando las
interrupciones de DOS.

Mutantes. La industria anti-virus apenas comienza a verlos en grandes

cantidades y apenas pocos desarrolladores de anti-virus han tenido éxito
en derrotar los virus mutantes. Los virus mutantes funcionan de la
siguiente manera: se ocultan en un archivo y son cargados en la memoria
cuando el archivo es ejecutado y en lugar de hacer una copia exacta de
éste cuando infecta otro archivo, éste modificará la copia cada vez que sea
ejecutado. A través del uso de "aparatos de mutación" (que en verdad son
"buscadores de códigos al azar"), los virus mutantes pueden generar
millares de copias diferentes de ellos mismos. Ya que la memoria de los
programas rastreadores trabaja intentando distinguir patrones
consistentes y reconocibles, los virus mutantes han sido capaces de

6
evitarlos. Seguramente, cualquier rastreador de virus producido antes de
enero de 1993 no será capaz de detectar los virus mutantes.

Recombinables Estos virus que en su mayoría son experimentales

pueden constituir una gran amenaza en los próximos años. De la misma
manera que un hombre y una mujer combinan su código genético el tener
un hijo, estos virus se unen, intercambian sus códigos y crean nuevos
virus. La mayoría de estos virus no funcionan directamente (el lenguaje
Assembly no tiene los atributos del DNA), mas sin embargo, algunos de
éstos contienen rutinas destructivas muy peligrosas o nuevas técnicas de
reproducción. Son virus difíciles de ser previstos debido a que cambian
constantemente, imitando el proceso de selección natural y evolución
biológica. Afortunadamente, muy pocos de este tipo andan sueltos.

"Bounty Hunter" o cazador de cabezas Un "bounty hunter" es alguien

que ha sido pagado para encontrar y matar a una persona específica. Los
virus "bounty hunter" funcionan de la misma manera, sin embargo, en vez
de matar personas, se dirigen a un cierto producto anti-virus. Como no es
imposible que un autor de virus examine un determinado producto para
descubrir alguna debilidad en el producto, éste podrá crear un nuevo virus
que aprovechará esta debilidad para dispersarse y hacer estragos.

Específicos para redes. Las redes son lugares óptimos para que los virus
se dispercen, ya que la mayoría de los virus, de hecho, no consiguen operar
en un ambiente de red. Sin embargo, fueron descubiertos algunos virus
flotantes que actúan como programas NLM y logran el acceso a la red
coleccionando passwords (contraseñas). Después de lograr el acceso se
reproducen y dispersan daños rápidamente. Este tipo de virus es
extremadamente peligroso.

DE "BOOT" (virus de sector de arranque) El virus de "boot" solamente

podrá propagarse a través de disquetes. Si hubiera un disquete en el drive
A, el sistema intentará cargar a DOS en ese disquete. Los Virus de "boot"
se localizan en la sección del disquete que es cargado en la memoria en el
momento de la inicialización ("boot"). Así mismo, el virus de "boot" alcanza
la memoria antes que otros programas sean cargados. Por lo tanto, nunca
deberá "dar el boot" desde un disquete a no ser que se esté absolutamente
seguro de que éste esté limpio. Una vez que un virus de "boot" alcance la
memoria, identificará las interrupciones de DOS y reinfectará los nuevos

7
disquetes que sean colocados en los drives. Es difícil que el virus de "boot"
sea detectado por los usuarios aunque estos puedan ser distinguidos por
programas rastreadores con relativa facilidad. El MS-DOS 5.0 introdujo
algunas herramientas que pudieran auxiliar a los usuarios a remover estos
virus aunque no ofrezcan protección contra infecciones.

MULTI-PARTITIVOS Estos virus tienen las características tanto de

aquellos del sector "boot" (de arranque) como de aquellos genéricos (de
archivos).

