www.cajondesastreweb.

es VIRUS INFORMATICOS

QU ES UN VIRUS? A menudo se suele utilizar el trmino virus para designar diferentes tipos de comportamientos maliciosos que se transmiten por Internet. Todos los das surgen nuevos virus, que pueden llegar a propagarse en los ordenadores de todo el mundo en cuestin de segundos. Un virus es un programa o secuencia de instrucciones que un ordenador es capaz de interpretar y ejecutar y es aplicable para cualquier programa maligno. Aunque todo virus ha de ser programado y realizado por expertos informticos, en INTERNET hay herramientas que permiten generar virus de una manera sumamente sencilla, solo pulsando unos botones, como haces al calcular algo con la calculadora. Su misin principal es introducirse, lo ms discretamente posible, en un sistema informtico y permanecer en un estado de latencia hasta que se cumple la condicin necesaria para activarse. Decimos que es un programa parsito porque el programa ataca a los archivos o sectores de arranque y se replica a s mismo para continuar su esparcimiento Las posibles vas de transmisin de los virus son: los discos, el cable de una red y el cable telefnico. Normalmente, encontramos caractersticas especiales y comunes en todos ellos: son muy pequeos, casi nunca incluyen el nombre del autor, ni el registro, ni la fecha. Se reproducen a s mismos y controlan y cambian otros programas. Tienen diferentes finalidades: Algunos slo infectan, otros alteran datos, otros los eliminan, algunos slo muestran mensajes. Pero el fin ltimo de todos ellos es el mismo: PROPAGARSE. El potencial de dao de un virus informtico no depende de su complejidad sino del entorno donde acta. En definitiva, est claro que son programas, realizados por personas. Adems de ser programas tienen el fin ineludible de causar dao en cualquiera de sus formas. Cmo atacan los virus a los pcs? Los virus funcionan, se reproducen y liberan sus cargas activas slo cuando se ejecutan. Por eso, si un ordenador est simplemente conectado a una red informtica infectada o se limita a cargar un programa infectado, no se infectar necesariamente. Normalmente, un usuario no ejecuta conscientemente un cdigo informtico potencialmente nocivo. Sin embargo, los virus engaan frecuentemente al sistema operativo de la computadora o al usuario informtico para que ejecute el programa viral. Una vez que el virus sea activo dentro del sistema, puede copiarse a s mismo e infectar otros archivos o discos a medida que el usuario acceda a ellos. Los diversos tipos de virus infectan los PC de maneras distintas. Algunos virus tienen la capacidad de adherirse a programas legtimos y activarse cuando se crea, ejecuta o modifica el programa legtimo. Los virus tambin pueden residir en las partes del disco duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan automticamente. Los virus informticos se difunden cuando las instrucciones (o cdigo ejecutable) que le hacen funcionar pasan de un ordenador a otro. Una vez que un virus est activado,
Pgina 1

www.cajondesastreweb.es VIRUS INFORMATICOS

puede reproducirse copindose en discos flexibles, en el disco duro, en programas informticos legtimos o a travs de redes informticas. En las redes informticas, algunos virus se ocultan en el software que permite al usuario conectarse al sistema. Los virus pueden llegar a "camuflarse" y esconderse para evitar la deteccin y reparacin. Como lo hacen: El virus re-orienta la lectura del disco para evitar ser detectado. Los datos sobre el tamao del directorio infectado son modificados, para evitar que se descubran bytes extra que aporta el virus. Encriptamiento: El virus se encripta en smbolos sin sentido para no ser detectado, pero para destruir o replicarse debe desencriptarse, siendo entonces detectable. Polimorfismo: Mutan cambiando segmentos del cdigo para parecer distintos en cada "nueva generacin", lo que los hace muy difciles de detectar y destruir. Gatillables: Se relaciona con un evento que puede ser el cambio de fecha, una determinada combinacin de tecleo; una macro o la apertura de un programa asociado al virus (Troyanos), activndose entonces. Los virus se suelen transportar a travs de copias de software no original, infectadas a propsito o accidentalmente. Tambin cualquier archivo que contenga "ejecutables" o "macros" puede ser portador de un virus, siendo especialmente peligrosos: Descargas de programas de lugares inseguros; e-mail con adjuntos, archivos de Word y Excel con macros... Inclusive, ya existen virus que se distribuyen con Power Point. Los archivos de datos, texto o Html NO PUEDEN contener virus, aunque pueden ser daados por estos. Los virus de sectores de arranque se instalan en esos sectores y desde all van saltando a los sectores equivalentes de cada uno de los discos extrables del PC (discos de 3.5, discos duros externos, memorias USB). Pueden daar el sector o sobrescribirlo. Lamentablemente, obligan al formateo del disco infectado. Sntomas tpicos de una infeccin Ralentizacin del sistema: El sistema operativo o un programa toma mucho tiempo en cargar o trabaja muy lento, sin razn aparente. El tamao del programa o archivo cambia. El disco duro indica falta de espacio sin que esto sea necesariamente as. La luz del disco duro en la CPU contina parpadeando aunque no se est trabajando ni haya protectores de pantalla activados. (Se debe tomar este sntoma con mucho cuidado, porque no siempre es as). Aparecen archivos de la nada o con nombres y extensiones extraas o desaparecen archivos si motivo. Por ejemplo, la presencia de archivos y/o carpetas con caracteres como | c, es el indicador por defecto del NetBus 2.X.

