Historia

En 1949, el matemtico estadounidense de origen hngaro John von Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), plante la posibilidad terica de que un programa informtico se reprodujera. Esta teora se comprob experimentalmente en la dcada de 1950 en los Laboratorios Bell, donde se desarroll un juego llamado Core Wars en el que los jugadores creaban minsculos programas informticos que atacaban y borraban el sistema del oponente e intentaban propagarse a travs de l. En 1983, el ingeniero elctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acu el trmino de "virus" para describir un programa informtico que se reproduce a s mismo. En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de grficos llamado EGABTR y un juego llamado NUKE-LA. Pronto les sigui un sinnmero de virus cada vez ms complejos. El virus llamado Brain apareci en 1986, y en 1987 se haba extendido por todo el mundo. En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruz Estados Unidos de un da para otro a travs de una red informtica. El virus Dark Avenger, el primer infector rpido, apareci en 1989, seguido por el primer virus polimrfico en 1990. En 1995 se cre el primer virus de lenguaje de macros, WinWord Concept. Actualmente, con la adopcin de Internet en todas la universidades, empresas, y en muchos hogares, el contagio por virus comienza a ser algo muy habitual. Con la consecuencia que la mayora de los virus que se transmiten hoy en da son gusanos que a su vez llevan algn virus de otro tipo, y que gracias al correo electrnico se propagan fcilmente por Internet.

Concepto de virus informtico

Un virus informtico es una amenaza programada, es decir, es un pequeo programa escrito intencionadamente para instalarse en el ordenador de un usuario sin el conocimiento o el permiso de este. Decimos que es un programa parsito porque el programa ataca a los archivos o al sector de "arranque" y se replica a s mismo para continuar su propagacin. Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daos que pueden afectar a los

sistemas. No obstante, absolutamente todos cumplen el mismo objetivo: PROPAGARSE. En un virus informtico, podemos distinguir 3 mdulos:

Mdulo de reproduccin - Es el encargado de manejar las rutinas de "parasitacin" de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse de forma oculta intentando pasar desapercibido ante el usuario. Pudiendo, de esta forma, tomar control del sistema e infectar otras entidades permitiendo la posibilidad de traslado de un ordenador a otro a travs de algunos de estos archivos. Mdulo de ataque - Este mdulo es optativo. En caso de estar presente es el encargado de manejar las rutinas de dao adicional del virus. Por ejemplo, algunos virus, adems de los procesos dainos que realizan, poseen un mdulo de ataque que por ejemplo se activa un determinado da. La activacin de este mdulo, implica la ejecucin de una rutina que implica daos dispares en nuestro ordenador. Mdulo de defensa - Este mdulo, como su nombre indica tiene la misin de proteger al virus. Su presencia en la estructura del virus es optativa, al igual que el mdulo de ataque. Sus rutinas apuntan a evitar todo aquello que provoque la eliminacin del virus y retardar, en todo lo posible, su deteccin.

Ejemplos de virus y sus acciones

Happy99: Programa enviado por mail, abre una ventana con fuegos artificiales. Manipula la conectividad con Internet. Melissa: Macrovirus de Word. Se enva a s mismo por mail. Daa todos los archivos .doc Chernobyl (W95.CIH): Borra el primer Mb del HD, donde se encuentra la FAT. Obliga a formatear el HD. Adems intenta rescribir el BIOS de la PC lo que obliga a cambiar el mother. Se activa el 26 de abril. Michelangelo: Virus de boot sector. Se activa el 6 de marzo. Sobre escribe la FAT, dejando el disco inutilizable. WinWord.Concept: Macrovirus que infecta la plantilla Normal.dot. Hace aparecer mensajes en la pantalla y mal funcionamiento del Word. FormatC: Troyano que infecta el Word, al abrir un archivo infectado formatea el disco rgido. Back Orifice2000 (BO2K): Funcionalmente es un virus y sirve para el robo de informacin. Permite tomar control remoto de la PC o del servidor infectados, con la posibilidad de robar informacin y alterar datos. VBS/Bubbleboy: Troyano que se ejecuta sin necesidad de abrir un attachment, y se activa inmediatamente despus de que el usuario abra el mail. No genera problemas serios.

Sircam, Badtrans.b, Platan.