DE MACRO Estos representan alrededor del 80% de la infección de virus

registrados de acuerdo con la "NCSA" (National Computer Security
Association) y son los virus de mayor expansión en la historia de la
computación. A diferencia de otros tipos de virus, los macro virus no son
específicos de un sistema operativo y se dispersan fácilmente a través de
consumibles de e-mails como disquetes, redes, copia de archivos, así
como de cualquier otra aplicación. Un macro es un conjunto de
instrucciones que ejecutan una tarea, generalmente rutinaria y activada por
alguna aplicación específica. Los macro virus son específicos para cada
aplicación. Estos infectan macro-utilidades que acompañan a dichas
aplicaciones como son las de Microsoft Office, por lo que un macro virus
de Word no puede infectar un documento Excel y vice-versa, por lo
contrario, estos pueden infectar cientos de archivos aún cuando la
aplicación esté siendo utilizado, ya que los macro virus viajan entre
archivos de datos a través de las aplicaciones. Los macro virus son
escritos en cualquier lenguaje de programación de macro (ejemplo:
WordBasic y VisualBasic) y son relativamente fáciles de crear. Desde
puntos diferentes, estos pueden infectar archivos durante su uso cuando
este se abre, salva, cierra o borra. Una grande ventaja de los macro virus
sobre los demás, y que explica su expansión, es la facilidad de
programación. Una de las tareas más complicadas de la programación de
un virus convencional (archivo o arranque) es la búsqueda dentro de la
estructura de directorios y apertura de archivos, infectar y controlar el
sistema infectado. Con la programación de macros, localizar y abrir un
archivo es una operación echa por una única instrucción macro. Otro
aspecto muy fuerte, que facilita la programación, es mantenerse residente
en memoria para poder controlar el sistema en todo momento. Los virus de
macro tienen la facilidad de infectar un solo archivo: NORMAL.DOT, este
archivo es la base de funcionamiento de las aplicaciones Microsoft Office,
así el control de la aplicación ya está hecho. Los Macro virus están
utilizando técnicas avanzadas de Polimorfismo, ocultamiento (stealth) y

8
encriptación. Las macros más utilizadas por los macro virus son:
AutoExec, AutoOpen, AutoClose, FileSave y FileSaveAs.

Este tipo de virus, como ya hemos comentado, actúan sobre los

documentos, hojas de cálculo o libros, bases de datos y/o presentaciones
con macros. Por lo tanto, su objetivo serán los ficheros creados con
herramientas que permiten utilizar macros. Esto quiere decir que no existe
un sólo tipo de virus de macro, sino uno para cada tipo de herramienta:

No obstante, no todos los programas o herramientas que permitan la

gestión de macros serán objetivo de este tipo de virus. Las herramientas
que son atacadas por los virus de macro, deben cumplir una serie de
condiciones:

Las macros pueden transportarse (a través de cualquier medio) de un

ordenador a otro, por estar incluidas en el propio fichero infectado
(documento, hoja de cálculo, presentación, base de datos,...).

Se pueden obtener, incluir y utiliza en un fichero las macros que se han

creado e incluido en otros.

Las macros pueden ejecutarse automáticamente (al abrir o cerrar el

fichero, por ejemplo), sin que esto dependa del usuario.

IV. Ficha de 7 tipos de virus

Michelangelo

Natas

Jerusalén

MSWord_Concept

Jetdb_Access-1

Byway.A

Nuevo troyano Back Orifice 2000

Michelangelo Es un virus de sector de arranque con 512 bytes. Infecta

tanto al sector de arranque de disquetes y "master boot record" de discos
duros. Las infecciones ocurren cuando el sistema se incializa desde un
disquete infectado previamente; el virus carga su programa virulento en la
memoria y una vez residente en la memoria, Michelangelo puede infectar

9
todos los disquetes no protegidos al ser accesados en la computadora.
Además de infectar, Michelangelo contiene una rutina destructiva; cada 6
de marzo este virus amenaza con borrar todos los archivos que se
encuentren dentro del sistema infectado. Alias: Michelangelo A,
Stoned.Michelangelo, Stoned.Daniela, Daniela, Michelangelo-1,
Michelangelo-2.

Natas. Es un virus polimorfo y multipartitivo con 4744 bytes. Infecta

archivos de programas (*.COM y *.EXE), desde los sectores de arranque
(boot) a partir de disquetes y "master boot record" a partir del disco duro.
La infección toma lugar cuando el sistema es inicializado desde un
disquete infectado o al trabajar en un archivo previamente infectado. Una
vez que esto ocurre, el virus cargará su programa virulento en la memoria;
desde aquí el virus podrá infectar archivos programados y disquetes no
protegidos. Las técnicas furtivas también están presentes en Natas, las
cuales dificultan a los usuarios detectar sectores de arranque, "master
boot record" y archivos al momento de irse infectando. Alias: Satan,
Sat_Bug.Natas, Sat_Bug, Natas.4740-4988, Natas.mp4744a, Natas.4744,
Natas-1.

