El post que buscas se encuentra eliminado, pero este también te puede interesar

Virus

virus informatico

Hola como ben mi titulo dice Virus y ese es el tema que quiero que beannn y comenten




El nuevo escenario informático
Uno de los cambios más sorprendentes del mundo de hoy es la rapidez de las comunicaciones. Modernos
sistemas permiten que el flujo de conocimientos sea independiente del lugar físico donde nos
encontremos. En ese sentido, ya no sorprende la transferencia de información en tiempo real o
instantáneo y debido a que el conocimiento es poder; para adquirirlo, las empresas se han unido en
grandes redes internacionales para transferir datos, sonidos e imágenes, y realizar el comercio en forma
electrónica, con objeto de ser más eficientes. No obstante, al unirse en forma pública se han vuelto
vulnerables, pues cada sistema de computadoras involucrado en la red es un blanco potencial y
apetecible para obtener información.
El escenario electrónico actual en el cual las organizaciones enlazan sus redes internas a la Internet,
crece a razón de más de un 10% mensual. Al unir una red a la Internet se tiene acceso también a las
redes de otras organizaciones. De la misma forma en que accedemos a la oficina del frente de nuestra
empresa, se puede recibir información de un servidor en Australia, conectarnos a una supercomputadora
en Washington o revisar la literatura disponible desde Alemania. Del universo de varias decenas de
millones de computadoras interconectadas, no es difícil pensar que pueda haber más de una persona con
perversas intenciones respecto de una organización. Por ello, es fundamental tener protegida
adecuadamente la red.
Con mayor frecuencia se encuentran noticias sobre la violación de redes de importantes
organizaciones por criminales informáticos desconocidos. A pesar de que la prensa ha destacado que
tales intrusiones son solamente obra de adolescentes con propósitos de entretenerse o de jugar, ya no se
trata de un incidente aislado de una desafortunada institución. De manera permanente se reciben reportes
de los ataques a redes informáticas, los que se han vuelto cada vez más siniestros: los archivos son
alterados subrepticiamente, las computadoras se vuelven inoperativas, se ha copiado información
confidencial sin autorización, se ha reemplazado el software para agregar “puertas traseras” de entrada y
miles de contraseñas han sido capturadas a usuarios inocentes; por mencionar algunas cuestiones.
Los administradores de sistemas requieren horas y a veces días enteros para volver a cargar o
configurar nuevamente sistemas comprometidos, con el objeto de recuperar la confianza en la integridad
de éstos. No hay manera de saber los motivos que tuvo el intruso, y debe suponerse que sus intenciones
son de lo peor. Aquella gente que irrumpe en los sistemas sin autorización causa mucho daño, aunque
sea solamente para mirar su estructura, incluso sin que hubieran leído la correspondencia confidencial y
sin borrar ningún archivo.
De acuerdo con un estudio de la Consultora “Ernst and Young” que integra a más de mil empresas,
un 20% reporta pérdidas financieras como consecuencia de intrusiones en sus computadoras
(Technology Review, Abril 95, pág. 33). Ya pasaron los tiempos en que la seguridad de las
computadoras era sólo un juego o diversión.



1. QUÉ ES UN VIRUS
Es un pequeño programa escrito intencionalmente para instalarse en la computadora de un usuario sin el
conocimiento o el permiso de éste. Se dice que es un programa parásito porque ataca a los archivos o
sector de arranque (boot sector) y se reproduce a sí mismo para continuar su esparcimiento.
Algunos se limitan solamente a reploducirse, mientras que otros pueden producir serios daños
que pueden afectar a los sistemas. Se ha llegado a un punto tal, que un nuevo virus llamado
W95/CIH-10xx. o también CIH.Spacefiller (puede aparecer el 26 de cada mes, especialmente 26 de
junio y 26 de abril) ataca al BIOS de la PC huésped y cambia su configuración de tal forma que se
requiere modificarlo. Nunca se debe asumir que un virus es inofensivo y dejarlo “flotando” en el
sistema.
Existen ciertas analogías entre los virus biológicos y los informáticos: mientras los primeros son
agentes externos que invaden células para alterar su información genética y reproducirse, los
segundos son programas-rutinas, en un sentido más estricto, capaces de infectar archivos de
computadoras y reproducirse una y otra vez cuando se accede a dichos archivos, por lo que dañan la
información existente en la memoria o en alguno de los dispositivos de almacenamiento de la
computadora.
Tienen diferentes finalidades: algunos sólo “infectan”, otros alteran datos, otros los eliminan y
algunos sólo muestran mensajes. Pero el fin último de todos ellos es el mismo:
PROPAGARSE.
Es importante destacar que
complejidad sino del entorno donde actúa.
el potencial de daño de un virus informático no depende de su
Un virus es un programa que cumple las siguientes pautas:
·
Es muy pequeño.
·
Ejecutable o potencialmente ejecutable.
·
Se reproduce a sí mismo.
·
Toma el control o modifica otros programas.
·