Por que se hace un virus ? Un virus es un ataque intencionado que puede tener muy diversas motivaciones. Entre ellas podemos citar las siguientes:

Deseo de ser admirado, aunque sea ocultamente. Este tipo de autor se siente satisfecho por el hecho de ver su marca personal en la extensin del virus creado. Deseo de experimentacin. De hecho, los hackers pueden ser considerados como personas interesadas en conocer, experimentar y explotar todas las caractersticas ofrecidas por los ordenadores. Deseo de producir dao a una entidad o persona especfica. Por ejemplo a una empresa de la que ha sido despedido o a los ordenadores que utilizan una herramienta antivirus en particular. Motivaciones polticas o terroristas. Se pueden crear ciertos virus con intencin de infectar instalaciones de ciertos pases o de activarse en das significativos. Como medio de propaganda o difusin de sus quejas o ideas radicales.

Tipos de Virus Informticos segn su destino de infeccin

Infectores de archivos ejecutables
o o

Afectan archivos de extensin EXE, COM, BAT, SYS, PIF, DLL, DRV Infectores directos

El programa infectado tiene que estar ejecutndose para que el virus pueda funcionar (seguir infectando y ejecutar sus acciones destructivas) Infectores del sector de arranque (boot) Tanto los discos rgidos como los disquetes contienen un Sector de Arranque, el cual contiene informacin especfica relativa al formato del disco y los datos almacenados en l. Adems, contiene un pequeo programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rgido, infectando luego cada disquete utilizado en el PC. Es importante destacar que como cada disco

posee un sector de arranque, es posible infectar el PC con un disquete que contenga solo datos..... Virus Multi Particin Bajo este nombre se engloban los virus que utilizan los dos mtodos anteriores. Es decir, pueden simultneamente infectar archivos, sectores boot de arranque y tablas FAT. Infectores residentes en memoria El programa infectado no necesita estar ejecutndose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destruccin Macrovirus Son los virus mas populares de la actualidad. No se transmiten a travs de archivos ejecutables, sino a travs de los documentos de las aplicaciones que poseen algn tipo de lenguaje de macros. Entre ellas encontramos todas las pertenecientes al paquete Office (Word, Excel, Power Point, Access) y tambin el Corel Draw, o AutoCAD. Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos, de forma que sean infectados todos los archivos que se abran o creen en el futuro. Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuracin del sistema operativo, borrar archivos, enviar e-mails, etc. De Actives Agents y Java Applets En 1997, aparecen los Java applets y Actives controls. Estos pequeos programas se graban en el disco rgido del usuario cuando est conectado a Internet y se ejecutan cuando la pgina web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rgido a travs de una conexin www de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, enven informacin a un sitio web, etc. De HTML Un mecanismo de infeccin ms eficiente que el de los Java applets y Actives controls apareci a fines de 1998 con los virus que incluyen su cdigo en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una pgina web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Win98, 2000 y de las ltimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos. Caballos de Troya Los troyanos son programas que imitan programas tiles o ejecutan algn tipo de

accin aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el cdigo daino. Los troyanos no cumplen con la funcin de autorreproduccin, sino que generalmente son diseados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusin del virus. (Generalmente son enviados por e-mail)

Tipos de Virus Informticos segn sus acciones y/o modo de activacin

Bombas Se denominan as a los virus que ejecutan su accin daina como si fuesen una bomba. Esto significa que se activan segundos despus de verse el sistema infectado o despus de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condicin lgica del equipo. (bombas lgicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lgicas son los virus que se activan cuando al disco rgido solo le queda el 10% sin uso, una secuencia de teclas o comandos, etc. Ejemplos de este tipo de programas son virus como Viernes 13 o el virus Miguel Angel Camaleones Son una variedad de virus similares a los caballos de Troya que actan como otros programas parecidos, en los que el usuario confa, mientras que en realidad estn haciendo algn tipo de dao. Cuando estn correctamente programados, los camaleones pueden realizar todas las funciones de los programas legtimos a los que sustituyen (actan como programas de demostracin de productos, los cuales son simulaciones de programas reales). Un software camalen podra, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algn archivo los diferentes logins y password para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camalen. Reproductores Los reproductores (tambin conocidos como conejos-rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema. La nica funcin de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propsito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal.