Jerusalén . Es un virus de archivo, infecta archivos *.COM y *.EXE,

tiene entre 1808 y 1923 bytes. La infección ocurre cuando un archivo
infectado es ejecutado. El virus está programado para cargar las rutinas
virulentas en memoria. Una vez residente en memoria, el virus puede
infectar los archivos ejecutables cuando estos son accesados. Los
archivos *.COM son incrementados de 1808 bytes. Los *.EXE son
incrementados entre 1808 y 1823 bytes siempre que el archivo es utilizado.
Esto ocurre hasta que el archivo *.EXE ya no puede ser cargado en la
memoria. Jerusalén adiciona dos rutinas en memoria. La primera es
ejecutada 30 minutos después de la infección. El virus hace que su
máquina sea más lenta progresivamente. La segunda rutina es más
maliciosa y borrará cualquier programa iniciado en Viernes 13, de cualquier
año. Hay muchas variaciones del virus Jerusalén. Alias:
Jerusalén.1808.Estándar, 1813, Friday 13th, Jeru.1808, Israeli, PLO,
Anticad.3004.

MSWord_Concept Cada vez que un documento infectado es abierto el

virus entra para residir añadiendo algunos macros en el ambiente de Word
infectando el NORMAL.DOT. Una vez activo el virus, todos los documentos
guardados a través del comando "Save as.." serán infectados. Los
síntomas incluyen únicamente el poder guardar los archivos en el
directorio de machotes (template: *.DOT). El virus abre una caja de diálogo,
solamente en la infección inicial, con el número 1 y un botón de OK.

10
 Jetdb_Access-1. Este es el primer virus conocido para Microsoft
Access Database. Este virus parece haber sido creado el 7 de marzo de
1998, tiene solamente un macro con nombre AUTOEXEC, no está
encriptado y tiene 12.288 bytes. El autor del virus se denomina "Jerk1N" y
declara ser afiliado a una organización denominada "DIFFUSION Virus
Team". Una evaluación del código del virus indica que cuando una base de
datos infectada es abierta, el virus buscará todos los archivos MDB y los
infectará, sin embargo, no presenta ninguna rutina dañina. Este virus
también puede infectar los archivos double-byte Microsoft Access 97
utilizando el lenguaje Chino o Japonés.

Byway.A Alias: Amstrad FamilyDir2.Byway, DirII.TheHndv, Byway,

Chavez. Es reparable. Su fecha de aparicion fue el 1 de septiembre del 1991
en Venezuela, tiene un tamaño de 2048 Bytes, no esta incluido en la lista
de “In The Wild”. Byway es un virus de MS-DOS que infecta ficheros
ejecutables con extensiones EXE y COM. Se trata de un virus de enlace,
siendo poco común, aunque su propagación es muy rápida debido a la
forma que emplea para infectar. La característica más destacable en este
sentido es la rapidez con la que infecta todos los ficheros ejecutables que
se encuentren en el disco duro. Utiliza técnicas de polimorfismo, stealth y
tunneling. Los efectos o payload que produce dependen de la fecha que en
ese momento tenga el sistema. Todos los requisitos que se deben cumplir
al mismo tiempo para que Byway se active, son los siguientes:

- Fecha posterior al año 1996.

- Día del mes igual al doble del numero del mes más dos. Es decir: Día
del mes = (Numero de mes * 2 )+2

- Si ambas condiciones se cumplen, el virus muestra un mensaje por

pantalla con un texto, mientras hace sonar un himno cada tres horas en
punto. Es decir, en las siguientes horas: 3:00, 6:00, 9:00, 12:00, 15:00, 18:00
y 21:00.

Nuevo troyano Back Orifice 2000 En sistemas Windows, BO2K permite

la administración remota del PC de otro usuario .Back Orifice 2000, la nueva
versión del conocido troyano que, a través de Internet, permite a cualquier
atacante robar archivos, passwords y el control total del ordenador, ya se
está distribuyendo por el ciberespacio. En principio, todo parece indicar
que se trata de una versión preliminar que infecta Windows 95 y 98 y, a
diferencia del primer Back Orifice, también se integra en Windows NT.

