Informe completisimo de virus Informaticos

CLASIFICACION DE VIRUS

VIRUS DE SECTOR DE ARRANQUE (BOOT).


Utilizan el sector de arranque, el cual contiene la informacion sobre el tipo de disco, es decir, numero de pistas,
sectores, caras, tamaño de la FAT, sector de comienzo, etc. Atodo esto hay que sumarle un pequeño programa de
arranque que verifica si el disco puede arrancar el sistema operativo. Los virus de Boot utilizan este sector de
arranque para ubicarse, guardando el sector original en otra parte del disco. En muchas ocasiones el virus marca los
sectores donde guarda el Boot original como defectuosos; de esta forma impiden que sean borrados. En el caso de
discos duros pueden utilizar tambien la tabla de particiones como ubicacion. Suelen quedar residentes en memoria al
hacer cualquier operacion en un disco infectado, a la espera de replicarse. Como ejemplo representativos esta el
Brain.



VIRUS DE ARCHIVOS.
Infectan archivos y tradicionalmente los tipos ejecutables COM y EXE han sido los mas afectados, aunque es
estos momentos son los archivos (DOC, XLS, SAM...) los que estan en boga gracias a los virus de macro (descritos
mas adelante). Normalmente insertan el codigo del virus al principio o al final del archivo, manteniendo intacto el
programa infectado. Cuando se ejecuta, el virus puede hacerse residente en memoria y luego devuelve el control al
programa original para que se continue de modo normal. El Viernes 13 es un ejemplar representativo de este grupo.
Dentro de la categoria de virus de archivos podemos encontrar mas subdivisiones, como los siguientes:

Virus de accion directa. Son auellos que no quedan residentes en memoria y que se replican en el momento de
ejecutarse un archivo infectado.
Virus de sobreescritura. Corrompen el achivo donde se ubican al sobreescribirlo.
Virus de compañia. Aprovechan una caracteristica del DOS, gracias a la cual si llamamos un archivo para
ejecutarlo sin indicar la extension el sistema operativo buscara en primer lugar el tipo COM. Este tipo de virus no
modifica el programa original, sino que cuando encuentra un archivo tipo EXE crea otro de igual nombre conteniendo
el virus con extension COM. De manera que cuando tecleamos el nombre ejecutaremos en primer lugar el virus, y
posteriormente este pasara el control a la aplicacion original.




VIRUS DE MACRO.
Es una familia de virus de reciente aparicion y gran expansion. Estos estan programas usando el lenguaje de
macros WordBasic, gracias al cual pueden infectar y replicarse a traves de archivos MS-Word (DOC). En la
actualidad esta tecnica se ha extendido a otras aplicaciones como Excel y a otros lenguajes de macros, como es el
caso de los archivos SAM del procesador de textos de Lotus. Se ha de destacar, de este tipo de virus, que son
multiplataformas en cuanto a sistemas operativos, ya que dependen unicamente de la aplicacion. Hoy en dia son el
tipo de virus que estan teniendo un mayor auge debido a que son facilies de programar y de distibuir a traves de
Internet. Aun no existe una concienciacion del peligro que puede representar un simple documento de texto.

Porcion de codigo de un tipico virus Macro:
Sub MAIN
DIM dlg As FileSaveAs
GetCurValues dlg
ToolsOptionsSave.GlobalDotPrompt=0
Ifcheckit(0)=0 Then
MacroCopy FileName$() + ":autoopen",
"global;autoopen"
End If


VIRUS BAT.
Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar
efectos dañinos como cualquier otro tipo virus.
En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus
comunes. Para ello se copian a si mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO
OFF y REM traducidas a codigo maquina son <<comodines>> y no producen ningun efecto que altere el
funcionamiento del virus.



VIRUS DEL MIRC.
Vienen a formar parte de la nueva generacion Internet y demuestra que la Red abre nuevas forma de infeccion.
Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre
alguna persona infectada, recibe por DCC un archivo llamado "script.ini".







FUNCIONAMIENTO
Hay que tener en cuenta que un virus es simplemente un programa. Por lo tanto, debemos de dejar a un lado las
histerias y los miedos infundados y al mismos timepo ser consientes del daño real que puede causarnos. Para ello, lo
mejor es tener conocimiento de como funcionan y las medidas que debemos tomar para prevenirlos y hacerles
frente.



PROCESO DE INFECCION.
El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en el último archivo descargado
de Internet.

Dependiendo del tipo de virus el proceso de infección varia sensiblemente.
Puede que el disco contaminado tenga un virus de archivo en el archivo FICHERO.EXE por ejemplo. El usuario
introduce el disco en la computadora ( por supuesto no lo escanea con un antivirus o si lo hace es con un antivirus
desfasado ) y mira el contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un ejecutable.
Vamos a ver que tiene. El usuario ejecuta el programa. En ese preciso momento las instrucciones del programa son
leídas por el computadora y procesadas, pero también procesa otras instrucciones que no deberían estar ahí. El virus
comprueba si ya se ha instalado en la memoria. Si ve que todavía no está contaminada pasa a esta y puede que se
quede residente en ella. A partir de ese momento todo programa que se ejecute será contaminado. El virus ejecutará
todos los programas, pero después se copiará a sí mismo y se "pegará" al programa ejecutado "engordándolo" unos
cuantos bytes. Para evitar que usuarios avanzados se den cuenta de la infección ocultan esos bytes de más para
que parezca que siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos de sistema,
aquellos que están en uso en ese momento y que son los primeros en ejecutarse al arrancar la computadora. Así,
cuando el usuario vuelva a arrancar la computadora el virus se volverá a cargar en la memoria cuando se ejecuten
los archivos de arranque del sistema contaminados y tomará otra vez el control del mismo, contaminando todos los
archivos que se encuentre a su paso.