Gusanos (Worms) Los gusanos utilizan las redes de comunicaciones para expandirse de sistema en sistema. Es decir, una vez que un gusano entra a un sistema examina las tablas de ruta, correo u otra informacin sobre otros sistemas, a fin de copiarse en todos aquellos sistemas sobre los cuales encontr informacin. Este mtodo de propagacin presenta un crecimiento exponencial con lo que puede infectar en muy corto tiempo a una red completa. Existen bsicamente 3 mtodos de propagacin en los gusanos: 1 - Correo electrnico - El gusano enva una copia de s mismo a todos los usuarios que aparecen en las libretas de direcciones que encuentra en el ordenador dnde se ha instalado. 2 - Mecanismos basados en RPC (Remote Procedure Call) - El gusano ejecuta una copia de s mismo en todos los sistemas que aparecen en la tabla de rutas(rcopy y rexecute). 3 - Mecanismos basados en RLOGIN - El gusano se conecta como usuario en otros sistemas y una vez en ellos, se copia y ejecuta de un sistema a otro. Backdoors Son tambin conocidos como herramientas de administracin remotas ocultas. Son programas que permiten controlar remotamente el PC infectado. Generalmente son distribuidos como troyanos. Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningn tipo de mensaje o consulta al usuario. Incluso no se le v en la lista de programas activos. Los Backdoors permiten al autor tomar total control del PC infectado y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc....

Tcnicas de programacin
Apoyados en la capacidad de evolucin dada por sus programadores, los nuevos virus nacen con el conocimiento de las tcnicas utilizadas por las herramientas antivirus actuales y sabiendo cuales son sus puntos dbiles. En base a ello utilizan tcnicas cada vez ms complejas para ocultarse y evitar ser detectados. Algunos de los mtodos de ocultacin ms utilizados son los siguientes:

Stealth (Ocultamiento) El ocultamiento o stealth consiste en esconder los signos visibles de la infeccin que puedan delatar la presencia del virus en el sistema. Se trata de evitar todos los sntomas que indican la presencia de un virus.

El signo fundamental de infeccin es no obstante la modificacin del fichero infectado. Una tcnica de camuflaje usada por un virus residente puede ser la siguiente: - Interceptar el servicio de lectura de ficheros. - Cuando un programa desea analizar un fichero infectado, se le devuelve el contenido original del mismo antes de la infeccin. Tunneling (Sobrepasamiento) El sobrepasamiento o tunneling consiste en acceder directamente a los servicios del sistema a travs de sus direcciones originales, sin pasar por el control de otros programas residentes, incluyendo el propio sistema operativo o cualquier buscador o vacuna residente. Requiere una programacin compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instruccin se produce la interrupcin 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupcin y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quera hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena. Armouring o antidebuggers Un debugger es un programa que permite descompilar programas ejecutables y mostrar parte de su cdigo en lenguaje original. Algunos virus utilizan diversas tcnicas para evitar ser desensamblados y as impedir su anlisis para la fabricacin del antivirus correspondiente. Polimorfismo o automutacin Es una tcnica que consiste en cambiar el mtodo de encriptacin de generacin en generacin, es decir, que entre distintos ejemplares del mismo virus no existen coincidencias ni siquiera en la parte del virus que se encarga del descifrado del resto del virus. Esto obliga a los antivirus a usar tcnicas heursticas ya que como el virus cambia en cada infeccin es imposible localizarlo buscndolo por cadenas de cdigo. Esto se consigue utilizando un algoritmo de encriptacin que pone las cosas muy difciles a los antivirus. No obstante no se puede codificar todo el cdigo del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte ms vulnerable al antivirus. La forma ms utilizada para la codificacin es la operacin lgica XOR. Esto es debido que esta operacin es reversible 7 XOR 9 = 14

14 XOR 9 = 7 En este caso la clave es el nmero 9, pero utilizando una clave distinta en cada infeccin se obtiene una codificacin tambin distinta. Otra forma tambin muy utilizada consiste en sumar un numero fijo a cada byte del cdigo vrico. TSR Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecucin. Los virus utilizan esta tcnica para mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido. Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando se vuelva a arrancar la computadora volver a ser cargado en memoria.

Tcticas antivricas

En primer lugar hay que comentar las formas ms comunes de propagacin de los virus:

Disquetes u otro medio de almacenamiento removible. Software pirata en disquetes o CDs. Redes de computadoras. Mensajes de correo electrnico. Software bajado de Internet. Discos de demostracin y pruebas gratuitos.

Y en segundo lugar, comentar los sntomas ms usuales que nos indican la presencia de un virus:

Reduccin del espacio libre en la memoria o disco duro. Un virus, cuando entra en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por ello ocupa una porcin de ella. Por tanto, el tamao til operativo de la memoria se reduce en la misma cuanta que tiene el cdigo del virus. Aparicin de programas residentes en memoria desconocidos.