Back Orifice es obra de un grupo de hackers que se hace llamar Cult of

the Dead Cow (el Culto de la Vaca Muerta). La nueva versión del troyano ha

11
sido presentada en Def Con 7, congreso de hackers y gentes del mundo
underground que se ha celebrado en Las Vegas el pasado fin de semana.
Justamente, en la edición anterior de Def Con fue cuando Cult of the Dead
Cow presentó el primer Back Orifice.

Back Orifice 2000 puede ser más peligroso que su predecesor. Dado que
junto con los binarios está disponible, públicamente, el código fuente del
programa, cualquier persona con conocimientos de programación puede
modificar este troyano y crear una versión diferente o, incluso, nuevos
programas dañinos. Además, y según han anunciado sus creadores, es
más difícil de detectar porque hace uso de criptografía fuerte para las
comunicaciones. Por este motivo, existen dos versiones de Back Orifice
2000: una para Estados Unidos -en la que se utilizan algoritmos de
encriptación TripleDES o uno simple basado en XOR- y otra internacional,
en la que sólo está disponible la correspondiente a un algoritmo basado en
XOR, debido a las restricciones americanas sobre exportación en materia
de criptografía.

Back Orifice 2000 puede llegar en un mensaje de correo electrónico que

lleva anexado un fichero o ser descargado a través del chat, las news, la
web o cualquier otro servicio de Internet. Cuando el usuario lo abre, el
troyano se instala en el ordenador de la víctima como "servidor". Esta parte
del programa maligno, que se instala en el equipo infectado, es totalmente
configurable y en él se pueden definir varios parámetros, como los puertos
que se utilizarán para acceder a la máquina que actuará como servidor; las
passwords que el usuario externo utilizará para acceder al mismo o el tipo
de encriptación utilizada (XOR o TripleDES).

Gracias a Back Orifice 2000, el atacante puede controlar, de forma

remota, el equipo infectado cuando ambos se encuentran conectados a
Internet. Entre los 70 comandos que el atacante puede realizar de forma
remota figuran los siguientes:

Ocultar la actividad del servidor, para que el usuario de la máquina

atacada no tenga constancia de la actividad del hacker.

Borrar el fichero de instalación original, con el objetivo de dificultar la

detección del troyano.

Reiniciar la máquina remota.

Bloquear el ordenador atacado.

12
 Listar passwords de usuarios.

Recopilar información sobre la máquina atacada: nombre de la misma,

usuario en activo, procesador, versión del sistema operativo, memoria y
todos los drivers remotos.

Listar los recursos compartidos de una red local.

Comenzar o parar la ejecución de un proceso.

Modificar el registro de Windows.

Buscar, copiar, modificar, grabar, borrar, mandar, recibir y ver ficheros

y directorios.

Abrir/Cerrar el servidor instalado en la máquina remota.

Listar, cargar y borrar plugins de Back Orifice.

A pesar de tratarse de un troyano, la nueva versión de Back Orifice

dispone de una opción que permite ejecutar el servidor a la vista, de
manera que el programa maligno pueda usarse abiertamente, con
conocimiento del usuario.

V. Como evitar los Virus?

1. Sospecha de los programas activos todo el tiempo (residentes en

memoria). Los virus tienen la mala costumbre de quedarse en memoria
para realizar sus fechorías.

2. Sospecha de cualquier programa gratuito (shareware, freeware; fotos,

videos, rutinas, patchs) que bajes de Internet. Los fabricantes de virus
colocan frecuentemente en estos sus nocivos productos.

3. Obtén una lista de los virus mas comunes y verifica contra esta lista
cualquier programa nuevo que tengas.

4. Fíjate en el tamaño de los archivos del sistema [COMMAND.COM

principalmente]. Sospecha si es diferente del original.

13
 5. Haz una copia de la tabla FAT y CMOS si te es posible. Te ahorrará
mucho tiempo, dinero y esfuerzo el copiarla de nuevo si algún virus la
dañó.

6. Al estar buscando un virus, y si tienes disco duro, bloquea el acceso

a este temporalmente.

7. Actualiza mensualmente tu AntiVirus. Si no lo tienes puedes conseguir

una copia gratuita en: Symantec, McAfee, IBM, por mencionar algunos.