Puede que el virus sea también de "Sector de arranque". En ese caso el código del virus se copiará en el primer
sector del disco duro que la computadora lee al arrancar. Puede que sobreescriba el sector original o que se quede
una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en
entrar en el sistema, pero tienen un claro defecto. Si el usuario arranca la computadora con un disquete "limpio" el
virus no podrá cargarse en memoria y no tendrá el control.
Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de
sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los
casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de
arranque...



TECNICAS DE PROGRAMACION

Técnicas Stealth
Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus
ocultan el tamaño real de los archivos que han contaminado, de forma que si hacemos un DIR la información del
tamaño de los archivos puede ser falsa. Los virus de tabla de partición guardan una copia de la FAT original en otro
lugar del disco que marcan como sectores defectuosos para mostrarsela al usuario cuando haga por ejemplo un
FDISK. Incluso hay virus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de
su propio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda.

Tunneling
Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una
interrupción y tener así un control directo sobre esta.
Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de
funcionamiento, tras ejecutarse cada instrucción se produce la interrupción 1. Se coloca una ISR (Interrupt Service
Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se
quería hasta
recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.

Antidebuggers
Un debugger es un programa que permite decompilar programas ejecutables y mostrar parte de su código en
lenguaje original. Los virus usan técnicas para evitar ser desemsamblados y así impedir su análisis para la
fabricación del antivirus correspondiente.

Polimorfismo o automutación
Es una técnica que consiste en variar el código virico en cada infección ( más o menos lo que hace el virus del
SIDA en los humanos con su capa protéica ). Esto obliga a los antivirus a usar técnicas heurísticas ya que como el
virus cambia en cada infección es imposible localizarlo buscandolo por cadenas de código. Esto se consigue
utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede
codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más
vulnerable al antivirus.

La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es
reversible:

7 XOR 9 = 2
2 XOR 9 = 7

En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obiene una codificación
también distinta.

Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico.

TSR
Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecución.
Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y contaminar todo
lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido. Por
eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema
para asegurarse de que cuando se vuelva a arrancar la computadora volverá a ser cargado en memoria.


Software Antivirus

Para combatir la avalancha de virus informáticos se creó el software antivirus. Estos programas suelen incorporar
mecanismos para prevenir, detectar y eliminar virus. Para la prevención se suelen usar programas residentes que
alertan al usuario en todo momento de cualquier acceso no autorizado o sospechoso a memoria o a disco, por lo que
resultan sumamente útiles al impedir la entrada del virus y hacerlo en el momento en que este intenta la infección,
facilitándonos enormemente la localización del programa maligno. Sin embargo presentan ciertas desventajas, ya que
al ser residentes consumen memoria RAM, y pueden también resultar incompatibles con algunas aplicaciones. Por
otro lado, pueden llegar a resultar bastante molestos, puesto que por lo general suelen interrumpir nuestro trabajo
habitual con el ordenador avisándonos de intentos de acceso a memoria o a disco que en muchos casos provienen de
programas legítimos. A pesar de todo, son una medida de protección excelente y a ningún usuario debería faltarle un
programa de este tipo.

A la hora de localizar virus, los programas usados sin los detectores o scanners. Normalmente estos programas
chequean primero la memoria RAM, después las zonas criticas del disco como el boot o partición, y por ultimo los
ficheros almacenados en él.

Los productos antivirus han mejorado considerablemente sus algoritmos de búsqueda, aunque en la actualidad la
exploración de cadenas sigue siendo la técnica más empleada. Pero el aumento imparable del número de virus y las
técnicas de camuflaje y automodificación que suelen emplear hacen que la búsqueda a través de una cadena genérica
sea una tarea cada vez más difícil. Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas
heurísticas.

La detección heurística es una de las fórmulas más avanzadas de remotoización de virus. La búsqueda de virus
mediante esta técnica se basa en el desensamblado del código del programa que se intenta analizar con el objetivo
de encontrar instrucciones (o un conjunto de ellas) sospechosas. Sin duda, lo mejor es disponer de un antivirus que
combine la búsqueda de cadenas características y además cuente con técnicas heurísticas.

Gracias a la heurística se buscan programas que puedan quedarse residentes o que sean capaces de capturar
aplicaciones que se estén ejecutando, código preparado para mover o sobreescribir un programa en memoria, código
capaz de automodificar ejecutables, rutinas de encriptación y desencriptación, y otras actividades propias de los virus.

Aunque las técnicas heurísticas han representado un gran avance en la detección de virus desconocidos, presentan
un gran inconveniente: es muy alta la posibilidad de obtener «falsos positivos y negativos». Se produce un «falso
positivo» cuando el antivirus anuncia la presencia de un virus que no es tal, mientras que se llama «falso negativo»
cuando piensa que el PC esta limpio y en realidad se encuentra infectado.

¿Que Debemos Buscar En Un Antivirus?

A la hora de decidirnos por un antivirus, no debemos dejarnos seducir por la propaganda con mensajes como "detecta
y elimina 56.432 virus". Realmente existen miles de virus, pero en muchísmos casos son mutaciones y familias de
otros virus; esto está bien, pero hay que tener en cuenta que una inmensa mayoría de virus no han llegado ni llegaran
a nuestro país.

Por lo que de poco nos sirve un antivirus que detecte y elimine virus muy extendidos en América y que desconozca
los más difundidos en España. Por tanto, estaremos mejor protegidos por un software que, de alguna forma, esté más
"especializado" en virus que puedan detectarse en nuestro país. Por ejemplo "Flip", "Anti Tel", "Barrotes", "Coruña",
etc. Por otro lado, hemos de buscar un software que se actualice el mayor numero posible de veces al año; puesto
que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha frecuencia, el estar al día es
absolutamente vital.

Cómo Reaccionar Ante Una Infección

La prevención y la compra de un buen antivirus son las mejores armas con las que cuenta el usuario ante el ataque de
los virus. Sin embargo, siempre cabe la posibilidad de que en un descuido se introduzca un inquilino no deseado en el
PC. Ante esta situación lo primero que debemos hacer es arrancar el ordenador con un disco de sistema totalmente
libre de virus. Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que si es antiguo corremos
el riesgo de que no remotoice mutaciones recientes o nuevos virus.