Por lo general, los virus se encuentran en la parte final del programa para infectarlo; es decir,
modifican su correcto funcionamiento y por supuesto, incrementan el tamaño de éste. Son pequeños
pedazos de código que por sí solos no significan nada, por lo que deben encontrar un lugar donde
puedan reproducirse para así continuar su ciclo de vida. El lugar donde pueden reproducirse es en el
sector de arranque, en los programas ejecutables o en ambas partes. Otros programas considerados
como virus son los macrovirus los cuales infectan archivos de información; la aparición de éstos
generó alarma en los ámbitos de seguridad informática, puesto que rompían una parte del
paradigma establecido en el cual los archivos que podían ser infectados por virus eran solamente los
ejecutables o potencialmente ejecutables (.EXE, .COM, .BAT, .PIF, .SYS, etc.). En la actualidad la
mayoría de los macrovirus están escritos con el lenguaje de programación de macros del Microsoft
Arturo Hernández Hernández
4
Office para Windows (recordemos que el Word Basic es un subconjunto del lenguaje Visual Basic)
y pueden ser desarrollados para cualquiera de sus aplicaciones (Word, Excel y Access). Los
macrovirus cumplen también con la norma D.A.S. (Daño, Autorreproductores y Subrepticios).
Los virus necesitan tener el control sobre sí mismos y el programa anfitrión para que puedan
funcionar. Es por esta razón por lo que se añaden en el punto de inicio de un proceso a realizarse o
punto de entrada del archivo, de esta manera, antes de que se pueda ejecutar el código del programa,
se ejecuta el del virus.
El virus se reproduce cuando el ambiente es apropiado para “activarse” esto es: una fecha
específica, a una hora determinada, por cierta cantidad de ejecuciones, por el tamaño del archivo de
información o por una combinación de teclas. Éstas son las condiciones necesarias para que causen
daño.
1.2 Propiedades de los virus
Además de la característica principal de estos programas, que es su facultad de duplicación, existen
otras particularidades de los virus, como son las siguientes:
Modifican el código ejecutable:
otros programas ejecutables, debe ser capaz de alterar la organización del código del programa que
va a infectar.
aquí aparece el adjetivo “contagio”. Para que un virus contagie a
Permanecen en la memoria de la computadora:
ejecuta en su computadora un programa con virus, éste se acomoda en la memoria RAM, con objeto de
adueñarse de la computadora, y por así decirlo, tomar el mando.
cuando un usuario, inocente de las consecuencias,
Se ejecutan involuntariamente:
ese momento está en reposo, en modo de espera, necesitando de alguien que ejecute el programa
“portador”.
un virus sin ejecutar es imposible que dañe una computadora. En
Funcionan igual que cualquier programa:
comporta como tal, en ese sentido necesita de alguien que lo ponga en funcionamiento, si no, es
software que estará solamente almacenado en un dispositivo magnético.
un virus, al ser un programa de computadora, se
Es nocivo para la computadora:
encontrarnos con programas que destruyen parcial o totalmente la información, o bien programas
que tan solo presentan un mensaje continuo en pantalla, el cual aunque no hace daño al final es muy
molesto.
esto depende del virus con el que tratemos. Podemos
Se ocultan al usuario:
durante el máximo tiempo posible, hasta que aparece la señal de alarma en la computadora.
Conforme pasa el tiempo, los virus van generando más y mejores técnicas de ocultamiento, pero
también se van desarrollando los programas antivirus y de localización.
claramente, el programador del virus desea que el usuario no lo advierta
Virus informático
5
1.3 Orígenes
Los virus tienen la misma edad que las computadoras. Ya en 1949 John Von Neumann, describió
programas que se reproducían a sí mismos en su libro “Teoría y Organización de Autómatas
Complicados”. Es hasta mucho después que se les da el nombre de virus.
Antes de la explosión de la microcomputación se decía muy poco de ellos. Por un lado, la
computación era secreto de unos pocos; por otro lado, las entidades gubernamentales, científicas o
militares, que vieron sus equipos atacados por virus, se quedaron calladas, para no demostrar la
debilidad de sus sistemas de seguridad, que costaron millones, al bolsillo de los contribuyentes. Las
empresas privadas como bancos, o grandes corporaciones, tampoco podían decir nada, para no
perder la confianza de sus clientes o accionistas. Lo que se sabe de los virus desde 1949 hasta 1989,
es muy poco.
Se reconoce como antecedente de los virus actuales, un juego creado por programadores de la
empresa AT&T, quienes desarrollaron la primera versión del sistema operativo Unix, en los años
60. Para entretenerse y como parte de sus investigaciones, crearon un juego, llamado “Core War”,
que tenía la capacidad de reproducirse cada vez que se ejecutaba. Este programa tenía instrucciones
destinadas a impedir el correcto funcionamiento de la memoria.
Al mismo tiempo, elaboraron un programa llamado “Reeper”, el cual destruía las copias hechas
por Core Ware, un antivirus o antibiótico, en nuestra terminología actual. Conscientes de lo
peligroso del juego, decidieron mantenerlo en secreto y no hablar más del tema. No se sabe si esta
decisión fue por iniciativa propia o por órdenes superiores.
En 1982, los equipos Apple II comenzaron a verse afectados por un virus llamado “Cloner” que
presentaba un mensaje en forma de poema.
Al año siguiente, 1983, el Dr. Ken Thomson, uno de los programadores de AT&T, que trabajó
en la creación de “Core War”, rompió el silencio acordado, y dio a conocer la existencia del
programa, con detalles de su estructura, en una conferencia ante la Asociación de Computación.
La Revista Scientific American a comienzos de 1984, publicó la información completa sobre
esos programas, con guías para la creación de virus. Éste es el punto de partida de la vida pública de
estos aterrantes programas, y naturalmente de su difusión sin control, en las computadoras
personales.
Por esa misma fecha, 1984, el Dr. Fred Cohen hace una demostración en la Universidad de
California, presentando un virus informático residente en una PC. Al Dr. Cohen se le conoce
actualmente, como “el padre de los virus”. Paralelamente aparece en muchas PC´s un virus, con un
nombre similar a Core War, escrito en Small-C por un tal Kevin Bjorke, que luego lo cede a
dominio público. ¡La cosa comienza a ponerse caliente!
El primer virus destructor y dañino plenamente identificado que infecta muchas PC's aparece en
1986. Fue creado en la ciudad de Lahore, Paquistán, y se le conoce con el nombre de BRAIN. Sus
autores vendían copias pirateadas de programas comerciales como Lotus, Supercalc o Wordstar por
sumas bajísimas. Los turistas que visitaban Paquistán, compraban esas copias y las llevaban de
vuelta a los Estados Unidos de Norteamérica. Las copias pirateadas llevaban un virus. Fue así,
como infectaron mas de 20 mil computadoras. Los códigos del virus Brain fueron alterados en los
Arturo Hernández Hernández
6
Estados Unidos, por otros programadores, dando origen a muchas versiones de éste, cada una de
ellas peor que la precedente. Hasta la fecha nadie estaba tomando en serio el fenómeno, que
comenzaba a ser bastante molesto y peligroso.