VI. Los Antivirus

Una consecuencia del nacimiento y proliferación de los virus ha sido el

desarrollo de una gran industria paralela, la de los antivirus. Son
programas creados para la búsqueda, localización y eliminación de virus,
troyanos y demás software dañino. Es necesario contar con un buen
programa antivirus que esté activo y vigilante siempre. Hay que mantenerlo
constantemente actualizado pues día a día se descubren nuevos virus. Si
un software antivirus nos alerta de que ha encontrado un posible virus, lo
mejor que podemos hacer es dejarle que lo elimine, pues es preferible
perder algún dato que dejar que nuestro ordenador se infecte totalmente.
Hay que tener en cuenta que un programa antivirus no es un arma infalible
contra todos los virus. Conviene, si es posible pués tener instalados varios
antivirus y complementar su acción por medio de firewalls (programa
cortafuegos que limita los accesos de información a nuestro ordenador) y
otras aplicaciones de seguridad.

Pero, a pesar de disponer de todos los sistemas, ninguno de ellos puede

garantizarte una fiabilidad completa por lo que el mejor método sigue
siendo la prevención, sigue siempre a rajatabla estas reglas:

Nunca abras ningún ejecutable que no conozcas, y así y todo, mejor

pasarlo antes por un antivirus actualizado.

Nunca arranques el ordenador con disquetes introducidos. Cualquier

disquete que no sea tuyo y vayas a utilizar, debes analizarlo antes con un
antivirus.

Nunca abras un correo electrónico de alguien que no conoces,

elimínalo, y aún conociéndolo pasa primero tu antivirus antes de abrir
cualquier mensaje.

Nunca abras ningún archivo descargado de internet sin haberle

pasado el antivirus, aunque te hayan garantizado que esta libre de virus.

14
 Actualiza tu sistema operativo constantemente. Las empresas y
grupos de usuarios van lanzando periódicamente parches que corrigen sus
defectos de seguridad. Este proceso de actualización debe incluir también
a las aplicaciones más comunes, como Office o los programas de correo
electrónico.

Si deshabilitas Java cerrarás una de las posibles vías de infección, así

como cualquier otro lenguaje que permita la ejecución de secuencias de
comandos (VBScript, Activex e incluso JavaScript).A cambio perderás
funcionalidad en el sistema, ya que estos comandos son imprescindibles
hoy en día para poder ejecutar y/o visualizar multitud de aplicaciones y
páginas web.

VII Concepto y función de Antivirus

Los programas antivirus son una herramienta específica para combatir

el problema virus, pero es muy importante saber como funcionan y conocer
bien sus limitaciones para obtener eficiencia no combate a los virus.
Cuando se piensa en comprar un antivirus, no se debe perderse de vista
que, como todo programa, para funcionar correctamente, debe esta bien
configurado. Además, un antivirus es una solución para minimizar los
riesgos y nunca será una solución definitiva, el principal es mantenerlo
actualizado. La única forma de mantener su sistema seguro es mantener
su antivirus actualizado y estar constantemente leyendo sobre los virus y
las nuevas tecnologías. La función de un programa antivirus es detectar,
de alguna manera, la presencia o el accionar de un virus informático en una
computadora. Éste es el aspecto más importante de un antivirus, pero, las
empresas deben buscar identificar también las características
administrativas que el antivirus ofrece. La instalación y administración de
un antivirus en una red es una función muy compleja si el producto no lo
hace automáticamente, pero eso no es el tema de ese artículo. Es
importante tener en claro la diferencia entre "detectar" e "identificar" un
virus en una computadora. La detección es la determinación de la
presencia de un virus, la identificación es la determinación de qué virus es.
Aunque parezca contradictorio, lo mejor que debe tener un antivirus es su
capacidad de detección, pues las capacidades de identificación están
expuestas a muchos errores y sólo funcionan con virus conocidos. Nunca
seremos contaminados por virus cuando abrimos un archivo gráfico, un
archivo de texto plano o porque en nuestro ordenador se instalen cookies,
pero ante cualquier duda o en atención a los sitios que visitemos debemos
actuar con la máxima prudencia.