En el disco de sistema limpio (que crearemos con la orden «format a: /s») incluiremos utilidades como «mem.exe»,
«chkdsk.exe», «sys.com», «fdisk.exe» y todos los controladores para que el teclado funcione correctamente. Si
disponemos de dos o más antivirus es muy recomendable pasarlos todos para tener mayor seguridad a la hora de
inmunizar el PC.

Si la infección se ha producido en el sector de arranque podemos limpiar el virus con la orden «sys c:», siempre y
cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la tabla de particiones podemos
ejecutar «fdisk /mbr».

Software AntiVirus Comercial

Análisis heurístico

Hay que señalar una marcada mejoría en las técnicas de detección heurísticas, que aunque en determinadas
condiciones siguen provocando «falsos positivos», muestran una gran efectividad a la hora de remotoizar virus
desconocidos. En este apartado debemos destacar al ThunderByte, ya que la técnica heurística de este antivirus le
ha permitido detectar 42 de los virus no remotoizados mediante el método adicional. De hecho, la mayoría de estos
virus son desarrollos nacionales de reciente aparición, por lo que o ha habido tiempo de incluirlos en la última versión.
Además, este producto destaca por una relación de «falsos positivos» realmente baja.

Otros productos que permiten la detección heurística son Artemis Profesional, Dr. Solomon´s y F-Prot 2.20. En todos
los casos esta técnica ha servido para aumentar el porcentaje de virus detectados, aunque de esta forma no se
identifica el virus, sino que sólo se sospecha de su presencia. Por otra parte, el Dr. Solomon´s combina
perfectamente una gran base de datos de virus conocidos con su análisis heurístico.

Búsqueda específica

Aunque algunos antivirus engordan su porcentaje de efectividad gracias a técnicas de remotoización genérica
(heurísticamente), muchos usuarios pueden preferir la seguridad aportada por un sistema específico que identifique, e
incluso elimine, sin problemas ni dudas el mayor número de virus posible.

Los usuarios más inexpertos probablemente no sepan enfrentarse a las alarmas producidas por el análisis heurístico,
por lo que en todos los antivirus es posible realizar la exploración de las unidades de disco sin dicha posibilidad. En
tal caso será necesario conocer cuál es la efectividad del producto prescindiendo de tal análisis.

Por este motivo, si nos basamos en técnicas tradicionales como la búsqueda de cadenas y dejamos a un lado
métodos heurísticos tenemos que reconocer que el producto dominante es el antivirus Artemis Profesional 4.0,. tras
él, el conocido Scan de McAfee demuestra el porqué de su prestigio, seguido muy de cerca por el F-Prot.


TRATAMIENTO Y DESINFECCIÓN

Muchas personas se quedan realmente petrificadas cuando descubren la existencia de un virus
en su sistema. Conozco casos de personas que apagaron el ordenador y no lo volvieron a encender
durante meses por miedo a que se estropeara, esperando que el virus se "muriera". En torno a los
virus informáticos hay un halo de pánico a medio camino entre el "miedo tecnológico" y el mito.
En un principio los medios de comunicación hablaban de los virus informáticos como si estos
pudieran contagiar a las personas. Había gente que desenchufaba los ordenadores de la red eléctrica
para evitar que los virus entraran en su ordenador.


Una de las cosas más importantes cuando se encuentra un virus es conservar la calma. Lo
verdaderamente peligroso no es el virus... sino la reacción del que se lo encuentra frente a sí. Un virus
es fácilmente desinfectable si contamos con la calma y las herramientas adecuadas. Estas
herramientas son:


* Copias de seguridad de los datos importantes.
* Disquete de arranque del sistema.
* Antivirus actualizado ( muy recomendable )



Como eliminar virus:


Virus de fichero.

1º ) Arranque el ordenador con un "disquete de arranque
100% libre de virus". El arranque del ordenador debe ser total,
es decir, no es suficiente con rearrancar el ordenador con las
teclas Ctrl + Alt + Sup.

2º) Utilizar un antivirus y testear el disco duro y todos los
disquetes y unidades de soporte magnético utilizadas en ese
sistema. El antivirus desinfectará todos los virus. Si no se
contara con antivirus se podría proceder a eliminar los ficheros
que tenemos la certeza de que están contaminados,
sustituyéndolos por ficheros originales procedentes de las
copias de seguridad.

Virus de sector de arranque.
1º) Arranque el ordenador con un "disquete de arranque 100%
libre de virus". El arranque del ordenador debe ser total, es
decir, no es suficiente con rearrancar el ordenador con las
teclas Ctrl + Alt + Sup.

2º) Utilice un antivirus o en caso de no ser capaz este de
desinfectar el virus reemplace los archivos de sistema por otros
que sepa con certeza que están limpios. Puede hacer esto
usando el comando Sys c: desde un disquete de arranque del
sistema y con ese comando del sistema operativo.

Virus de tabla de partición.
1º ) Arranque el ordenador con un "disquete de arranque
100% libre de virus". El arranque del ordenador debe ser total,
es decir, no es suficiente con rearrancar el ordenador con las
teclas Ctrl + Alt + Sup.

2º) Utilice un antivirus o en caso de no poder este desinfectar
el sistema destruya la tabla de partición y cree una nueva,
teniendo luego que recuperar todos los datos desde los
backups.




LISTA DE VIRUS INFORMATICOS

Nombre:
CMOS.Erase
Alias:
DelCMOS.B, Int7F-E9, Feint
Tipo:
Boot
Infecta a:
Sector de arranque de disquetes y discos duros, así como la Tabla de Particiones
Reparable:
Sí, con Panda Antivirus
Origen:
España
Tamaño:
512 KBytes
Visto "In The Wild":




Características
CMOS.Erase (DelCMOS.B) es un virus de BOOT que infecta el sector de arranque de los discos duros (Master Boot Record - MBR) y el de los
disquetes (Boot). También infectará la Tabla de particiones del disco infectado. La única para que se infecte un disco duro es que el ordenador se
arranque desde un disquete que ya tiene infectado su Boot, no existe otra posibilidad. El virus se coloca en memoria (residente) y desde ella trata de
infectar todos los disquetes con los que se trabaje (en caso de que éstos no estén protegidos contra escritura).