Fallos en la ejecucin de los programas. Frecuentes cadas del sistema operativo. Tiempos de carga mayores. Aparicin de mensajes de error no comunes. Las operaciones rutinarias se realizan con mas lentitud. Actividad y comportamientos inusuales de la pantalla. Muchos de los virus eligen el sistema de vdeo para notificar al usuario su presencia en el ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos puede notificar la presencia de un virus. El disco duro aparece con sectores en mal estado. Algunos virus usan sectores del disco para camuflarse, lo que hace que aparezcan como daados o inoperativos. Cambios en las caractersticas de los ficheros ejecutables. Casi todos los virus de fichero, aumentan el tamao de un fichero ejecutable cuando lo infectan. Tambin puede pasar, si el virus no ha sido programado por un experto, que cambien la fecha del fichero a la fecha de infeccin. Aparicin de anomalas en el teclado. Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan acciones perniciosas en el ordenador. Tambin suele ser comn el cambio de la configuracin de las teclas, por la del pas donde se programo el virus.

Preparacin y prevencin Los usuarios pueden prepararse frente a una infeccin viral creando regularmente copias de seguridad del software original legtimo y de los ficheros de datos, para poder recuperar el sistema informtico en caso necesario. Hoy en da casi todo el mundo posee una grabadora de CD's, por lo que hacerse una copia de seguridad del software del sistema operativo es muy sencillo y barato, adems al no poder volverse a escribir en el disco, ningn virus podr sobrescribir en l. Las infecciones virales pueden prevenirse obteniendo los programas de fuentes legtimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible. Deteccin de virus Para detectar la presencia de un virus pueden emplearse varios tipos de programas antivricos. Los programas de rastreo pueden reconocer las caractersticas del cdigo informtico de un virus y buscar estas caractersticas en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados peridicamente para resultar eficaces. Algunos programas de rastreo buscan caractersticas habituales de los programas virales; suelen ser menos fiables.

Los nicos programas que detectan todos los virus son los de comprobacin de suma, que emplean clculos matemticos para comparar el estado de los programas ejecutables antes y despus de ejecutarse. Si la suma de comprobacin no cambia, el sistema no est infectado. Los programas de comprobacin de suma, sin embargo, slo pueden detectar una infeccin despus de que se produzca. Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobrescritura de ficheros informticos o el formateo del disco duro de la computadora. Los programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecucin de un programa. Dentro del caparazn de integridad se efecta automticamente una comprobacin de suma, y si se detectan programas infectados no se permite que se ejecuten. Contencin y recuperacin Una vez detectada una infeccin viral, sta puede contenerse aislando inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y empleando slo discos protegidos contra escritura. Para que un sistema informtico se recupere de una infeccin viral, primero hay que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a veces los resultados no son satisfactorios. Se obtienen resultados ms fiables desconectando la computadora infectada, arrancndola de nuevo desde un disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyndolos por copias de seguridad de ficheros legtimos y borrando los virus que pueda haber en el sector de arranque inicial.

Los virus en Internet

El gran crecimiento que ha tenido Internet en estos ltimos aos ha hecho que ste sea uno de los medios de propagacin de virus ms habitual. Generalmente, se piensa que el peligro de Internet consiste en que se introduzca un virus en el sistema conectado a la red, y efectivamente se contagie un PC o un servidor; pero no es as, la mayor parte de los peligros que acechan a los internautas se disfrazan como Caballos de Troya, los cuales pueden robar informacin privada del usuario infectado.