Comienza la lucha contra los virus
En 1987, los sistemas de correo electrónico de la IBM, fueron invadidos por un virus que
enviaba mensajes navideños y que se multiplicaba rápidamente. Ello ocasionó que los discos duros
se llenaran de archivos de origen viral, y el sistema se fuera haciendo lento, hasta llegar a
paralizarse por mas de tres días. El problema había llegado demasiado lejos y el Big Blue puso de
inmediato a trabajar en los virus a su Centro de Investigación Thomas J. Watson, de Yorktown
Heights, NI.
Las investigaciones del Centro T. J. Watson sobre virus, fueron puestas en el dominio público
por medio de reportes de investigación, editados periódicamente, para beneficio de investigadores y
usuarios.
El virus Jerusalem, según se dice creado por la Organización de Liberación Palestina, es
detectado en la Universidad Hebrea de Jerusalem a comienzos de 1988. El virus estaba destinado a
aparecer el 13 de mayo de 1988, fecha del 40 aniversario de la existencia de Palestina como nación.
Una interesante faceta del terrorismo, que ahora se vuelca hacia la destrucción de los sistemas de
cómputo, por medio de programas que destruyen a otros programas.
El 2 de noviembre de 1988, dos importantes redes de Estados Unidos se ven afectadas
seriamente por virus introducidos en éstas. Más de seis mil equipos de instalaciones militares de la
NASA, universidades y centros de investigación públicos y privados se ven atacados.
Para 1989 la cantidad de virus detectados en diferentes lugares sobrepasa los 100, y la epidemia
comienza a crear situaciones graves. Una de las medidas tomadas para tratar de detener el avance de
los virus, es llevar a los tribunales a Robert Morís Jr. acusado de ser el creador de un virus que
infectó a computadoras del gobierno y empresas privadas. Al parecer, este muchacho conoció el
programa Core Ware, creado en la AT&T, y lo difundió entre sus amigos. Ellos se encargaron de
diseminarlo por diferentes medios a redes y equipos. Al juicio se le dio gran publicidad, pero no
detuvo a los creadores de virus. La cantidad de virus que circula en la actualidad es desconocida.
Los virus conocidos son el resultado de investigaciones sobre programas autorreproductivos, que
se habían iniciado a principios de los 80. La teoría básica de los “virus” fue expuesta en 1985 por
Fred Cohen, en una memoria de titulación de la Universidad del Sur de California. Poco después se
publicaba a nivel mundial el primer libro sobre el “Virus, enfermedad de los computadores”, de
Ralf Burger. Este autor, al no poder apoyar sus tesis en pruebas concretas, desarrolló su propio virus
y lo distribuyó a los 200 asistentes a una conferencia sobre el tema. En 1987, la revista Pixel
publicó el código de un virus redactado en Basic. Seis meses después un virus pakistaní infectaba
por primera vez una universidad: la de Delaware, en Estados Unidos.
En realidad, los creadores de éste (ingenieros pakistaníes) no pretendían hacer daño alguno. Su
inofensivo virus (sólo reemplazaba el nombre de volumen del disquete por “Brain”) contenía
incluso sus nombres, dirección y teléfono. Y se sorprendieron grandemente cuando supieron adonde
había “viajado” su virus, ¡de disquete en disquete! Y más aún de la histeria que se desató a través de
la prensa norteamericana.
Virus informático
7
1.4 Desarrollo del fenómeno virus
En los últimos años, el área informática ha experimentado un vertiginoso crecimiento, y con
esto, los programas que las compañías distribuyen alcanzan con mayor rapidez el periodo de
madurez. Hace algunos años, los usuarios comenzaron a grabar los programas, debido al alto precio
de éstos, lo que llevó a los programadores de virus a encontrar el principal modo de distribución.
Podemos, por otro lado, enunciar otras fuentes de desarrollo de los virus como son las redes, el
freeware y shareware, las BBS, y la aparición de programas sencillos de creación de virus.
1.5 Ciclo de vida de los virus
Los virus son creados por un programador y colocados en programas ejecutables, de esta forma
el contagio se inicia por uso de estos programas infectados. La forma de transmisión se realiza por
medio de programas, usuarios, computadoras o red, si las condiciones son propicias como sería la
utilización del programa en una fecha determinada. Por último, algunos programas de virus se
modifican a sí mismos para no ser detectados.