Método de Propagación
Cuando un ordenador se intenta arrancar desde un disquete ya infectado, el virus CMOS.Erase (DelCMOS.B) infecta el disco duro y se coloca
automáticamente en la memoria (residente). Por tanto, los disquetes son el medio que el virus utiliza para propagarse.

Síntomas de la infección
Deja corruptos e inservibles todos los disquetes que infecta. Esto es debido a que considera que todos ellos serán de 1.44 Mb, sin tener en cuenta la
posibilidad de trabajar con disquetes de 720 Kb.

Método de infección
CMOS.Erase (DelCMOS.B) se copia en el MBR del disco duro que infecta. A partir de este momento cada vez que arranquemos el equipo tendremos
el virus en memoria, con lo que éste será capaz de infectar todos aquellos disquetes a los que accedamos.

En cualquiera de los casos (infección de un disco duro o de un disquete) el Boot correspondiente a cada uno de ellos, se almacena en otra sección del
disco, sustituyéndose éste por una copia del mismo, pero infectada.




Nombre:
Lokky.336
Alias:
Exeheader.336, LadyJ.Cav.336
Tipo:
Virus de DOS, Residente en memoria
Infecta a:
Ficheros con extensión EXE
Reparable:
Sí, con Panda Antivirus
Visto "In The Wild":
No



Características
Se trata de un virus de MS/DOS, residente que infecta ficheros ejecutables, con extensión EXE. El virus emplea dos técnicas especiales: Cavity y
Full-Stealth (o Disinfection on the fly). No obstante, el virus no produce ningún tipo de efecto destructivo.

Método de propagación
Lokky.336 utiliza cualquiera de los medios habitualmente empleados por los virus para extenderse y producir sus infecciones en otros ordenadores:
disquetes, CD-ROM, ordenadores conectados en red, Internet, recepción como un fichero (infectado) adjunto o incluido en un mensaje de correo
electrónico,... etc.

Síntomas de Infección
Este virus no realiza ninguna acción, como consecuencia de su infección.

Método de Infección
Las técnicas que emplea el virus son:

Cavity. Aprovechando su reducido tamaño se copia en el interior del fichero que infecta.

Full-Stealth o "Disinfection on the fly". Mientras el virus se encuentra residente en memoria los programas antivirus son incapaces de
detectarlo.
Nombre:
O97M/Jerk.B
Tipo:
Macro y Polimórfico
Infecta a:
Documentos de Microsoft Word 97 y hojas de cálculo (libros) de Microsoft Excel 97
Reparable:
Sí, con Panda Antivirus
Fecha de Activación:
Día 14 de alguno de los siguientes meses: Junio, Julio, Agosto, Septiembre, Noviembre o Diciembre
Condición de Activación:
Apertura del fichero infectado. Día de la fecha igual al número de minutos del reloj



Características
O97M/Jerk.B es un virus de macro y polimórfico que afecta documentos de Microsoft Word 97 (DOC) así como hojas de cálculo (libros XLS) de
Microsoft Excel 97. Se activa, presentando un mensaje por pantalla y desactivando la protección antivirus en macros el día 14, en cualquiera de los
siguientes meses: Junio, Julio, Agosto, Septiembre, Noviembre o Diciembre.

Método de Propagación
Se propaga mediante los ficheros que previamente ha infectado (documentos de Word o libros de Excel). Estos pueden llegar a otros ordenadores por
alguno de los siguientes medios: disquetes, CD-ROM, redes, Internet, mensajes de correo electrónico en los que se incluye alguno de los ficheros
infectados,... etc.

Síntomas de la infección
Al activarse, el día 14 de los meses comprendidos entre Junio y Diciembre (ambos inclusive), O97M/Jerk.B presenta un cuadro de diálogo en
pantalla, dentro del cual se puede leer un mensaje de texto.



Tras la presentación de este mensaje y la pulsación del botón Aceptar, impide al usuario determinar si desea activar o no las protecciones antivirus
para macros, cuando se abre un fichero (que contenga macros).

Método de infección
Se le considera polimórfico, ya que no se comporta del mismo modo en cada una de las infecciones que realiza. Guarda un historial con cada una de
sus infecciones.

Nombre:
Pieck.4444.A
Tipo:
Residente, Multipartite, Encriptado, y Stealth
Infecta a:
Ficheros con extensión EXE y MBR del disco duro
Reparable:
Sí, con Panda Antivirus
Fecha de Activación:
3 de Marzo
Origen:
Polonia
Visto "In The Wild":




Características
Pieck.4444.A es un virus de MS-DOS que infecta ficheros con extensiones EXE. Cuando esto ocurre y el fichero EXE que se encuentra infectado se
ejecuta, el virus infecta el MBR (Master Boot Record - Sector de arranque) del disco duro. Se trata de un virus que en el siguiente arranque a una
infección previa, se colocará como residente en memoria. Además tiene las características de ser multipartite, stealth y encriptado. Una vez que se
encuentra en memoria, infecta sólo los ficheros EXE que se encuentren en disquetes y si un fichero infectado es ejecutado o accedido en el disco
duro, éste se desinfecta. Pieck.4444.A se activa el 3 de Marzo de cualquier año, produciendo un efecto visual que consiste en unas sacudidas de la
pantalla de forma continua.

Método de propagación
Pieck.4444.A emplea cualquiera de los medios utilizados habitualmente por los virus para extenderse dentro de un sistema en el que ya existen
ficheros infectados o propagarse a otros ordenadores: disquetes, CD-ROM, trabajo con ficheros en redes de ordenadores, Internet, envío y recepción
de ficheros adjuntos o incluidos en mensajes de correo electrónico,... etc.