Pgina 2

www.cajondesastreweb.es VIRUS INFORMATICOS

Aparicin de archivos temporales sin justificacin. Al instalar programas lo normal es que se creen archivos en las carpetas temporales referentes a los archivos utilizados en su instalacin. Presencia de ficheros TXT o sin extensin en el HD (normalmente en c:\) en los que reconocemos palabras/frases/conversaciones/comandos,... que hemos escrito anteriormente (captura del teclado por parte del atacante). Bloqueos o reinicios continuos del PC. Inicializacin/Finalizacin de programas sin justificacin. La bandeja del CD se abre/cierra sin motivo. El teclado deja de funcionar o suenan "clics" en l (este sonido es particularmente aterrador para quien no est advertido). Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS). En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A" o Te he metido un troyano. Desconexiones continas del MODEM. Actividad en el MODEM cuando no se est realizando ningn tipo de comunicacin va red. Las luces parpadeantes del MODEM (externo) o el LED de actividad del disco duro (interno) pueden indicar este tipo de actividad. El servidor de Internet no reconoce nuestro nombre y contrasea o indica que ya est siendo utilizado. Lo mismo con el correo. Aparicin en el cliente de correo de mensajes enviados y desconocidos por nosotros. Daos ocasionados por los virus Se define dao como una accin indeseada, y se clasifica segn la cantidad de tiempo necesaria para reparar dichos daos. Existen seis categoras de daos hechos por los virus, de acuerdo a la gravedad. Daos triviales: Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da 18 de cada mes cualquier, tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos. Daos menores: Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar despus de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevar alrededor de 30 minutos. Daos moderados: Cuando un virus formatea el disco duro, o mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicacin de Archivos), o sobreescribe sus archivos. En este caso, sabremos inmediatamente qu es lo que est sucediendo, y podremos reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizs nos lleve una hora. Daos mayores: Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasar desapercibidos, pueden lograr que ni an restaurando un backup volvamos
Pgina 3

www.cajondesastreweb.es VIRUS INFORMATICOS

al ltimo estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realiz. Cuando este contador llega a 16, elige un sector del disco al azar y en l escribe la frase: "Eddie lives somewhere in time" (Eddie vive en algn lugar del tiempo). Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el da en que detectemos la presencia del virus y queramos restaurar el ltimo backup notaremos que tambin l contiene sectores con la frase, y tambin los backups anteriores a ese. Puede que lleguemos a encontrar algn backup limpio, pero ser tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad. Daos severos: Los daos severos se producen cuando un virus realiza cambios mnimos, graduales y progresivos. No sabemos cundo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER. Daos ilimitados: Algunos programas como CHEEBA o VACSINA.44.LOGIN, obtienen la clave del administrador del sistema y la pasan a un tercero. Hay que aclarar que estos no son virus, sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios mximos, fijando el nombre del usuario y la clave. El dao, entonces, lo realiza la tercera persona, quien ingresar al sistema y har lo que quiera. QUE ES UN CABALLO DE TROYA? Un Caballo de Troya es un programa ideado para que, bajo una apariencia inofensiva y til para el usuario, afecte muy negativamente al sistema al incluir un mdulo capaz de manejarlo. Junto con los virus, es uno de los tipos de programas malignos ms conocidos y empleados. Por su similitud en la forma de operar le debe su nombre al famoso caballo de la mitologa griega. El caballo de Troya era un enorme caballo de madera que los griegos dejaron a las puertas de Troya como oferta de paz despus de una larga batalla. Los troyanos abrieron sus puertas e introdujeron tal obsequio en la ciudad. Sin embargo, al caer la noche, un grupo de griegos sali de su interior y abrieron las puertas de Troya para que su ejrcito la invadiese. Bien, pues un caballo de Troya, en informtica, es lo mismo. Mucha gente los confunde con los virus o con otros programas malignos, pero un Caballo de Troya es un programa que, bajo la apariencia de una aplicacin til para el usuario (el caballo de madera), es diseado deliberadamente para llevar dentro de s cierto cdigo daino (los soldados de su interior). Cuando un usuario poco precavido recibe un caballo de Troya, no se da cuenta del peligro hasta que se ha producido el dao. Generalmente se recibe un programa con un nombre sugerente y, al ser ejecutado o tras cierto nmero de ejecuciones, se empiezan a realizar las acciones para las que se dise el programa en realidad, como por ejemplo destruir los datos del ordenador. Un caballo de Troya muy conocido fue el denominado SIDA. Distribuido como informacin divulgativa sobre la enfermedad, atacaba ferozmente las mquinas en las que se ejecutaba.
Pgina 4