Hay muy diversas formas de contagio a travs de Internet. Muchas pginas de Internet permiten la descarga de programas y archivos a los ordenadores de los internautas, con la posibilidad de que estos archivos estn infectados con virus. Tambin gracias a Internet es posible intercambiar informacin y conversar en tiempo real sobre temas muy diversos mediante los grupos de noticias y los chats, respectivamente. Los grupos de noticias o news, como no, son listas de correo y usan su propio sistema de transmisin por Internet (NNTP). Ambos sistemas, adems de permitir la comunicacin con otras personas, tambin facilitan la transferencia de archivos. Aqu es donde hay que tener especial cuidado y aceptar slo lo que llegue de un remitente conocido y de confianza. Pero el correo electrnico es el medio de transmisin preferido por los virus, por lo que hay que tener especial cuidado en su utilizacin. Cualquier correo recibido puede contener virus aunque no lleve un fichero adjunto (attachment). Adems, en el caso que lo llevase no es necesario ejecutar el archivo adjunto de un mensaje de correo para ser infectado; en algunos sistemas basta nicamente con abrir el mensaje, o visualizarlo mediante la vista previa. Para prevenir esto, lo mejor es escnear mediante un buen antivirus, siempre actualizado, todos los mensajes recibidos, incluso los que provengan de alguien conocido, ya que muchos virus utilizan las libretas de direcciones de algunos programas de correo para extenderse por toda la red, sin que el usuario de esa libreta se de cuenta. Un indicativo de posible virus es la existencia en el asunto del mensaje de palabras en un idioma diferente al utilizado normalmente por el remitente. ltimamente, con motivo de las Navidades empiezan a circular e-mails y pequeas aplicaciones grficas en forma de felicitaciones de Pascua o del nuevo ao que, tras un inocente aspecto, pueden contener virus que aprovechan stos das para infectar los equipos de los usuarios desprevenidos. A pesar de no tratarse de una artimaa novedosa, lo cierto es que todos los aos hay usuarios que caen en las "triquiuelas" de cdigos maliciosos "camuflados" en e-mails con textos llenos de buenos deseos. Un claro ejemplo lo constituye el gusano Win32/SKA, ms conocido como Happy99, que intenta engaar al usuario hacindole creer que el mensaje que ha recibido es una felicitacin por el nuevo ao. Otros ejemplos de la amenaza encubierta a la que nos referimos son los virus W32/Navidad.B, VBS/HappyTime, y el descubierto recientemente W32/Reezak.A que es un gusano que utiliza como reclamo una felicitacin navidea, por lo que en Navidades puede llegar a provocar muchas incidencias entre todos los usuarios. Este gusano llega incluido en un fichero denominado Christmas.exe

adjunto a un mensaje de correo electrnico en cuyo asunto de mensaje se indica un "Feliz ao nuevo". Por ltimo, tambin debe tenerse en cuenta que es recomendable tener cuidado al navegar por pginas web de autora dudosa o cuyos contenidos no inspiren confianza, ya que suelen ser aprovechadas para instalar cdigos maliciosos -casi siempre troyanos-, en el ordenador de las personas que las visitan. Son los virus HTML. Estos virus han causado un cierto temor ante la posibilidad de contagio por el mero hecho de navegar por Internet y acceder a una pgina Web en la que se encuentre uno de estos virus en HTML. Realmente, estos virus son muy similares a los virus de Macro de Word, ya que estn construidos en un lenguaje muy similar -en el caso de los virus HTML estn desarrollados en Visual Script- y tienen las mismas caractersticas de replicacin que los de macro. Pero las posibilidades reales de infectarse navegando son limitadas. Estos virus nicamente podran contagiar a los ficheros HTML que estn en el mismo ordenador, nunca a un ordenador remoto. Aqu hay que comentar la Navegacin OFF-LINE, que consiste en dejar un ordenador bajndose informacin y guardndola en cach, para que en un determinado momento los usuarios puedan ir viendo las pginas web en local, con el consiguiente ahorro de tiempo en las conexiones. Al estar todas las pginas en local, si una de ellas tuviera un virus HTML, podra infectar a las dems. En numerosas ocasiones, los programas de correo electrnico se ven obligados a enviar los mensajes en formato HTML para permitir su lectura en otros sistemas que utilizan formatos de texto no compatibles con los del programa que los gener. Al tener una pgina HTML en el ordenador, puede resultar infectada, con el consiguiente peligro de reenviar una infeccin tras leer el correo electrnico.

W32/SirCam

Nombre: W32/SirCam Alias: Sircam, W32/Sircam-A, W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam, BackDoor.SirCam.188, I-Worm.Sircam, W32.Sircam, Win32.SirCam.137216 Tipo: Virus infector de archivos, gusano y caballo de Troya Origen: Mexico Tamao: 137,216 bytes Fecha: 17/07/01 Gravedad: Alta (borra archivos de Windows y filtra informacin del usuario) SirCam, est escrito en Borland Delphi, y con caractersticas de troyano y gusano