Síntomas de Infección
La infección de los ficheros EXE, produce la infección del sector de arranque en el disco duro. Por otro lado, se activa el día 3 de Marzo de cualquier
año realizando "sacudidas" de pantalla.

-=> T.R.E.M.O.R. was done by NEUROBASHER / May-June '92, Germany<=-
-MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-

Al producirse la infección, el ordenador trabajará de modo más lento, siendo perceptible por el usuario cuando el PC emplea demasiado tiempo en
realizar determinadas acciones que se le han requerido.

Método de Infección
Pieck.4444.A tiene las siguientes características:

Multipartite, lo que significa que cada vez que realiza una de sus infecciones, lo hace de diferente forma.

Stealth, con lo que hace difícil su localización y detección

Encriptado, ya que se encuentra codificado para que el análisis de su código sea complicado y por tanto bastante difícil de desinfectar.

Residente, ya que al ser ejecutado el fichero que se encuentra infectado, Pieck.4444.A infecta también el MBR del disco duro y en el
siguiente arranque se queda residente infectando los ficheros EXE cuando son ejecutados o accedidos. No obstante esto sólo sucede con los
ficheros que se encuentren en disquetes.


Nombre:
Quox.A
Alias:
IHC, Newboot, Newboot_1, Parity.Boot, Parity.enc, Quandry, WeRSilly
Tipo:
Boot y Residente
Infecta a:
Sector de arranque de disquetes y discos duros
Reparable:
Sí, con Panda Antivirus
Origen:
Alemania
Fecha de Aparición:
Enero del año 1996
Visto "In The Wild":




Características
Quandary es un virus de MS-DOS que infecta el sector de arranque de los discos duros (MBR - Master Boot Record) y el de los disquetes (Boot). El
virus se queda residente para infectar el MBR de los discos duros que se encuentren conectados al ordenador infectado y el BOOT de los disquetes
con los que se trabaje.

Método de Propagación
Al realizar su infección, Quandary se coloca como residente en memoria. Desde ella infecta todos los disquetes con los que se trabaje. Estos serán
los que llevarán la infección a otros ordenadores, infectado el sector de arranque del disco duro infectado en otros ordenador.

Comentarios Adicionales
Fue distribuido en Alemania el mes de enero del año 1996 mediante unos disquetes que contenían el programa "VoiceType Vokabular" de IBM.


Nombre:
Satan Bug
Alias:
S-Bug, Sat Bug.Sat Bug
Tipo:
Virus polimorfico y residente en memoria
Infecta a:
Ficheros con extensión EXE o COM (programas ejecutables). Los ficheros COM que tengan más de 60016 bytes y los
ficheros EXE con menos de 1024 bytes no son atacados por el virus
Reparable:
Sí, con Panda Antivirus
Origen:
España
Visto "In The Wild":
No



Características
Se trata de un virus diseñado para infectar ordenadores con MS/DOS. Al infectar, se coloca como residente en memoria. Desde ella espera la
ejecución de programas (ficheros ejecutables EXE y COM), para infectarlos. Los ficheros con extensión COM cuyo tamaño sea superior a 60016
bytes y los ficheros con extensión EXE con menos de 1024 bytes no son atacados por el virus.

No tiene efectos destructivos sobre los ficheros que se vean afectados, aunque puede producir errores en los ficheros con extensiones EXE u OVL, al
ejecutarlos.

Método de Propagación
Satan Bug emplea cualquiera de los medios habitualmente utilizados por los virus: disquetes, CD-ROM, Internet, envío de mensajes de correo
electrónico en los que se incluye el fichero infectado, ...etc.).

Síntomas de la infección
Los ficheros ejecutables que infecta, aumentan de tamaño en 4 ó 5 Kbytes, ya que el virus se copia dentro de su código.


Nombre:
Stealth.Boot
Alias:
StealthBoot.C, HavocSt-Boot.Amse, Nops.B, Stelboo, Stealth, StealthBoot.A, StealthBoot.B, Stealth_Boot
Tipo:
Boot y Residente
Infecta a:
Boot de disquetes y Master Boot de discos duros
Reparable:
Sí, con Panda Antivirus
Visto "In The Wild":




Características
Los términos BOOT, MASTER BOOT (MBR) y sector de arranque identifican una sección específica de un disco en la que se almacenan las
propiedades o características de ese disco y los posibles programas que permiten que éste sea capaz de iniciar o arrancar el ordenador. Por otro
lado, un disco de arranque, de sistema, o de inicio es aquel con el que es posible iniciar o arrancar el ordenador.

En este caso, StealthBoot, es un virus de Boot que infecta el sector de arranque de los disquetes (BOOT) y el sector de arranque de los discos duros
(MASTER BOOT - MBR). Para que sea efectiva la infección del sector de arranque del disco duro, se debería haber utilizado previamente un disquete
infectado en el ordenador, ya que es la única forma de contagio posible. Más concretamente, se debería haber iniciado o arrancado el ordenador desde
un disquete infectado, como disco de arranque o inicio.

Método de Propagación
El único medio de propagación es la utilización de disquetes, que se encuentren infectados, entre diferentes ordenadores. Para que esta infección se
propague al disco duro de un sistema es condición indispensable haber arrancado el ordenador desde el disquete que contiene al virus. Cuando ya se
ha producido la infección, pueden continuar las infecciones a otros discos utilizados.

Síntomas de la infección
No presenta ningún mensaje ni realiza acciones que el usuario pueda apreciar.

Método de infección
Para realizar sus infecciones StealthBoot utiliza los disquetes. Desde la memoria, en la que se instala automáticamente al realizar una infección,
puede infectar todos los discos que se utilicen en el ordenador.


