Virus Informatico

¿QUE ES UN VIRUS?

Un virus informático es un programa que se copia automáticamente y que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.

Clasificación de los Virus

Según algunos autores existen, fundamentalmente dos tipos de virus:

• Aquellos que infectan archivos. A su vez, éstos se clasifican en:

o Virus de acción directa. En el momento en el que se ejecutan, infectan a otros programas.
o Virus residentes. Al ser ejecutados, se instalan en la memoria de la computadora. Infectan a los demás programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados.

• Los que infectan el sector de arranque, (virus de boot). Recordemos que el sector de arranque es lo primero que lee el ordenador cuando es encendido. Estos virus residen en la memoria.

Existe una tercera categoría llamada multipartite, pero corresponde a los virus que infectan archivos y al sector de arranque, por lo que se puede decir que es la suma de las dos categorías anteriores.

Para otros autores, la clasificación de los virus también se divide en dos categorías, pero el criterio de clasificación utilizado es distinto:

  • Virus de archivos, que modifican archivos o entradas de las tablas que indican el lugar donde se guardan los directorios o los archivos.
  • Virus de sistema operativo, cuyo objetivo consiste en infectar aquellos archivos que gobiernan la computadora.

Existe una tercera clasificación, promovida por CARO, para unificar la forma de nombrar a los virus. En esta clasificación se atiende a la plataforma en la que actúa el virus y a algunas de sus características más importantes.

TIPOS DE VIRUS

Existen una variedad de virus en función de su forma de actuar o de su forma de infectar clasificados de la siguiente manera.

  • Acompañante: estos virus basan su principio en que MS-DOS ejecuta en primer lugar el archivo con extensión COM frente al de extensión EXE, en el caso de existir dos archivos con el mismo nombre pero diferente extensión dentro del mismo directorio. El virus crea un archivo COM con el mismo nombre y en el mismo lugar que el EXE a infectar. Después ejecuta el nuevo archivo COM, creado por el virus, y cede el control al archivo EXE.
  • Archivo: los virus que infectan archivos del tipo *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e incluso BAT. Este tipo de virus se añade al principio o al final del archivo. Estos se activan cada vez que el archivo infectado es ejecutado, ejecutando primero su código vírico y luego devuelve el control al programa infectado pudiendo permanecer residente en la memoria durante mucho tiempo después de que hayan sido activados.
    Este tipo de virus se divide en dos: Virus de Acción Directa, que son aquellos que no se quedan residentes en memoria y se replican en el momento de ejecutar el fichero infectado y los Virus de Sobrescritura que corrompen el fichero donde se ubican al sobrescribirlo.

Ejemplos de virus:

  • Worms o gusanos: se registran para correr cuando inicia el sistema operativo ocupando la memoria y volviendo lento al ordenador, pero no se adhieren a otros archivos ejecutables. Utilizan medios masivos como el correo electrónico para esparcirse de manera global.
  • Troyanos: suelen ser los más peligrosos, ya que no hay muchas maneras de eliminarlos. Funcionan de modo similar al caballo de Troya; ayudan al atacante a entrar al sistema infectado, haciéndose pasar como contenido genuino (salvapantallas, juegos, música). En ocasiones descargan otros virus para agravar la condición del equipo.
  • Jokes o virus de broma: no son realmente virus, sino programas con distintas funciones, pero todas con un fin de diversión, nunca de destrucción, aunque pueden llegar a ser muy molestos.
  • Hoaxes o falsos virus: son mensajes con una información falsa; normalmente son difundidos mediante el correo electrónico, a veces con fin de crear confusión entre la gente que recibe este tipo de mensajes o con un fin aún peor en el que quieren perjudicar a alguien o atacar al ordenador mediante ingeniería social.
  • Virus de macros: un macro es una secuencia de ordenes de teclado y mouse asignadas a una sola tecla, símbolo o comando. Son muy útiles cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen, haciéndose pasar por una macro y actuarán hasta que el archivo se abra o utilice.

CARACTERÍSTICAS DE LOS VIRUS

Los grupos principales (y más simples) de virus informáticos son:

  • Kluggers: Aquellos virus que al entrar en los sistemas de otro ordenador se reproducen o bien se cifran de manera que tan sólo se les puede detectar con algún tipo de patrones.
  • Viddbers: Aquellos virus que lo que hacen es modificar los programas del sistema del ordenador en el cual entran.

Además hay otros subgrupos de los anteriores grupos:

• Virus uniformes, que producen una replicación idéntica a sí mismos.
• Virus cifrados, que cifran parte de su código para que sea más complicado su análisis. A su vez pueden emplear:

o Cifrado fijo, empleando la misma clave.
o Cifrado variable, haciendo que cada copia de sí mismo esté cifrada con una clave distinta. De esta forma reducen el tamaño del código fijo empleable para su detección.

• Virus oligomórficos, que poseen un conjunto reducido de funciones de cifrado y eligen una de ellas aleatoriamente. Requieren distintos patrones para su detección.

• Virus polimórficos, que en su replicación producen una rutina de cifrado completamente variable, tanto en la fórmula como en la forma del algoritmo. Con polimorfismos fuertes se requiere de emulación, patrones múltiples y otras técnicas antivirus avanzadas.

• Virus metamórficos, que reconstruyen todo su cuerpo en cada generación, haciendo que varíe por completo. De esta forma se llevan las técnicas avanzadas de detección al límite. Por fortuna, esta categoría es muy rara y sólo se encuentran en laboratorio.