www.cajondesastreweb.es VIRUS INFORMATICOS

Mucha gente confunde virus con troyanos, y ni mucho menos se parecen. En realidad no tienen nada en comn. El virus es destructivo (salvo raras excepciones), acta de forma premeditada y su accin es siempre la misma en todos los ordenadores que infecta. En cambio, el troyano no se comporta as. Se puede decir que un troyano no es ni benigno ni maligno. Sencillamente no est programado para destruir nada en el ordenador infectado. No podemos hablar entonces de una amenaza en el propio software. En el caso del troyano la malevolencia viene de la persona que lo utiliza Un troyano es, entonces, un programa malicioso insertado en un PC sin consentimiento de su dueo que permite el control de ese PC y/o el acceso a sus datos por parte de una persona no autorizada y que ejecuta instrucciones no deseadas por el usuario. Un troyano puede ser: legtimo.
Instrucciones no autorizadas dentro de un programa Un programa legtimo que ha sido alterado por la co-

locacin de instrucciones no autorizadas dentro del mismo, probablemente como consecuencia del ataque de un virus.
Cualquier programa que, aparentemente, haga una funcin deseable y necesaria pero que no la cumpla. Cualquier programa que contenga otro subprograma con instrucciones no deseadas o virus.

computador sin conocimiento del usuario. Este tipo de programas son llamados tambin "Backdoor" lo que se traduce a Puerta Trasera. A diferencia de los virus, los caballos de Troya o troyanos no se reproducen y estn diseados para obtener informacin privilegiada del ordenador donde se ejecutan. As pues existen troyanos que nicamente consiguen contraseas, otros que graban secuencias metidas en el teclado, otros que abren puertas traseras al ordenador, etc. Se les incluye dentro de la denominacin "malware" y realmente no son ms que aplicaciones de gestin remota que, al ser totalmente gratuitos, estn muy difundidos. Aunque permitan manejar otros ordenadores, es necesario que estos tengan un pequeo servidor ejecutndose en ellos. Para ello cuentan con un instalador que se encarga de modificar el registro de Windows para que los ejecute cada vez que este arranca. Normalmente, ocultan su presencia de manera que no son visibles de ningn modo y ni siquiera se pueden ver en la lista de tareas. Sntomas tpicos de una infeccin Reduccin del espacio libre en la memoria o disco duro Aparicin de mensajes de error no comunes. Fallos en la ejecucin de programas. Frecuentes cadas del sistema. Tiempos de carga mayores. Las operaciones rutinarias se realizan con ms lentitud.
Pgina 5