Nombre:
Stoned.NoInt.A
Alias:
Bloomington, Stoned III, LastDirSect
Tipo:
Boot y Residente
Grupo o Familia:
Stoned
Infecta a:
Sector de arranque en disquetes y discos duros
Indice de Peligrosidad:
Alto
Reparable:
Sí, con Panda Antivirus
Tamaño:
2.048 Bytes
Fecha de Aparación:
01/06/91
Fecha de Activación:
Al arrancar el ordenador con un disco infectado
Visto "In The Wild":




Características
Stoned.NoInt.A es un virus de la familia Stoned, que infecta el sector de arranque de disquetes (BOOT) y de discos duros (MASTER BOOT, o Master
Boot record - MBR). Además se trata de un virus que tras realizar la infección, se coloca en memoria (residente) esperando infectar todos los discos
que se utilicen. Si el disco es capaz de iniciar el ordenador (disco de arranque), tras la infección le será imposible hacerlo. Por otra parte,
Stones.NoInt.A o Bloomington puede causar daños indirectos en los ficheros contenidos en el directorio (carpeta) raíz del disco infectado y utiliza
técnicas para evitar a los programas antivirus (stealth).

Método de Propagación
El modo empleado por este virus para transmitirse de un ordenador a otro, o contagiar varios ordenadores, es el manejo de disquetes entre los
distintos PC's. Cuando el disquete infectado es de arranque (permite iniciar el ordenador) y es utilizado para este fin, se infectará al ordenador
destino haciendo que Stoned.NoInt.A infecte su disco duro.

Síntomas de la infección
Si el disco infectado fuese un disco de arranque (disco que permite iniciar el ordenador), desde ese momento el disco no será capaz de iniciarse o
arrancar. Por otro lado, al producirse la infección y haber arrancado el ordenador con el disco infectado, la imposibilidad de hacerlo hará que el
sistema operativo presente el mensaje con el que se informa al usuario de que el sector de arranque tiene fallos ("Disk boot failure"

Nombre:
Tai-Pan.438.A
Alias:
Whisper
Tipo:
Residente
Infecta a:
Ficheros ejecutables con extensión EXE
Reparable:
Sí, con Panda Antivirus
Tamaño:
438 Bytes
Condición de Activación:
Al ejecutar un fichero EXE ya infectado
Visto "In The Wild":




Características
Tai-Pan.438.A es un virus de MS-DOS que, tras realizar su infección, se coloca en memoria como residente. Desde ella aguarda la ejecución de
programas con extensión EXE, para infectarlos en ese momento. No realiza acciones tras la infección salvo colocarse en memoria y propagarse,
infectando otros ficheros.

Método de propagación
Para extenderse, utiliza cualquiera de los medios que habitualmente emplean los virus. El virus siempre se encontrará en el interior de los ficheros
infectados. Por este motivo, al manipularlo con cualquiera de los siguientes métodos, estaremos contribuyendo a su propagación: disquetes,
CD-ROM, trabajo con ordenadores conectados en red, Internet, fichero adjunto o incluido en un mensaje de correo.

Síntomas de Infección
El único síntoma apreciable de su infección (ya que no produce acción alguna), es que el fichero infectado aumenta su tamaño en 438 Bytes.

Método de Infección
Tai-Pan.438.A realiza los siguientes pasos en su proceso de infección:

1.Comprueba si ya se encuentra residente en memoria.

2.Si no lo está, se coloca en la zona de memoria más alta disponible.

3.Desde esa posición espera la ejecución de un fichero con extensión EXE, para infectarlo.

4.Al infectar un fichero, se introduce en él, aumentando el tamaño de éste en 438 bytes. El virus se coloca al final del fichero infectado.

Nombre:
Toadie.7800.B
Alias:
Terminate.7800
Tipo:
Virus de acción directa
Infecta a:
Ficheros ejecutables con extensión EXE cuyo tamaño sea mayor que 7800 Bytes
Reparable:
Sí, con Panda Antivirus
Medio de Propagación:
Correo electrónico e IRC
Condición de Activación:
Al ser ejecutado el fichero TOADIE.EXE. Muestra un mensaje si los minutos del sistema marcan 17 minutos
Visto "In The Wild":




Características
Toadie.7800 infecta ficheros ejecutables (programas) con extensión EXE cuyo tamaño sea superior a 7800 Bytes, tanto en MS-DOS como en
Windows.

El medio que emplea para su propagación le confiere bastante rapidez ya que para ello emplea el programa de IRC (Chat), mIRC y a programas de
correo electrónico como Pegasus mail. En el primer caso, el propio virus se encarga de enviar el fichero TOADIE.EXE a los usuarios conectados al
mismo canal de IRC que el usuario infectado. Por otro lado es capaz de enviar ese mismo fichero como un archivo adjunto a todos los mensajes de
correo electrónico que se envían. También se propaga dentro del sistema ya infectado, realizando infecciones en todos los ficheros con extensión
EXE que existan.

Al activarse, dependiendo de ciertas condiciones, mostrará un mensaje de texto por pantalla. Este mensaje será escogido aleatoriamente por el virus
de entre una serie de posibilidades.

Método de Propagación
El fichero que produce la infección lleva el nombre de TOADIE.EXE. Dicho fichero es enviado a otros usuarios, mediante el empleo del popular
programa de IRC (mIRC). Todos los usuarios que en ese momento estén conectados al mismo canal de IRC que el usuario infectado, lo recibirán,
TOADIE.EXE. Dicho fichero también se incluye automáticamente en todos aquellos mensajes de correo electrónico que se envían desde el ordenador
ya infectado.

Síntomas de la infección
El virus no lleva a cabo su infección si el reloj del sistema marca una hora comprendida entre las 15:00 y las 17:00. No obstante, cuando el fichero
TOADIE.EXE es ejecutado fuera de este horario, el virus infecta todos los ficheros EXE que se encuentren en el disco duro.

Si el reloj del sistema marca una determinada hora, pero los minutos tienen el valor 17, Toadie.7800.B muestra un mensaje por pantalla como el
siguiente:

"Cross-OS compatable. Dos/Win/os2 exe's can be infected!"

Adicionalmente, si el reloj del sistema marca cualquier hora, pero el valor numérico de los minutos es de 21, Toadie.7800.B presenta uno de los
siguientes cinco mensajes posibles, a modo de broma:

"There once was a bud named B.C.
He grew on a 7 foot tree.
Till one day I plucked him.
Rolled him and smoked him.
And now I can barely see!".