de Internet, es capaz de enviarse a si mismo por correo electrnico en distintos mensajes en ingls y espaol, junto a documentos y otros archivos de la mquina infectada, a todos los usuarios de la libreta de direcciones de Windows, as como a todas las direcciones encontradas en los archivos temporales de Internet (cach). Esto encierra adems el peligro de enviar informacin confidencial de la computadora infectada. Posiblemente su alto nivel de propagacin, haya sido favorecida tanto por sus caractersticas (un mensaje en espaol, aunque es capaz adems de enviarse con mensajes en ingls), como tambin que se haya difundido a travs de algunas listas de correo, antes que algn antivirus pudiera detectarlo. Actualmente todos los antivirus lo reconocen correctamente disminuyendo por lo tanto sus posibilidades de propagarse. Para un usuario con cierta experiencia, el hecho de que el archivo adjunto tenga una doble extensin, debera ser suficiente para eliminarlo, sin abrirlo. Sin mencionar que la primera regla que deberamos aprender y divulgar entre todos los usuarios de correo electrnico, es que no debemos abrir jams adjuntos que no solicitamos. SirCam, posee adems algunas caractersticas peligrosas. Modifica el registro de modo que cada vez que se ejecute un archivo .EXE, el gusano toma el control antes. Esto dificulta su remocin del sistema. Tambin puede propagarse a travs de computadoras en red, y posee algunas rutinas que pueden borrar informacin vital de las computadoras infectadas, o bloquear su funcionamiento bajo ciertas circunstancias. El virus puede llegar en un mensaje tanto en espaol como en ingls (de acuerdo al sistema operativo instalado en la mquina infectada que enva el mensaje). El formato de los mensajes puede ser alguno de los siguientes, teniendo como asunto, el mismo nombre del archivo adjunto, pero sin la extensin (la parte en rojo es la parte variable del mensaje, pudiendo ser elegida cualquiera de las cuatro expresiones, mientras que lo que est en azul son las expresiones que siempre aparecen.):

En castellano:
Asunto: [Nombre archivo adjunto sin extensin] Texto: Hola como estas ?

Te mando este archivo para que me des tu punto de vista Espero me puedas ayudar con el archivo que te mando Espero te guste este archivo que te mando

Este es el archivo con la informacin que me pediste

Nos vemos pronto, gracias. Archivo adjunto: [Nombre del adjunto con doble extensin]

En ingls:
Asunto: [Nombre archivo adjunto sin extensin] Texto:

Hi! How are you? I send you this file in order to have your advice I hope you can help me with this file that I send I hope you like the file that I send you This is the file with the information that you ask for See you later. Thanks.
Archivo adjunto: [Nombre del adjunto con doble extensin] Por ejemplo, si el documento fuera CARTA.DOC, el asunto sera CARTA, y el adjunto podra ser: CARTA.DOC.PIF, entre otras combinaciones (ver ms adelante). El tamao puede variar, desde los 137,216 que ocupa el propio gusano, a la cantidad de bytes que le sume el archivo que el virus agrega a su cdigo. La primera extensin (la visible) puede ser .DOC, .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PIF, .PNG, .PS, .ZIP o .XLS. La segunda (no visible si se tiene la configuracin por defecto de Windows), puede ser .BAT, .COM, .EXE, .PIF o .LNK. Si el usuario ejecuta el archivo adjunto a un mensaje infectado, el virus muestra el documento o archivo verdadero, ejecutando la aplicacin asociada (Word o WordPad para .DOC, etc.) al mismo tiempo que se copia en la carpeta protegida que Windows llama "Papelera de reciclaje", una con el nombre del adjunto (sin extensin), y otra como SirC32.exe: C:\RECYCLED\SirC32.exe C:\RECYCLED\[nombre del adjunto recibido] En esta carpeta, permanecer oculto para alguien que desee verlo con el explorador de Windows, a no ser que tenga activa la opcin "Ver archivos ocultos o del sistema".

Luego, modifica la siguiente rama del registro para poder ejecutarse cada vez que alguien (el usuario o una aplicacin) llame a un archivo .EXE: HKCR\exefile\shell\open\command (Predeterminado) = C:\recycled\SirC32.exe "%1" %* Tambin se copia a si mismo al directorio SYSTEM de Windows, con el nombre de SCam32.exe: C:\Windows\System\SCam32.exe Crea tambin el siguiente valor en el registro, a los efectos de cargarse en memoria, cada vez que Windows se reinicia: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Driver32 = C:\WINDOWS\SYSTEM\SCam32.exe Agrega adems esta entrada en el registro, donde guarda informacin que utiliza para su funcionamiento (datos para el envo de los mensajes): HKLM\Software\SirCam FB1B (los nombres de los archivos guardados en C:\Recycled) FB1BA (la direccin IP del SMTP) FB1BB (la direccin e-mail del emisor) FC0 (la cantidad de veces que se ha ejecutado) FC1 (la versin del gusano) FD1 (el nombre del archivo ejecutado, sin la extensin) Luego, busca todos los archivos con las siguientes extensiones, que se encuentren en la carpeta "Mis Documentos" de la computadora infectada (generalmente C:\Mis Documentos), y en el escritorio (C:\WINDOWS\Escritorio): .DOC .GIF .JPG .JPEG .MPEG .MOV .MPG .PDF .PIF .PNG .PS

