VIRUS INFORMATICOS

PRESENTADO POR:
JOHANA CEBALLOS
KELLY CORDOBA
GRADO: 11-9
PC: 21.

I.E.M. MARIA GORETTI

TECNOLOGÍA E INFORMATICA
28.MAYO.2010
PASTO-NARIÑO

1
 VIRUS INFORMATICOS

PRESENTADO POR:
JOHANA CEBALLOS
KELLY CORDOBA
PRESENTADO A:
ROCIO PAREDES
GRADO: 11-9
PC: 21.

I.E.M. MARIA GORETTI

TECNOLOGÍA E INFORMATICA
28.MAYO.2010
PASTO-NARIÑO

2
 TABLA DE CONTENIDO

0. Introducción
1. Que son los virus y su historia
2. Funcionamiento de los virus
3. Algunos métodos de infección
4. Fases de infección de un virus
5. Tipos de virus informáticos
6. ¿que es un antivirus?
7. Recomendaciones
8. Conclusiones
9. Web grafía

3
 INTRODUCCIÓN

Este trabajo se lo a realizado con el fin de dar a conocer que son los virus
informaticos, su historia, como empieza a desarrollarse que causas y efectos
produce a su computador, que tipos de virus hay, entre otros y que se debe hacer
para combatirlos.

4
 QUE SON LOS VIRUS Y SU HISTORIA

Un virus informático es un malware que tiene por objeto alterar el normal

funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.
Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados
con el código de este. Los virus pueden destruir, de manera intencionada, los
datos almacenados en un ordenador, aunque también existen otros más
inofensivos, que solo se caracterizan por ser molestos.

Los virus informáticos tienen, básicamente, la función de propagarse a través de

un software, no se replican a sí mismos por que no tienen esa facultad como el
gusano informático, son muy nocivos y algunos contienen además una carga
dañina (payload) con distintos objetivos, desde una simple broma hasta realizar
daños importantes en los sistemas, o bloquear las redes informáticas generando
tráfico inútil.

El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta

un programa que está infectado, en la mayoría de las ocasiones, por
desconocimiento del usuario. El código del virus queda residente (alojado) en la
memoria RAM de la computadora, aun cuando el programa que lo contenía haya
terminado de ejecutarse. El virus toma entonces el control de los servicios básicos
del sistema operativo, infectando, de manera posterior, archivos ejecutables que
sean llamados para su ejecución. Finalmente se añade el código del virus al
programa infectado y se graba en el disco, con lo cual el proceso de replicado se
completa.

5
 HISTORIA

El primer virus atacó a una máquina IBM Serie 360 (y reconocido como tal). Fue
llamado Creeper, creado en 1972. Este programa emitía periódicamente en la
pantalla el mensaje: «I'm a creeper... catch me if you can!» (¡Soy una
enredadera... agárrame si tú puedes!). Para eliminar este problema se creó el
primer programa antivirus denominado Reaper (cortadora).

Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían
desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro
programadores (H. Douglas Mellory, Robert Morris, Victor Vysottsky y Ken
Thompson) desarrollaron un juego llamado Core War, el cual consistía en ocupar
toda la memoria RAM del equipo contrario en el menor tiempo posible.

Después de 1984, los virus han tenido una gran expansión, desde los que atacan
los sectores de arranque de disquetes hasta los que se adjuntan en un correo
electrónico.

6
 FUNCIONAMIENTO DE LOS VIRUS

Los virus informáticos están hechos en Assembler, un lenguaje de programación

de bajo nivel. Las instrucciones compiladas por Assembler trabajan directamente
sobre el hardware, esto significa que no es necesario ningún software intermedio –
según el esquema de capas entre usuario y hardware- para correr un programa en
Assembler (opuesto a la necesidad de Visual Basic de que Windows 9x lo
secunde). No solo vamos a poder realizar las cosas típicas de un lenguaje de alto
nivel, sino que también vamos a tener control de cómo se hacen. Para dar una
idea de lo poderoso que puede ser este lenguaje, el sistema operativo Unix está
programado en C y las rutinas que necesitan tener mayor profundidad para el
control del hardware están hechas en Assembler. Por ejemplo: los drivers que se
encargan de manejar los dispositivos y algunas rutinas referidas al control de
procesos en memoria.

Sabiendo esto, el virus puede tener control total de la máquina -al igual que lo
hace el SO- si logra cargarse antes que nadie. La necesidad de tener que
"asociarse" a una entidad ejecutable viene de que, como cualquier otro programa
de computadora, necesita ser ejecutado y teniendo en cuenta que ningún usuario
en su sano juicio lo hará, se vale de otros métodos furtivos. Ahora que marcamos
la importancia para un virus el ser ejecutado, podemos decir que un virus puede
encontrarse en una computadora sin haber infectado realmente algo. Es el caso
de personas que pueden coleccionar virus en archivos comprimidos o encriptados.