2. CLASIFICACIÓN DE LOS VIRUS
Se intentará presentarle las ramas de esta gran familia, atendiendo a su técnica de
funcionamiento:
·
Bug-ware
Son programas totalmente legales que realizan una serie de tareas concretas, por ejemplo,
probadores de hardware o incluso antivirus. Si no se conoce bien su manejo, o tienen una
programación complicada, pueden producir daños al hardware de la computadora o al software.
Durante el año 1989 existieron muchas denuncias por parte de los usuarios en el sentido de que
había aparecido un virus que actuaba en el procesador de textos
incluso un nombre: el
de los usuarios, que llenaban la RAM de cadenas sueltas, por no conocer bien el manejo del
programa. Es bien sabido que la computadora es el aparato tecnológico que más averías reales o
aparentes recibe por la negación de sus dueños a leer el manual.
Queremos decir con esto, que los bug-ware no son virus. Parecen, pero no lo son. En un 90% de
los casos, el virus es el mismo usuario.
Wordperfect. Llegó a dárselevirus WP. Más tarde se comprobó que las fallas eran debidas a la ignorancia
·
Caballo de Troya
Es llamado como el caballo de Troya de la mitología griega. Los antiguos griegos eran incapaces de
derrotar al ejército de Troya debido, entre otras razones, a las superiores capacidades tácticas y de
combate del ejército troyano. Tras una larga y sangrienta batalla, el ejército griego parecía estar
derrotado y retiró sus fuerzas. Después apareció un magnífico caballo de madera a las puertas de Troya,
presumiblemente una oferta de paz del ejército griego a los ciudadanos de Troya. Se abrieron las puertas
de Troya y el caballo de madera fue introducido para que todos lo vieran. La comunidad se regocijó con
su victoria sobre los griegos.
Cuando cayó la noche y continuaban los festejos, un contingente de guerreros griegos salió del
caballo de madera a través de una escotilla situada en el fondo y se abrió paso hasta las puertas de la
ciudad. Los guerreros griegos abrieron las puertas e hicieron señales a los barcos que aguardaban.
El ejército griego, con el elemento de la sorpresa de parte suya, invadió Troya y redujo a cenizas la
ciudad.
Un caballo de Troya parece ser una aplicación inocente y útil que luego se revela como maligna.
No hay nada que impida que se sigan realizando las misiones “benignas” de la aplicación original.
Lo que sucede es que alguien ha desensamblado el original y ha añadido unas instrucciones de su
colección. Una gran cantidad de virus informáticos en las primeras épocas se “incubaban” en una
primera fase como caballos de Troya. Hoy en día a este tipo de programas los llamamos droppers o
gérmenes. De todas formas, salvo en casos mixtos un caballo de Troya no se puede reproducir; su
reproducción es la propia copia del programa por parte del usuario, así, depende totalmente del
elemento sorpresa para actuar, y una vez localizado... la justicia se presenta bajo la forma de la
orden DELETE del MS-DOS. Respecto a los programas inocentes que producen daños en la
computadora, hablaremos de “Los doce del patíbulo (The dirty dozen)” y del “Hacked Report”, por
ello para evitar inconvenientes con estos programas, lo mejor que puede hacer es no piratear.
Virus informático
9
·
Camaleón
Es un primito del caballo de Troya. Actúa como un programa parecido a otro de confianza, pero
produciendo daños. La diferencia está en que el programa no se basa en uno ya existente, sino que
diseña otro completamente nuevo. Esta técnica se utiliza, no en programas comerciales, sino en
aplicaciones concretas. Bien programados son difíciles de eliminar pues reproducen fielmente al
programa al que imitan. Un programa camaleón puede utilizarse, por ejemplo, para desviar los
céntimos de las transacciones bancarias a una cuenta determinada; en este caso, lo mejor que puede
hacer ante este tipo de técnica es... llamar a la policía.
·
Bombas lógicas
Actúa según un determinado tipo de condiciones técnicas. Imagine un virus que se haga presente
cuando por ejemplo, haya un determinado número de megas ocupados en el disco duro; no suelen
ser autorreproductores, ni se propagan de una computadora a otra. Es interesante observar la
filosofía con la que están diseñados, en la cual existe un segmento de código maligno dentro de un
programa aparentemente normal, que se mantiene latente sin ser detectado durante un tiempo
determinado.
·
Bomba de tiempo
Parecido al anterior. Se conocen dos versiones: la que actúa en determinadas fechas, como un
Viernes 13,
también el virus del
o la que se activa tras una serie determinada de ejecuciones. Un ejemplo de esto seríamoroso, si una empresa no paga un programa legal, se activa el virus.
·
Joke-program
Ahora ya no se les ve mucho. Eran virus (se reproducían e infectaban) pero no producían
realmente daños a la computadora, simplemente eran molestos. Seguro que le suena el
Galleta,
con la aparición del 80286 se les acabaron los buenos tiempos. La fabricación de Joke-programs es
el primer paso de un programador en el camino hacia los virus.
Virus de lao el Come-come, o el de la Cadena... Su época pasó, porque estaban diseñados en 8086 y
·
Conejo
También conocido como
denominamos
compilaciones...) siguen un orden determinado formando lo que conocemos como una “cola”. De
esa forma se ejecuta primero una, luego otra, y así sucesivamente mientras las que no se están
ejecutando permanecen en la “cola” en una especie de lista de espera. Dentro de una red se pueden
especificar preferencias para determinados usuarios que se saltan la “cola” por encima de otros.
Se puede dar el caso de que un alumno fabrique un programa para evitar todo lo anterior.
Cuando le llegue el turno, su programa se dedicará a reproducirse de forma infinita, colapsando la
red, y por lo tanto evitando cualquier posible preferencia de otro usuario; esto sería un programa
“Peste”. En una red se puede dar un tipo determinado de trabajo que“multitarea”, consiste en que las distintas órdenes (correo, impresiones,
conejo.
La mayoría se autodestruyen una vez que han actuado.
Arturo Hernández Hernández
10
·
Gusanos
No son exactamente virus informáticos, pero se les confunde frecuentemente con ellos, incluso