"Question: If someone with multiple personalities tries.
to commit suicide, do the police consider it a hostage.
situation?".
.
"One bong hit, Two bong hit, Three bong hit, Floor.".

"Late one night in the middle of the day, two dead.
soldiers got up to fight. Back to back they faced.
each other, pulled out their swords and shot one.
another. A deaf policeman heard the noise, got up.
and shot the twice dead boys. If you don't believe.
me, ask the blind man who saw it all, through a.
knothole in a wooden brick wall.".

"Ladies and gentlemen, I stand before you to
stand behind you to tell you something I know
nothing about. Thursday, which is Good Friday,
we're having a Father's Day party for mother's only.
Admission is free, pay at the door, pull out a chair
and sit on the floor."

Método de la infección
Toadie.7800.B comprueba la existencia del directorio mIRC. El fichero TOADIE.EXE será copiado en éste directorio, en caso de existir. Además el
virus modificará el SCRIPT.INI (fichero de configuración del popular cliente de IRC, mIRC). También introduce código capaz de enviar el fichero
TOADIE.EXE a todos los usuarios conectados al canal donde se encuentra conectado el usuario del ordenador infectado.

Finalmente, localiza el directorio C:\PMAIL\MAIL y hace una copia del mismo fichero TOADIE.EXE en él. El objetivo es poder enviarlo por como
fichero adjunto o incluido en los mensajes de correo electrónico, modificando aquellos que están en espera de ser enviados.


Nombre:
Trivial.37.D
Tipo:
Sobreescritura. Acción directa
Grupo o Familia:
Trivial
Infecta a:
Ficheros ejecutables con extensión COM
Reparable:
Sí, con Panda Antivirus
Tamaño:
37 Bytes
Visto "In The Wild":
No



Características
Pertenece a la familia de virus Trivial. Se trata de un virus de acción directa que infecta ficheros ejecutables (programas) cuya extensión es COM.
Entre ellos, infecta al fichero COMMAND.COM. Los ficheros infectados quedarán inservibles y si un antivirus detecta el Trivial.37.D, sólo podrá
eliminar el fichero infectado y con él al virus.

Método de Propagación
Cuando un fichero COM infectado se ejecuta, automáticamente se comienza la infección de otros ficheros de las mismas características (otros
programas COM).

Síntomas de la infección
No presenta efectos visibles, solamente deja inservible el fichero que ha infectado.

Método de infección
Infecta todos ficheros con extensión COM que se encuentren en el directorio o carpeta en la que está el virus. Para infectarlos, se copia dentro de
ellos. Esto es lo que provoca que el fichero infectado no sirva posteriormente. Esto implica que esa información jamás se podrá recuperar. LOS
FICHEROS INFECTADOS QUEDARAN INSERVIBLES Y NO SE PODRÁN RECUPERAR.


Nombre:
Trojan/BackOrifice
Alias:
Trojan.BO.Modified, Trojan.BO.DLL
Tipo:
Troyano de tipo Backdoor que permite el control remoto de ordenadores
Acciones que realiza:
Ejecuta comandos, transfiere archivos, modifica el Registro de Windows, borrar programas y directorios
Reparable:
Sí, con Panda Antivirus
Visto "In The Wild":




Características
Trojan.BackOrifice es un troyano del tipo Backdoor que permite realizar operaciones en el ordenador afectado, a través de otro que se conectará a
éste de forma remota. Forman parte de él varios programas. Uno de ellos será el que se instala en el ordenador afectado (servidor), mientras que otro
será instalado en el ordenador desde el que se puede manipular al primero (cliente).

El troyano se instala y puede trabajar en ordenadores con Windows 95/98, pero no en Windows NT, permitiendo el acceso al sistema donde se instala
y pudiendo realizar con él las siguientes operaciones: control remoto (desde otro ordenador) de todos los recursos del ordenador atacado, ejecutar
comandos, transferir archivos, manipular el registro, borrar programas, directorios,... etc.

Método de Propagación
El programa servidor que forma parte del troyano, llega al ordenador por cualquiera de los siguientes medios: disquetes, CD-ROM, trabajo con
ficheros en entornos de red, Internet, recepción de mensajes de correo electrónico en los que se incluye el fichero correspondiente al programa
servidor,... etc.

Síntomas de Infección
Una vez que el troyano se activa, se consigue la comunicación entre el programa cliente (situado en un ordenador remoto) y el programa servidor
(instalado en el ordenador afectado) mediante la cual se permiten controlar remotamente todos los recursos del ordenador afectado, haciendo posible
que se ejecuten comandos, que se transfieran archivos, que se modifique el Registro y que se borren programas y directorios.

Método de Infección
El programa BOSERVE.EXE es el servidor que se instala de forma automática en el ordenador afectado por el troyano. Mediante un sistema de
comunicación encriptado, cifrado o codificado con el ordenador desde el que se tiene acceso al infectado, se controlan cada una de las operaciones
que permite realizar BackOrifice en él.


Nombre:
AntiVMOS.B
Alias:
ANTI-0, ANTO-ANGE, Gaxelle, Lenart, LiXi, Anti-Cmos, AntiCMOS
Tipo:
Boot y Residente
Grupo o Familia:
AntiCMOS
Infecta a:
Sector de arranque de disquetes y discos duros. Borra la información de la CMOS
Reparable:
Sí, con Panda Antivirus
Origen:
China
Tamaño:
2 KBytes
Fecha de Aparición:
01/01/99
Visto "In The Wild":




Características
Se trata de un virus de BOOT que infecta el sector de arranque de los discos duros (Master Boot Record - MBR) y el de los disquetes (BOOT). Para
infectar el MBR de un disco duro debe arrancarse el ordenador desde un disquete infectado ya que no hay otra forma. Una vez infectado el MBR se
coloca como residente en memoria e infecta todos los disquetes que son accedidos, siempre y cuando estos no estén protegidos contra escritura.