.ZIP .XLS La ubicacin de "Mis Documentos" y el escritorio de Windows, lo toma de las claves "Personal" y "Desktop" de HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders. Luego, graba la lista de estos nombres en el archivo SCD.DLL, creado en el directorio SYSTEM: C:\Windows\System\SCD.DLL Las direcciones de correo obtenidas en la libreta de direcciones (*.wab) y en los archivos temporales de Internet (sho*., get*., hot*. y *.htm), son grabadas en una lista similar, pero con el nombre SCD1.DLL: C:\Windows\System\SCD1.DLL El gusano se agrega al principio de los archivos listados en SCD.DLL, y se enva de este modo adjunto a un mensaje electrnico, pero con la doble extensin (la del archivo original ms alguna de las siguientes): .BAT .COM .EXE .PIF .LNK Los archivos SCD.DLL y SCD1.DLL pueden variar aleatoriamente su nombre (SC?.DLL y SC??.DLL) Las caractersticas del mensaje son las vistas ms arriba. Para distribuirse a travs del e-mail, el virus utiliza sus propias rutinas SMTP y las extensiones MIME, y puede armar un mensaje simulando que el mismo es enviado desde el Outlook Express 5.5 (X-Mailer: Microsoft Outlook Express 5.50.4133.2400), an cuando la vctima infectada no utilice o ni tan siquiera tenga instalado este programa. La direccin SMTP la obtiene de la mquina infectada que envi el mensaje, o utiliza alguna de las siguientes (hasta que alguna responda): doubleclick.com.mx enlace.net goeke.net

Si el gusano encuentra algn recurso compartido en red, intentar copiarse en el directorio Windows de la mquina compartida (si existe), con el nombre de RUNDLL32.EXE. El archivoRUNDLL32.EXE original (usado por Windows para ejecutar un archivo DLL como una aplicacin), es renombrado como RUN32.EXE. Si esta accin se produce con xito, el gusano modifica el archivo AUTOEXEC.BAT de esa mquina, incluyendo un comando que ejecutar el gusano en el prximo reinicio de Windows: @win \recycled\sirc32.exe Adems de su propagacin, el gusano puede realizar estas acciones: Una de cada 33 ejecuciones, puede copiarse de C:\recycled\sirc32.exe a C:\Windows\scmx32.exe. Tambin puede copiarse como "Microsoft Internet Office.exe" en la carpeta indicada en esta clave del registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup Que por defecto en Windows en espaol es: C:\WINDOWS\Men Inicio\Programas\Inicio Esto har que se ejecute al comienzo (adems de las otras maneras de hacerlo que ya vimos). En una de cada 50 ejecuciones, crea el siguiente archivo: C:\RECYCLED\sircam.sys Luego, agrega repetidamente uno de los siguientes textos a dicho archivo, hasta acabar con el espacio en el disco duro: [SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX] [SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico] En una de cada 20 veces, o el 16 de octubre de cualquier ao, el gusano puede borrar todos los archivos y carpetas de la unidad C. Esto funciona solo en las computadoras con el formatoDIA/MES/AO, o sea, la clsica configuracin bajo un sistema en espaol (en ingls es MES/DIA/AO). Finalmente, luego de 8000 ejecuciones, el virus deja de funcionar.

W32/Badtrans.B

Nombre: W32/Badtrans.B Alias: WORM_BADTRANS.B, W32/Badtrans-B, Backdoor-NK.svr, BadTrans, IWorm.Badtrans, W32.Badtrans.29020@mm, IWorm_Badtrans, TROJ_BADTRANS.B, BADTRANS.B, I-WORM.BADTRANS, W32/BadTrans.Bmm Variantes: badtrans-a Tipo: Gusano y caballo de Troya Tamao: 29,020 Bytes Fecha: 24/11/01 En abril de 2001, fue detectada la primera versin de este gusano. El mismo posea algunos errores de programacin que disminuyeron su peligrosidad. Esta nueva versin posee algunas pequeas diferencias, pero la ms importante es que ahora es capaz de ejecutar el archivo adjunto recibido en un mensaje infectado, sin necesidad de que el usuario abra dicho adjunto. Para ello utiliza una conocida vulnerabilidad en las extensiones MIME en programas de correo que se basan en el Internet Explorer (Microsoft Outlook y Microsoft Outlook Express). Badtrans.B es un gusano de Internet, que permanece residente en memoria cuando se ejecuta, y que puede propagarse va e-mail a travs del Outlook y del Outlook Express, utilizando la interface de programacin MAPI. Lo podemos recibir en un mensaje sin texto visible y con un adjunto que puede tener diferentes nombres, creado con las siguientes combinaciones: La primera parte se selecciona de esta lista: FUN HUMOR DOCS INFO S3MSONG Sorry_about_yesterday ME_NUDE CARD SETUP STUFF SEARCHURL YOU_ARE_FAT! HAMSTER NEWS_DOC