en algunos casos se ha llegado a utilizar esta denominación como sinónimo de virus. Se dan en
redes, de tal forma que se trasladan de una a otra terminal, se reproducen sólo si es necesario para el
trabajo para el cual sido diseñados. Viajan a través de una red reuniendo información (contraseñas,
direcciones, documentos...); también dejan mensajes, en su mayoría burlones, antes de desaparecer.
No es raro que borren toda clase de vestigio de su paso por la red para no ser detectados por los
operadores de sistema. De hecho, creemos que ya casi no se diseñan.
·
Leapfrog o “Rana”
Es un programa parecido al
de acceso a una cuenta y el nombre de usuario, se dedica a recopilar información reservada. No
tiene porque destruirse luego.
Gusano que a partir de una serie de datos conocidos, como la clave
·
Máscara
Este programa asume la identidad de un usuario autorizado y realiza así las mismas labores del
anterior, en realidad se considera una variante.
·
Mockinbird
Espera en un sistema de forma latente, interceptando las comunicaciones en el proceso de
login
o entrada. En ese momento se mete en la cuenta y comienza a actuar sin interferir en las
operaciones lícitas que se estén realizando.
·
Spoofing
Una variación del anterior, observa lo que hace el usuario y lo repite de forma maliciosa
buscando el bloqueo del sistema.
·
Virus
Básicamente, y sin entrar en más explicaciones, todo aquel programa que modifica
maliciosamente a otro colocando una copia de sí mismo dentro de éste. Existen varias técnicas para
conseguir esto:
a) Stealth
Normalmente un virus realiza cambios al ejecutar su código, así puede ser detectado por un
antivirus. Sin embargo, un virus puede camuflar dichos cambios para evitar la detección; en este
caso el virus debe permanecer residente en memoria. Por supuesto, esto lo convierte en detectable
por otros medios, pero no muy complicados. Un ejemplo claro de este tipo de virus es el veterano
Brain.
sistema originales y, por supuesto, protegidos contra escritura. Asimismo, es recomendable emplear
programas-herramienta originales y protegidos hasta la total erradicación del virus. De todas
Para evitar problemas en la detección conviene utilizar previamente un disco o discos de
Virus informático
11
formas, un
está activo en memoria.
b) Tunnelling
Es una técnica que surgió de los anteriores. Para hacer fácil la explicación, podríamos decir que
el virus averigua los puntos de vigilancia (interrupciones) que controla el antivirus y “pasa”
tranquilamente por delante del sistema de defensa utilizando puntos (llamadas o funciones) no
vigilados. Desde el punto de vista del programador, requiere conocimientos amplios de
ensamblador.
c) Polimórfico
Cuando intentamos acabar con un virus, debemos vigilar todos los posibles lugares donde éste
pueda esconderse. Llamamos a todo programa que cumpla con esta vigilancia “escáner”. Un virus
polimórfico intenta escapar del escáner produciendo variadas copias totalmente operativas de sí
mismo. Un método por ejemplo, es hacer una encriptación del código con una variación de los signos
(leyendo un desplazamiento fijo en la tabla de Ascii). Otro método es producir varias rutinas de
encriptación siendo sólo una visible (descriptor) en algún instante determinado. De hecho, más que un
virus, es una técnica de encriptación. Actualmente, hay polimórficos muy sofisticados. El
Stealth poderoso es difícil de diseñar, pues sólo alcanza su máxima efectividad cuandoTremor
admite casi seis millones de variaciones.
Un virus bastante sofisticado de este tipo es el V2P6 del MSDOS, que varía la secuencia de
instrucciones de sus copias con “basura” a la cabecera del virus (instrucciones de No Operación, o
una instrucción que cargue un registro no usado con un valor arbitrario, mover 0 a A...). Por ello, el
antivirus debe ser capaz de detectar una cadena muy concreta del virus. Existen también los MtE o
compilador de polimórficos. En realidad no es un virus, sino un código que “muta” a otros virus que
pasen por delante de él. Si la computadora está limpia no causa ningún daño.
La aparición de estos virus puso las cosas un poco difíciles a los antivirus entonces existentes,
por la obligatoriedad de ser muy precisos en la detección.
d) Annored
Usan trucos especiales para hacer la búsqueda, desensamblaje y lectura de su código más difícil.
Un buen ejemplo es el virus
e) Companion (spawning)
Algunos no los consideran exactamente como virus, porque no se unen a un código de programa. Se
aprovechan de una particularidad del MS-DOS hacia los ejecutables. En MS-DOS existen tres tipos de
ejecutables: EXE, COM y BAT. Jerárquicamente un BAT se ejecuta con preferencia sobre un COM y
éste sobre un EXE. Así se evitan problemas en caso de que aparezcan, por ejemplo, un WP.COM y un
WP.BAT a la vez. Este tipo de virus, si ve que el programa se llama, por ejemplo, PEPE.EXE, crea un
PEPE.COM dentro del cual va el código maligno. No son muy molestos y para eliminarlos basta con
borrar el archivo del virus.
Whale (Ballena).
Arturo Hernández Hernández
12
2.1 Por las formas en que se manifiestan
¿Pero cómo localizo un virus en mi computadora si las técnicas de ocultamiento son tan avanzadas? A
continuación se explican los síntomas de infección más característicos de un virus:
Las computadoras personales se usan todos los días, a veces durante muchas horas, y los
usuarios llegan a conocerlas íntimamente. Los usuarios están sintonizados con el flujo y reflujo de
determinadas operaciones, reteniendo en el recuerdo la mayoría de éstas. Ellos conocen cuánto
tardan las unidades de disco en almacenar ciertos archivos. Ellos saben cuando las operaciones van
a ir despacio o velozmente. Los usuarios serios reconocen si sus PC´s están funcionando bien. Al
mismo tiempo, los usuarios pueden «sentir» cuando sus computadoras no están corriendo a la par.
Es posible (aunque no es recomendable) identificar a las computadoras infectadas con código de
virus sin recurrir al uso de software sofisticado de protección y detección antivirus, pero los
directores de sistemas y los usuarios finales deben aprender a reconocer los síntomas de aviso de las
