Aqu se Mencionan algunas de los sntomas posibles: Reduccin del espacio libre en la memoria RAM: Un virus, al sistema, se sita

a en la memoria RAM, ocupando una porcin de ella. El tamao til y operativo de la memoria se reduce en la misma cuanta que tiene el cdigo de virus. Siempre en el anlisis de una posible infeccin es muy valioso contar con parmetros de comparacin antes y despus de la posible infeccin. Por razones Prcticas casi nadie analiza detalladamente su computadora en condiciones normales y por ello casi nunca se cuentan con patrones antes de una infeccin, pero si es posible analizar estos patrones al arrancar una computadora con la posible infeccin y analizar la memoria arrancando el sistema desde un disco libre de infeccin. Las operaciones rutinarias se realizan con ms lentitud: Obviamente los virus son programas, y como tales requieren de recursos del sistema para funcionar y su ejecucin, ms al ser repetitiva, llevan a un enlentecimiento global en las operaciones. Aparicin de programas residentes en memoria desconocidos: El cdigo viral, como ya dijimos, ocupa parte de la RAM y debe quedar colgado de la memoria para activarse cuando sea necesario. Esa porcin de cdigo que queda en RAM, se llama residente y con algn utilitario que analice la RAM puede ser descubierto. Aqu tambin es valioso comparar antes y despus de la infeccin o arrancando desde un disco limpio. Tiempos de carga mayores: Corresponde al enlentecimiento global del sistema, en el cual todas las operaciones se demoran ms de lo habitual. Aparicin de mensajes de error no comunes: En mayor o menor medida, todos los virus, al igual que programas residentes comunes, tienen una tendencia a colisionar con otras aplicaciones. Aplique aqu tambin el anlisis pre/ post-infeccin. Fallos en la ejecucin de los programas: Programas que normalmente funcionaban bien, comienzan a fallar y generar errores durante la sesin.

TCNICAS DE PROGRAMACIN DE VIRUS Los programas de virus utilizaban diversas tcnicas de programacin que tienen por fin ocultar a los ojos del usuario la presencia del virus, favorecer su reproduccin y por ello a menudo tambin tienden a ocultarse de los antivirus. A continuacin se citan las tcnicas ms conocidas: Stealth: Tcnicas de ocultacin utilizada para esconder los signos visibles de la infeccin que podran delatar su presencia. Sus caractersticas son: o Mantienen la fecha original del archivo. o Evitar que se muestren los errores de escritura cuando el virus intenta escribir en discos protegidos. o Restar el tamao del virus a los archivos infectados cuando se un DIR. o Modificar directamente la FAT. o Modificar la tabla de vectores de interrupcin (IVT). o Se instala en los buffers del DOS. o Se instala por encima de los 640 KB normales del DOS. o Soportan la re inicializacin del sistema por teclado. Encriptacin o auto encriptacin: Tcnica de ocultacin que permite la encriptacin del cdigo del virus y que tienen por fin enmascaras su cdigo viral y sus acciones en el sistema. Por este mtodo los virus generan un cdigo que dificulta la deteccin por los antivirus. Anti- debuggers: Es una tcnica de proteccin que tiende a evitar ser desensamblado para dificultar su anlisis, paso necesario para generar una vacuna para el antivirus. Polimorfismo: Es una tcnica que impide su deteccin, por la cual varan el mtodo de encriptacin de copia en copia, obligando a los antivirus a usar tcnicas heursticas. Debido a que el virus cambia en cada infeccin es imposible localizarlo buscndolo por cadenas de cdigos, tal cual hace la tcnica de escaneo. Esto se consigue utilizando un algoritmo de encriptacin que de todos modos, no puede codificar todo el cdigo del virus. Una parte del cdigo del virus queda inmutable y es que resulta vulnerable y propicio para ser detectado por los antivirus. La forma ms utilizada para la codificacin es la operacin lgica XOR, debido a que se reversible: En cada operacin se hace necesaria una clave, pero por lo general, usar una clave distinta en cada infeccin, por lo que se obtienen

una codificacin tambin distinta. Otra forma muy usada para generar un virus polimrfico consiste en sumar un nmero fijo a cada byte del cdigo vrico. Tunneling: Es una tcnica de evasin que tiende a burlar los mdulos residentes de los antivirus mediante punteros directos a los vectores de interrupcin. Es altamente compleja, ya que requiere colocar al procesador en modo paso a paso, de tal marera que al ejecutarse cada instruccin, se produce al interrupcin 1, para la cual el virus ha colocado una ISR (interrupt Service Routine), ejecutndose instrucciones y comprobndose si se ha llegado a donde se quera hasta recorrer toda la cadena de ISR que halla colocando el parche al final de la cadena.

A B C

D E F

G H I

J K L

Residente en Memoria o TSR: Algunos virus permanecen en la memoria de las computadoras para mantener el control de todas actividades del sistema y contaminar todos los archivos que puedan. A travs de esta tcnica permanecen en memoria la computadora permanezca encendida. Para logra este fin, una de las primeras cosas que hacen estos virus, es contaminar los ficheros de arranque del sistema para asegurar su propia ejecucin al ser encendido el equipo, permaneciendo siempre cargado en RAM.