Es originario de China siendo reportado por primera vez el año 1.994 en Hong Kong. Durante varios meses del año 1.995 también fue reportado en
numerosas ocasiones desde Norteamérica. Produce un efecto consistente en la emisión de sonidos con diferentes frecuencias desde el altavoz del
PC.

Método de Propagación
La única forma mediante la cual AntiCMOS.B puede infectar un ordenador es arrancándolo desde un disquete que ya se encuentre infectado por el
virus. Este disquete habría sido infectado previamente por el hecho de utilizarlo en un ordenador infectado del mismo modo.

Síntomas de la infección
Debido a su situación de residente en memoria, AntiCMOS.B hace que la capacidad de ésta se vea mermada en 2 Kbytes, coincidiendo con el tamaño
del virus que se colocará en una sección de la misma. Como efecto secundario emite pitidos a través del altavoz del ordenador, de diferentes
frecuencias.

Método de infección
AntiCMOS.B realiza las siguientes operaciones:

1.Controla los accesos a discos.

2.Crea un hueco de 2 Kbytes en la memoria para copiarse a sí mismo en ella (residente).

3.Comprueba si se está ejecutando desde el sector de arranque de un disquete o desde el de un disco duro.

4.Intercepta el servicio de acceso a cualquier disco que se utilice.

5.En cada ocasión que se acceda a un disco, AntiCMOS.B, si éste estuviese libre de virus, lo infectará.

6.AntiCMOS.B sobreescribe el sector de arranque del disco duro.

7.Intenta arrancar el ordenador con el sector de arranque que colocó en el disco duro infectado.


Nombre:
BackDoor/BladeRunner
Alias:
BackDoor.Z
Tipo:
Troyano de Tipo Backdoor
Acciones que realiza:
Acceso a la estructura de directorios y ficheros, capacidad para operar con ficheros y directorios: renombrarlos,
borrarlos, crear directorios, ejecutar aplicaciones, observar las aplicaciones que la víctima se encuentra
ejecutando en su ordenador, eliminación de tareas que se encuentren en ejecución, enviar cuadros de diálogo
con mensajes, ver la hora correspondiente al ordenador de la víctima, mostrar ficheros de imágenes y sonido en
el ordenador de la víctima, ocultar/mostrar la barra de tareas, reiniciar o apagar el equipo atacado, abrir un
canal de Chat, cambiar el tapiz del Escritorio, mostrar/ocultar el puntero del ratón, situar el puntero del ratón en
una coordenada concreta de la pantalla, abrir/cerrar la bandeja de CD-ROM, obtener información de la víctima:
nombre del usuario, sistema operativo, tipo de procesador, resolución y otros datos de interés,... etc.
Reparable:

Visto "In The Wild":
No



Características
Backdoor/BladeRunner es un troyano que permite al atacante (desde su ordenador) el acceso a los recursos del ordenador atacado. Esto lo
conseguirá mediante una conexión a Internet. El troyano está compuesto de un programa cliente y otro programa servidor. El primero se instala en el
ordenador desde el que se pretende realizar el ataque, permitiendo la realización de operaciones en el ordenador atacado (mediante la conexión y
comunicación con el programa servidor). El programa servidor, se instala automáticamente en el ordenador de la víctima.

Método de Propagación
El programa servidor llega al ordenador que se pretende atacar, de tal forma que parezca un programa interesante. De este modo el receptor lo
ejecutará. Esto provocará la instalación del troyano (programa servidor) en su ordenador. Dicho fichero puede llegar a través de disquetes, CD-ROM,
Internet, ordenadores en red, mensajes de correo electrónico en los que se incluyen o adjuntan ficheros,... etc.

Síntomas de Infección
Los efectos que puede producir el ataque del troyano, son los siguientes:

Capacitado para renombrar y borrar ficheros y directorios, ejecutar aplicaciones, crear directorios,... etc.

Conocer en todo momento las aplicaciones que la víctima se encuentra ejecutando.

Capacidad para eliminar cada una de las tareas (programas) que la víctima esté ejecutando.

Enviar cuadros de diálogo en los que se mostrarán mensajes.

Ver la hora que aparece en el ordenador de la víctima.

Mostrar ficheros de imágenes y sonido en el ordenador de la víctima.

Ocultar/Mostrar la barra de tareas.

Reiniciar o apagar el equipo atacado.

Abrir un canal de Chat.

Cambiar el tapiz del Escritorio.

Mostrar/Ocultar el puntero del ratón, o situarlo en una coordenada concreta de la pantalla.

Abrir/Cerrar la bandeja de CD-ROM.

Obtener información de la víctima: nombre del usuario, sistema operativo, tipo de procesador, resolución y otros datos de interés,...


Modo de Infección
Cuando el usuario ejecuta el programa servidor (que habrá llegado al equipo por alguno de los medios habitualmente empleados por los virus), éste se
instalará, modificando el Registro de Windows. La finalidad e

Fuentes de Información - Informe completisimo de virus Informaticos

Tags: virus

Dar puntos
14 Puntos
Votos: 5 - T!score: 3/10
  • 1 Seguidores
  • 10.430 Visitas
  • 7 Favoritos

5 comentarios - Informe completisimo de virus Informaticos

@capitanperico Hace más de 7 años
hace años que no veo un virus
@jovato Hace más de 7 años
yo esto buscando una buena herramienta para limpiar unos virus en varias maquinas que andan muy lentas y tiene problemas en internet. no he tenido suerte aparte desconfio de esas herramientas que parecen magicas y aparecen justo, me suena a que fueron ellos los creadores del virus para luego meter su software de limpieza.
@frotalaza Hace más de 6 años
este post es un tremendo ctrl C, ctrl V.

Pero lo mismo es muy util, gracias.
@betomanser Hace más de 3 años
frotalaza dijo:este post es un tremendo ctrl C, ctrl V.
Pero lo mismo es muy util, gracias.

jaja de una ...
IGual esta bueno +1