infecciones víricas. Los sistemas que muestren algunos de los rasgos listados en la sección
siguiente, deben ser comprobados inmediatamente por diagnosticadores víricos expertos,
especialmente cuando se evidencie más de una peculiaridad o cuando algunas computadoras
muestren síntomas análogos.
Indicios de aviso de los virus informáticos
La siguiente es una lista de indicios comunes de avisos de virus informáticos:
·
Las operaciones informáticas parecen lentas.
·
Los programas tardan más de lo normal en cargarse.
·
Los programas acceden a múltiples unidades de discos cuando antes no lo hacían.
·
mayor.
Los programas dirigen los accesos a los discos en tiempos inusuales o con una frecuencia
·
El número de sectores dañados de disco aumenta constantemente.
·
(residentes en memoria) de origen desconocido.
Los mapas de memoria (como la orden MEM del DOS 4.0) revelan nuevos programas TSR
·
motivo.
Programas que normalmente se comportan bien, funcionan de modo anormal o caen sin
·
Los programas encuentran errores donde antes no los encontraban.
·
misteriosamente y nadie reconoce haberlos instalado. Por ejemplo, agujeros negros, pelotas
que rebotan, caras sonrientes o caracteres alfabéticos «lluviosos» empiezan a aparecer en la
pantalla.
Programas aparentemente benignos, de «travesuras» divertidas se materializan
·
Desaparecen archivos misteriosamente.
·
Los archivos son sustituidos por objetos de origen desconocido o por datos falseados.
Virus informático
13
·
sido modificados por los usuarios.
Nombres, extensiones, fechas, atributos o datos cambian en archivos o directorios que no han
·
Aparecen archivos de datos o directorios de origen desconocido.
·
(archivos). Los cambios detectados en objetos dinámicos (archivos que se espera que
cambien periódicamente, como archivos de datos de documento y de hojas de cálculo) no son
necesariamente indicios de actividades víricas.
CHECKUP (u otro sistema de detección de virus) detecta cambios en objetos estáticos
·
aumentan el tamaño de un archivo ejecutable cuando lo infectan. También puede pasar, si el
virus no ha sido programado por un experto (típico principiante con aires de hacker), que
cambien la fecha del archivo a la fecha de infección.
Cambios en las características de los archivos ejecutables. Casi todos los virus de archivo,
·
cuales al ser pulsadas, realizan acciones perniciosas en la computadora. También suele ser
común el cambio de la configuración de las teclas, por la del país donde se programó el virus.
Aparición de anomalías en el teclado. Existen algunos virus que definen ciertas teclas, las
·
notificar al usuario su presencia en la computadora. Cualquier desajuste de la pantalla o de
los caracteres de ésta, nos puede notificar la presencia de un virus.
Aparición de anomalías en el video. Muchos de los virus eligen el sistema de video para
·
archivos para adaptarlos a su presencia, al igual que las aplicaciones de software.
Se modifican el Autoexec.bat y el Config.sys. En ciertas ocasiones, los virus modifican dichos
·
debe situarse obligatoriamente en la memoria RAM, y por ello ocupa una porción de ella. Por
tanto, el tamaño útil operativo de la memoria se reduce en la misma cuantía que tiene el
código del virus.
Reducción del tamaño de la memoria RAM. Un virus, cuando entra en una computadora,
·
casi todos los hermosos virus. Depende de la maldad del virus si se borran con la orden DEL,
o mediante el uso de caracteres basura, lo que hace imposible su recuperación.
Desaparición de datos. Esto es consecuencia de la acción destructiva para la que son creados
·
camuflarse, lo que hace que aparezcan como dañados o inoperativos.
El disco duro aparece con sectores en mal estado. Algunos virus usan sectores del disco para
·
sistema operativo produzca errores inusuales, cosa que debe alertar al usuario.
Aparición de mensajes de error inesperados. Lo más normal, es que en ciertos virus, el
·
continua, es normal pensar que esta acción se lleve a cabo sobre archivos del disco, lo que
lleva a una disminución del espacio disponible por el usuario.
Reducción del espacio disponible del disco. Ya que los virus se van duplicando de manera
2.2 Por las zonas que afectan
Y ahora explicaremos un poco las distintas clases de virus desde el punto de vista del lugar donde
atacan:
·
BSI
Arturo Hernández Hernández
14
Contaminador del Sector de Arranque (Boot Sector Infector)
virus de PC, los más peligrosos y por regla general los que más fácilmente se destruyen una vez
detectados.
Cuando deseamos poner a funcionar nuestra computadora, bien desde el disco duro o desde el
disquete de arranque, la computadora debe seguir una serie de instrucciones vitales para su
funcionamiento, que obviamente se ejecutan en primer lugar. Algunas funciones, por su complejidad
o dificultad de ejecución, se almacenan en la BIOS (Basic Input/Output System), sucediendo que
muchos usuarios ni siquiera saben que existen estos procesos.
Todos estos archivos le indican a la computadora cómo realizar las funciones rutinarias.
El lugar donde se almacenan todas estas instrucciones se conoce como sector de arranque del disco
(Boot). Un virus que altere o infecte de algún modo el sector de arranque será llamado BSI.
Infectar un sector de arranque ofrece múltiples ventajas para un virus-maker. Por una parte, el
virus controlará el sistema de forma total porque se carga con el mismo sistema al conectar la
computadora. De este modo el virus será lo primero que se ejecute antes que cualquier otro
software. Pueden permanecer residentes en todo momento e incluso impedir el típico reseteado con
CTRL-ALT-DEL. También, pueden falsear el tamaño de los archivos infectados para que un
antivirus comparador no detecte cambios.
Un viejo truco para borrar un virus de este tipo cuando no se tiene una vacuna a mano es el
siguiente: utilice unas utilidades Norton o unas Pctools o un programa Tool que le permita editar de
alguna forma el Boot del disquete. En un disco limpio la parte final del Boot presenta (visible en
Ascii) una serie de frases de error. Si el disco está infectado, estas frases no aparecerán, estando