Cualquier programa que permita operaciones de monitoreo y/o control remoto del

www.cajondesastreweb.es VIRUS INFORMATICOS

Aparicin de programas residentes en memoria desconocidos. Actividad y comportamientos inusuales de la pantalla. El disco duro aparece con sectores en mal estado: Usan sectores del disco para camuflarse, lo que hace que aparezcan como daados o inoperativos. Cambios en las caractersticas de los ficheros ejecutables. Aparicin de anomalas en el teclado: Algunos definen ciertas teclas que, al ser pulsadas, realizan acciones perniciosas en el ordenador. Tambin suele ser comn el cambio de la configuracin de las teclas, por la del pas de origen del troyano. Daos ocasionados por los caballos de Troya La informacin que intercambia un servidor Web seguro y un navegador se cifra utilizando un algoritmo de clave pblica. Este mtodo asegura la confidencialidad de los datos y su integridad, adems de confirmar la identidad del servidor Web. Muchos bancos ofrecen un servidor seguro a sus clientes para realizar todo tipo de operaciones bancarias. Entonces, cmo es posible que un pirata informtico conozca las claves de acceso al banco, las transferencias realizadas y el nmero de Visa? En primer lugar, hay instalado un caballo de Troya en el ordenador. Una de las nuevas caractersticas de estos programas consiste en volcar toda la informacin que se introduce a travs del teclado en un fichero. Absolutamente todo. Por ejemplo, cuando se teclea un nmero de Visa para realizar una compra a travs de un servidor seguro, los datos viajan cifrados por la Red, pero no entre el teclado y el navegador. Y es ah dnde est escuchando el caballo de Troya. La gran baza de los nuevos caballos de Troya reside en su sigilosa forma de actuar. El programa servidor casi no consume recursos. Cada vez que se arranca el PC, el troyano se ejecuta de forma automtica y se queda residente en memoria. Un pequeo proceso que apenas consume un 1% de CPU, pero que abre las puertas del ordenador, una vez conectado a la Red, a cualquiera que tenga instalado la parte cliente del caballo de Troya en su mquina. A esto debemos aadir otras dos caractersticas que convierten a estos virus en verdaderas amenazas para los amantes de Internet: Lo fcil que resulta engaar a la vctima para que instale el caballo de Troya en su mquina. y la enorme facilidad de manejo de la parte cliente del virus. El atacante puede ocultar el troyano dentro de cualquier programa o aplicacin. Incluso puede mandar el virus por correo y ser instalado con slo abrir el mensaje. Una vez instalado, el servidor abre un puerto de comunicaciones y se queda escuchando las peticiones del oyente. Algunos se permite ciertas lindezas, como abrir y cerrar la unidad de CDROM o modificar las funciones de los botones del ratn. Los caballos de Troya aprovechan las enormes facilidades de acceso a los recursos del sistema que ofrece Windows. El programa servidor tiene control sobre todos los elementos del PC: dispositivos, ficheros, protocolos de red, etc. Estos troyanos demuestran que cualquier aplicacin que se instale sobre Windows, cuyo cdigo fuente casi nunca se facilita, puede ser una puerta abierta a los delincuentes informticos.
Pgina 6

www.cajondesastreweb.es VIRUS INFORMATICOS

QU SON LOS GUSANOS? Un gusano es un programa que hace copia de s mismo, por ejemplo, de una unidad de disco a otra, y que puede enviar estas copias utilizando correos electrnicos o cualquier otro mecanismo de transporte. Otras fuentes definen un gusano como un cdigo maligno cuya principal misin es reenviarse a s mismo. Por ello, los gusanos son cdigos vricos que, en principio, no afectan la informacin de los sistemas que contagian, aunque si consumen amplios recursos de los mismos y los utilizan como lanzaderas para infectar a otros equipos. Funcionan en los sistemas informticos y se propagan rpidamente a travs de las redes de comunicaciones. Estos cdigos ejecutables, hacen gran uso de los recursos de la red, por lo que a veces provocan bloqueos o descensos en su velocidad de funcionamiento. Daos ocasionados por los Gusanos El mayor efecto de los gusanos es su capacidad para saturar, e incluso bloquear por exceso de trfico, a los sitios Web, incluso si estn adecuadamente protegidos por un antivirus actualizado. Y precisamente cuando tienen proteccin aumenta la sobrecarga, debido a los procesos necesarios para analizar e intentar la eliminacin de una cascada de correos en los que se detecta la infeccin. Salvo algunos sistemas especializados de proteccin, los antivirus convencionales intentarn eliminar la parte vrica y dejar el resto, que en general no es nada til, sino la simple pantalla bajo la que se oculta el gusano. Pero esto conlleva ms trabajo que simplemente eliminar un mensaje, cuya nica "informacin" es un gusano. El objetivo de los gusanos no es modificar otros programas o destruir informacin. Su objetivo bsico es reproducirse y alcanzar el mximo de distribucin entre los equipos de la red. Como mximo, los gusanos tienden a replicarse en tal medida que saturan los recursos de las computadoras, provocando un ataque "por denegacin de servicio (cada del sistema)". No obstante, algunos gusanos pueden incluir como parte de su cdigo algn virus informtico, bomba lgica, troyano o puerta trasera, que acte sobre los equipos en los que se logren establecer. Medidas a tomar para contrarrestarlos No ejecutar adjuntos que no se hayan solicitado, sin previa comprobacin con el remitente. En el caso de necesitar enviar un adjunto, una vez revisado con un antivirus actualizado, especificar caractersticas como nombre, extensin y tamao. Desactivar la opcin Vista Previa en el cliente de correo. Evitar el envo de mensajes con formato HTML, no solo porque disminuye en tamao algo que ayuda en la economa, sino por evitar el envo de cdigos maliciosos. Solicitar a los remitentes que enven los mensajes en texto plano, siempre que sea posible. Activar las protecciones estndares del cliente de correo. Activar las protecciones estndares del navegador de Internet.
Pgina 7