• Sobrescritura, cuando el virus sobrescribe a los programas infectados con su propio cuerpo.

• Stealth o silencioso, cuando el virus oculta síntomas de la infección.

CLASIFICACIÓN SEGÚN LA EXTENSIÓN

La mayoría de virus se conoce por la extensión del archiovo
Un archivo está compuesto por el nombre y por su extensión, separado por un punto: nombre_de_archivo.XXX

Hay extensiones muy conocidas por los usuarios, de imágenes (JPG, GIF…) de documentos de Word (DOC).

Los creadores de virus se benefician de esto y “engañan” al usuario poniendo nombres de archivos semejantes a:

nombre_de_archivo.JPG.EXE
nombre_de_archivo.DOC.PIF
nombre_de_archivo.DOC.COM
nombre_de_archivo.GIF.LNK
nombre_de_archivo.JPG.BAT

El “usuario normal” cree estar abriendo un archivo normal, imágenes, documentos cuando en realidad está ejecutando un programa infectado con un virus. Hay que fijarse siempre muy bien en la ultima extencion (ultimas tres palabraas) en realidad la única.

Las extensiones más utilizadas por los virus son:

.EXE .COM .BAT .PIF
.CPL .VBS .SCR .LNK

Aunque no se descartan otras extensiones, aunque menos utilizadas.
Cuando aparece un virus, las empresas antivirus y las entidades de alertas, ponen en conocimiento de los usuarios el nombre del virus y los posibles nombres de los archivos adjuntos infectados con el virus, así como las herramientas necesarias para su solución.

Puesto que es imposible enumerar todas las posibles opciones, no dude en preguntar.

PARTES DEL SISTEMA OPERATIVO QUE SON AFECTADAS POR LOS VIRUS

Los virus informáticos afectan en mayor o menor medida a casi todos los sistemas más conocidos y usados en la actualidad.

Las mayores incidencias se dan en el sistema operativo Windows debido, entre otras causas, a:

  • Su gran popularidad, como sistema operativo, entre los ordenadores personales, PCs. Se estima que, actualmente, (2007) un 90% de ellos usa Windows. Esta popularidad basada en la facilidad de uso sin conocimiento previo alguno, facilita la vulnerabilidad del sistema para el desarrollo de los virus, y así atacar sus puntos débiles, que por lo general son abundantes.
  • Falta de seguridad en esta plataforma, situación a la que Microsoft está dando en los últimos años mayor prioridad e importancia que en el pasado). Al ser un sistema muy permisivo con la instalación de programas ajenos a éste, sin requerir ninguna autentificación por parte del usuario o pedirle algún permiso especial para ello (en los Windows basados en NT se ha mejorado, en parte, este problema).
  • Software como Internet Explorer y Outlook Express, desarrollados por Microsoft e incluidos en forma predeterminada en las últimas versiones de Windows, son conocidos por ser vulnerables a los virus[cita requerida] ya que éstos aprovechan la ventaja de que dichos programas están fuertemente integrados en el sistema operativo dando acceso completo, y prácticamente sin restricciones, a los archivos del sistema.

Forma de transmisión

Estrategias de infección usadas por los virus

El código del virus se agrega al final del archivo a infectar, modificando las estructuras de arranque del archivo de manera que el control del programa pase por el virus antes de ejecutar el archivo Esto permite que el virus ejecute sus tareas especificas y luego entregue el control al programa Esto genera un incremento en el tamaño del archivo lo que permite su fácil detección

Inserción:

El código del virus se aloja en zonas de código no utilizadas o en segmentas de datos para que el tamaño del archiva no varié. Para esto se requieren técnicas muy avanzadas de programación, por lo que no es muy utilizado este método.

Reorientación:

Es una vanante del anterior Se introduce el código principal del virus en zonas físicas del disco rígido que se marcan con defectuosas y en los archivos se implantan pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal ventaja es que al no Importar el tamaño del archivo el cuerpo del virus puede ser bastante importante y poseer mucna funcionalidad. Su eliminación es bastante sencilla. ya que basta con rescribir los sectores marcados como defectuosos.

Polimorfismo:

Este es el método mas avanzado de contagio La técnica consiste en insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su codigo y del código del ardhivo anfitrión. Oue manera que la suma de ambos sea igual al tamaño original del archivo- Al ejecutarse el programa infectado, actúa primero e! código del virus desdescompactando en memoria las porciones necesarias- Una variante de esta técnica permite usar métodos de encnptación dinámicos para evitar ser detectados por los anti virus.

Es el metodo mas tosco. Consiste en sustituir el código original del archivo por el del virus Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular este proceder reporta algún tipo de error con al archivo de forma que creamos que el problema es del archivo.

Ejemplos de virus y sus acciones

  • Happy99″ Programa enviado por mail, abre una ventana con fuegos artificiales Manipula la conectividad cor» Internet
  • Melissa: Macrovirus de Wonj Se envia a si mismo por mail. Daña todos los archivos doc
  • Chemobyl (W95 CtH)- Borra el primer Mb del HD. donde se encuentra la FAT Obliga a formatear el HD Además intenta rescribir el BIOS de la PC lo que obliga a cambiar el mother Se activa el 26 de abril
  • Michelangelo Virus de boot sector Se activa el 6 de marzo Sobre escribe la FAT, dejando el disco inútilizable.