sustituidas por toda una serie de signos Ascii raros. Borre “a pelo” el Boot sustituyéndolo por ceros y
grabe el cambio. Se supone que esto lo ha hecho arrancando antes de ejecutar el programa Tool desde
una disquetera con un DOS limpio y protegido contra escritura. Una vez grabado el cambio, el virus
habrá desaparecido, pero usted no tendrá Boot.
De lo anterior se deduce que este método nunca debe ser utilizado en disquetes de sistema
(bootables). La falta de Boot en un disco de datos no suele ser peligrosa, y en último caso puede
reponer un Boot limpio utilizando por ejemplo el Doctor Disco de las utilerías Norton, o cualquier
programa similar.
En caso de doble disquetera, otro truco es (previa arrancada como describimos anteriormente),
colocar el disco infectado en la unidad B: y desde A: con el disco del sistema operativo, ejecutar la
orden SYS B: con lo que el virus será borrado al crearse un nuevo Boot. De todas formas el método
anterior es más efectivo, sólo que éste sí puede usarse con discos bootables.
. Son los más comunes entre los
·
CPI
Contaminador del procesador de órdenes. (C.P u's Infector).
sistema operativo DOS (MS-DOS, IBM-DOS, PC-DOS...). Básicamente los archivos de DOS
pueden ser divididos en dos categorías. Tenemos archivos de apoyo al sistema de bajo nivel y
archivos de programas de interfaz de usuario de alto nivel.
Existen múltiples versiones del
Virus informático
15
También tenemos una serie de archivos “ocultos” que se llaman IBMDOS.COM e
IBMBIO.COM o bien IO.SYS y MSDOS.SYS según la versión de DOS. Los más comunes son los
dos primeros. Estos archivos están protegidos contra escritura para evitar manipulaciones y
permanecen ocultos, de tal forma que no aparecen ante una orden de directorio. Estos archivos sólo
se activan ante la BIOS incorporada a la computadora.
Los programas centrales del procesador de órdenes se encuentran en el archivo
COMMAND.COM. Este archivo se carga inmediatamente después del proceso de arranque. El
COMMAND.COM interpreta las órdenes del usuario y avisa cuando no lo entiende. Todo virus que
infecte archivos de órdenes centrales como el COMMAND.COM se denomina CPI's.
Para un virus-maker esto ofrece una gran ventaja, pues muchas de las órdenes que el usuario
introduce en la computadora, deben pasar por el COMMAND.COM. Así, el contaminador posee un
total dominio de todos los procesos que se vayan produciendo. No es pues nada raro que esta clase
de virus se extienda con una enorme rapidez por el disco duro. Tampoco es extraño que un virus
tipo BSI sea al mismo tiempo CPI. De todas formas un CPI se instala un poco después que un BSI,
exactamente al final del proceso de arranque. Esto le hace perder una mínima parte de poder, pero
no por ello deja de ser peligroso.
Un método para acabar con un CPI sería (previo arranque con sistema limpio), la sustitución
inmediata del COMMAND.COM infectado del disco duro, teniendo cuidado de que el nuevo
COMMAND.COM sea de la misma versión que el antiguo. Este truco sólo funciona nada más al
aparecer la infección, pues como hemos dicho, estos virus se extienden con rapidez, y por lo tanto una
vez extendido, es más difícil erradicarlos que solo cambiar el COMMAND.COM.
·
GPI
Contaminador de Propósito General (General Purpose Infector)
precisamente para infectar un determinado tipo de archivo de sistema, aunque nada impide que
puedan hacerlo. Como ya hemos sugerido antes, no es raro que un virus tenga varias de esas
propiedades. En algunos casos un GPI puede estar limitado a un tipo de archivo, como por ejemplo
EXE y COM, que al ser ejecutables resultan más propicios. También son rápidos en la propagación.
Una vez extendidos resultan muy difíciles de erradicar, y el mejor método en este caso es una
vacuna.
. Estos virus no están diseñados
·
MPL
Contaminador Multipropósito (Multi Purpose Infector)
características de los tres anteriores, resultando muy peligrosos.
Infectan en primer lugar los sectores de arranque y procesadores de órdenes, extendiéndose luego a
archivos ejecutables, aprovechando en principio los ubicados en la memoria RAM (por haber sido
cargados en el AUTOEXEC.BAT o en el CONFIG.SYS). Al tener varias propiedades aumenta su
vida operativa. Al igual que el anterior, se impone una buena vacuna.
. Estos virus integran todas las
·
FSI
Arturo Hernández Hernández
16
Contaminador de Archivo Específico (File Specific Infector)
restringen las infecciones a archivos determinados. Podríamos distinguir dos tipos: los producidos
por venganza (el típico empleado despedido que deja uno de éstos para fastidiar a la compañía), o
bien alguien con una fijación por un lenguaje de programación (caso del virus
suele producir un pequeño retraso cuando el virus busca a su víctima pero nadie suele darse cuenta,
una vez localizada ésta, la borran o le destrozan el formato.
. De forma similar que los CPIDbase, Pascal...). Se
·
MRI
Contaminador Residente en Memoria (Memory Resident Infector).
englobar como MRI, puesto que ambos permanecen activos en la memoria mientras se ejecutan. Pueden
disfrutar de algunas de las ventajas de los CPI y BSI, ya que siempre están cargados y activos
interfiriendo en todas las operaciones informáticas. Las salidas de pantalla e impresión pueden ser
interceptadas, así como los archivos de datos, que resultan corrompidos.
Los BSI y CPI se pueden
2.3 Por su grado de mutación
Podemos distinguir varios tipos de virus polimórficos, por su tipo de encriptación:
a) Oligomórfico que lleva un número fijo de descriptores, como por ejemplo el Whale (30
descriptores).
b) Los que utilizan un descriptor con registros variables, como el Flip.2153.A.
c) Polimórficos totales o puros, como el Tremor.
d) Virus permutantes, que sólo varían algún signo de la cadena, como el Fly.
e) Virus generados por el sistema de encriptación NukE (NED), como el Tester.
f) Virus basados en el Dark Avenger (MtE), como el CoffeShop.
g) Virus basados en el sistema de encriptación Trident (TPE), como el Girafe.
h) Virus basados en el Dark Slayer (DSME), como el Teacher.
i) Virus basados en el Dark Angel (DAME), como el Trigger.
j) Virus basados en el sistema Mark Ludwig (VME), como el Demo