New_Napster_Site README IMAGES PICS La segunda, contiene una de las siguientes extensiones: .DOC. .MP3. .ZIP. Y la ltima parte (la verdadera extensin del archivo), puede ser una de las siguientes: pif scr Un par de ejemplos de estas combinaciones: New_Napster_Site.MP3.scr README.DOC.pif Como antes se ha mencionado, esta variante utiliza una vulnerabilidad conocida (Automatic Execution of Embedded MIME type) para ejecutarse sin necesidad de abrir el adjunto, es decir, con solo leer el mensaje o verlo en el panel de vista previa, se ejecuta el virus. Cuando esto ocurre, el gusano se copia a si mismo en el directorio System de Windows, como Kernel32.exe, y tambin crea all los archivos cp_25389.nls, y kdll.dll: C:\Windows\System\KERNEL32.EXE C:\Windows\System\cp_25389.nls C:\Windows\System\kdll.dll Hay que recordar que en esa misma carpeta existe el archivo Kernel32.dll, que es un archivo legtimo de Windows. Adems, el gusano borra su copia original del directorio en que fue ejecutado. Luego se registra a si mismo como un servicio, para permanecer en memoria sin aparecer en la lista de tareas que se estn ejecutando (por lo tanto permanece oculto al pulsar CTRL+ALT+SUPR). El archivo CP_25389.NLS son datos cifrados del virus.

El archivo KDLL.DLL es un troyano con capacidad de robar las contraseas de la mquina infectada (Trojan.PSW.Hooker, Backdoor-NK.svr, Troj.PWS.A). El registro de Windows es modificado para que el gusano se ejecute automticamente en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce kernel32 = "kernel32.exe" Como la clave "RunOnce" se ejecuta una sola vez (y Windows la borra luego de ejecutar su contenido), el gusano la vuelve a crear cada vez. Troyano liberado por el BadTrans.B Nombre: Troj/PWS-AV Tipo: Caballo de Troya Este troyano es liberado por el Badtrans.B. Una vez activo, se encarga de registrar todo lo tecleado por el usuario infectado, lo que le permite capturar y obtener informacin personal, como nombre de usuario y contraseas, informacin relacionada con tarjetas de crdito, cuentas bancarias, etc.

rojan/Platan

Nombre: Trojan/Platan Alias: W32/Platan.Trojan, Trojan.IExpand, Trojan.PWS.ASP.b, W32.PSW.Platan, DUNpws.bz. Variantes: Ninguna Tipo: Caballo de Troya, Ladrn de Passwords. Origen: Rusia. Fecha: 24/03/2000 Gravedad: Media. Platan, es un troyano cuya principal funcin es robar los passwords de la conexin telefnica del equipo infectado y reenviarlos al autor del virus. Hasta el momento este troyano ha sido reportado por usuarios, siendo distribuido como una archivo de nombre IEXPAND.EXE, que al ser ejecutado, agrega la siguiente entrada al Registro de Windows, para ejecutarse con el prximo inicio del sistema: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run

La ejecucin del programa no muestra ninguna accin al usuario. l mismo se ejecutar como un proceso "oculto", no mostrando su existencia en la lista de tareas activas (por lo tanto permanece oculto al pulsar CTRL+ALT+SUPR). El troyano elimina los programas \Windows\REGEDIT.EXE y \Windows\System\MSCONFIG.EXE, para que los cambios al registro no puedan ser vueltos atrs por el usuario. Adems, copia el archivo IEXPAND.EXE al directorio \Windows\System. Utilizando su propia rutina de envo de mensajes, y un servidor SMTP ruso, el troyano enva el nombre de usuario y password de las cuentas de conexin telefnica a distintas direcciones preseteadas del creador del virus. Adems, enva otra informacin del equipo, como los nmeros. telefnicos de los ISPs, tipo de CPU, etc.