15
 Identificación.-

El modelo más primario de las funciones de un programa antivirus es la

detección de la presencia de un virus y, en lo posible, su identificación. La
primera técnica que se popularizó en los productos antivirus fuera la
técnica de rastreo (scanning). Los rastreadores antivirus representan la
mayoría de los productos de actualidad. La desventaja de los rastreadores
es que éstos no consiguen reconocer los virus "desconocidos"; o sea, todo
nuevo virus necesita ser descubierto y analizado antes de que un
rastreador pueda reconocerlo. La velocidad de actualización de un
rastreador depende en mucho de los laboratorios de cada fabricante;
cuantos mas laboratorios haya en el mundo, mas ingenieros
investigadores locales estarán trabajando en la localización de un virus,
haciendo así un trabajo mas rápido y eficiente para la solución del
antivirus. Rastrear es el método conocido para localizar un virus después
de que éste haya infectado un sistema. Cabe mencionar que los
rastreadores también pueden identificar los virus por nombre, mientras
otros métodos no pueden.

Detección.-

Debido a las limitaciones de la técnica de rastreo, los productores de

programas antivirus han desarrollado otros métodos para detección de
virus informáticos. Estas técnicas buscan identificar los virus por
funciones básicas comunes en los virus, reconociendo el virus por su
comportamiento y no por una pequeña porción de código como hace los
rastreadores. De hecho, esta naturaleza de procedimientos busca, de
manera bastante eficiente, instrucciones potencialmente dañinas
pertenecientes a un virus informático. El método de monitoreo del sistema
(también conocido como rule-based) es la mejor alternativa de protección
en tiempo real para PC´s individuales o para estaciones de trabajo. Estos
sistemas antivirus permanecen residentes en la memoria y quedan a la
expectativa en caso de actividades virulentas. Por ejemplo, si un programa
en memoria intentara infectar un archivo en el disco, un producto antivirus
de monitoreo de sistema percibirá dicho intento y alertará al usuario.

Cuidados.-

16
 La configuración mas adecuada para proteger su computadora, es la
combinación de un sistema de monitoreo del sistema mismo, acompañado
de un rastreador de alta tecnología apoyado por un soporte técnico de
ingenieros especializados en combatir virus con un reconocimiento y
concepción de actualizaciones lo mas rápidas y eficientes posibles.
Algunas características operacionales son muy importantes:

Monitor en "Real Time"

El monitor "real time" examina automáticamente todos los archivos que

entren y salgan antes que sean abierto o ejecutados. Si encuentra un
archivo infectado, podrá limpiarlo automáticamente. El monitor "real time"
esta constantemente examinando su sistema mientras usted trabaja
normalmente, para detener cualquier virus que se ejecute antes de que
pueda producir algún daño.

Limpieza

El antivirus debe ofrecer la opción de mantener una copia del archivo

infectado durante la limpieza. La limpieza de un virus de un archivo puede
causar algún daño y la recuperación puede no ser bien sucedida, con una
copia se puede entintar una nueva limpieza o enviar el archivo para un
"virus hospital" para ser limpiado por "virus doctors" (www.antivirus.com)

Rastreo de archivos compactados

Cuando busca un antivirus identifique cuantos procesos de

compactación conoce, es muy importante que el producto conozca el
mayor número de métodos posibles.

Protección para virus de Internet

Los virus de Internet deben ser una de las principales preocupaciones

del usuario. El antivirus debe tener una protección activa cuando esta

17
navegando por la Internet. Esta protección debe impedir el usuario de
ejecutar un Java applet o controles ActiveX que pueden causar daños en
su sistema.

A continuación se pondran algunos ejemplos de los mejores Antivirus

que existen hoy en día; y su dirección en la web, para que puedas bajar una
versión de prueba.

El legendario Norton Antivirus, uno de los mejores softwares, para la

eliminación de virus informáticos.

Puedes conseguir una versión de prueba en: www.symantec.com

Panda Antivirus, de la compañia Panda Software, catalogado por

muchos como "el mejor", posee una excelente interfaz grafica, facil de
usar, y se puede actualiazr gratis por internet.

Puedes bajar una antivirus de prueba en: www.pandasoftware.com

Y por último hemos dejado, a uno de los más conocidos softwares

antivirus, el Dr Solomon Antivirus Toolkit; ahora en su presentación para
windows95 y windows98, también posee protección para internet y correo
electronico, sin olvidar la protección bajo modo MS-Dos.

Puedes bajar una versión de prueba en: www.DrSolomon.com

http://html.rb.com/virus-informaticos_16.html

18