1.1 Cómo trabaja un virus
Convierte otros objetos ejecutables en clónicos víricos.

8 comentarios - Virus

Johnson134
el famoso copy paste!! PELOTUDO, CUANDO MIERDA VAS A HACER UN BUEN POST!!!!!???????? CRAPERO!!!! DENUNCIADO
kity0213 -1
Johnson134 dijo:el famoso copy paste!! PELOTUDO, CUANDO MIERDA VAS A HACER UN BUEN POST!!!!!???????? CRAPERO!!!! DENUNCIADO
Es su primer post TARADO
Bulgarcito_13
@Kity.. echale ganas yonomas soy un miron, visita los post del Jhonson y seguro que le daras mas de diez puntitos... pero en la frente con picahielo jajajaja bromita
micromx -1
Johnson134 dijo:el famoso copy paste!! PELOTUDO, CUANDO MIERDA VAS A HACER UN BUEN POST!!!!!???????? CRAPERO!!!! DENUNCIADO

che zoquete,que no puede hacer copy paste por lo menos en su primer post?

seguro que habras echo lo mismo salame
anda con tus tonterias a la luna
dimensionfan
Eso de que este fragmento del libro "Virus informáticos" de Arturo Hernández Hernández es un texto de tu autoría o una recopilación de varias fuentes, no se lo cree ni tu madre. No te quieras hacer pasar por un inocente novato, tienes más de 7 meses en taringa y tienes 36 años de edad, suficiente edad y tiempo aquí como para tener una noción de las reglas y de lo que es el plagio.

Está bien que la gente quiera compartir libros y toda clase de redacción, pero siempre que lo hacen procuran hacer un escrito DE SU AUTORÍA, bien estructurado y referenciado, o si no un copy & paste de otro texto ya escrito pero siempre CITANDO A SUS AUTORES ORIGINALES cuando el texto no es de la autoría del taringuero que hizo el post.

Compartir no daña a nadie, pero querer tomar el crédito del trabajo que otro hizo partiendose el lomo leyendo inumerables libros, yendo a conferencias, horas y horas escribiendo como para que un tipo sin escrúpulos (y quizá sin estudios a juzgar por tu ortografía) venga acá a decir: "El contenido del post es de mi autoría, y/o, es un recopilación de distintas fuentes y me partí el lomo usando el corrector de Word!" no tiene nombre, y es una enorme falta de respeto para el creador del contenido.

Mira que tan mal copy & paster eres que ni siquiera lo hiciste bien, no te tomaste ni siquiera la molestia de acomodarlo bien, enumerarlo, justificar el texto, poner títulos y subtítulos con negritas y diferentes tamaños de letra, USAR PÁRRAFOS, y sobre todo, el nombre del autor original del texto aparece constantemente sobre tu texto. ¿No crees que habría sido mejor que hicieras un breve post acerca del libro, hablando de lo que te gustó del libro, e incluso poner un fragmento más pequeño que este y luego que compartieras el libro con nosotros?, eso hubiera sido más respetable independientemente de las faltas de ortografía y lo feo del post que poner un copy & paste a la brava diciendo que es de "tu autoría"

Para que no vean que es cuento mío, aquí tienen el libro: http://www.mediafire.com/?wm0b12abucwybqb
este fragmento es copy & paste desde la página 6 hasta la página 21 del PDF. ¿Contenido del post de tu autoría y recopilación de distintas fuentes?