Normalmente este tipo de programas se pega a alguna entidad ejecutable que le

facilitará la subida a memoria principal y la posterior ejecución (métodos de
infección). Como entidades ejecutables podemos reconocer a los sectores de
arranque de los discos de almacenamiento magnéticos, ópticos o magneto-ópticos
(MBR, BR), los archivos ejecutables de DOS (.exe, .com., entre otros), las librerías
o módulos de programas (.dll, .lib, .ovl, .bin, .ovr). Los sectores de arranque son
fundamentales para garantizar que el virus será cargado cada vez que se
encienda la computadora.

Según la secuencia de booteo de las PCs, el microprocesador tiene seteada de

fábrica la direcciónde donde puede obtener la primer instrucción a ejecutar. Esta
dirección apunta a una celda de la memoria ROM donde se encuentra la subrutina
POST (Power On Self Test), encargada de varias verificaciones y de comparar el
registro de la memoria CMOS con el hardware instalado (función checksum). En
este punto sería imposible que el virus logre cargarse ya que la memoria ROM
viene grabada de fábrica y no puede modificarse (hoy en día las memorias Flash-
ROM podrían contradecir esto último).

Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada

"bootstrap ROM" que copia el MBR (Master Boot Record) en memoria RAM. El
MBR contiene la información de la tabla de particiones, para conocer las

7
delimitaciones de cada partición, su tamaño y cuál es la partición activa desde
donde se cargará el SO. Vemos que en este punto el procesador empieza a
ejecutar de la memoria RAM, dando la posibilidad a que un virus tome partida.
Hasta acá el SO todavía no fue cargado y en consecuencia tampoco el antivirus.
El accionar típico del virus sería copiar el MBR en un sector alternativo y tomar su
posición. Así, cada vez que se inicie el sistema el virus logrará cargarse antes que
el SO y luego, respetando su deseo por permanecer oculto hará ejecutar las
instrucciones del MBR.

Con la información del MBR sabremos qué partición es la activa y en que sector
se encuentra su sector de booteo (boot record o BR). El BR contiene una
subrutina que se ocupará de cargar los archivos de arranque del SO. Los demás
pasos de la carga del SO son irrelevantes, pero es importante recordar que el SO
es el último en cargarse en la secuencia de booteo antes de que el usuario pueda
introducir comandos en la shell. El antivirus es cargado por los archivos de
configuración del SO personalizables por el usuario.Cuando un virus infecta un
archivo ejecutable .EXE, por ejemplo, intenta rastrear en el códigolos puntos de
entrada y salida del programa. El primer punto señalado es en donde, dentro del
archivo, se iniciará la ejecución de instrucciones. El segundo punto resulta ser lo
opuesto. Cuando un virus localiza ambos puntos escribe su propio código antes de
cada uno. Según el tipo de virus, este código cargará el virus en memoria –si es
que no lo estaba- y apuntará a esa zona infectada con el virus. A partir de ahí el
programa virósico determinará cuáles son las acciones a seguir: puede continuar
infectando archivos que sean cargados en memoria, ocultarse si es que detecta la
presencia de un antivirus o ejecutar el contenido de su módulo de ataque. El virus
puede infectar también las copias de los archivos cargados en memoria que están
en la unidad de almacenamiento. Así se asegura que ante un eventual apagado
de la computadora su código igualmente se encuentra en los archivos de la
unidad.

Es importante comprender que la computadora no estará infectada hasta que

ejecutemos algo parasitado previamente con el virus. Veamos un ejemplo sencillo:
nosotros bajamos de Internet un archivo comprimido (con la extensión .ZIP según
el uso popular) sabiendo que es un programa de prueba que nos gustaría instalar.
Lo que no sabemos es que uno de los archivos dentro del .ZIP es un virus
informático, y lo peor de todo es que viene adosado al archivo Install.exe. Al
momento de descomprimir el contenido, el virus todavía no fue ejecutado (ya que
la información dentro del .ZIP no puede ser reconocida como instrucciones por el
procesador). Luego identificamos el archivo Install.exe como el necesario para
instalar el programa y lo ejecutamos. Recién en este momento el virus se cargará
en memoria y pasará a hacer las cosas para lo que fue programado.

Módulo de reproducción. Es el encargado de manejar las rutinas para infectar

entidades ejecutables que asegurarán la subsistencia del virus. Cuando toma el
control del sistema puede infectar otras entidades ejecutables. Cuando estas

8
entidades sean trasladadas a otras computadoras se asegura la dispersión del
virus.

Módulo de ataque. Es el módulo que contiene las rutinas de daño adicional o

implícito. El módulo puede ser disparado por distintos eventosdel sistema: una
fecha, hora, el encontrar un archivo específico (COMMAND.COM), el encontrar un
sector específico (MBR), una determinada cantidad de booteos desde que ingreso
al sistema, o cualquier otra cosa a la que el programador quisiera atacar.

Módulo de defensa. Su principal objetivo es proteger el cuerpo del virus. Incluirá

rutinas que disminuyan los síntomas que delaten su presencia e intentarán que el
virus permanezca invisible a los ojos del usuario y del antivirus. Las técnicas
incluidas en este módulo hoy en día resultan ser muy sofisticadas logrando dar
información falsa al SO -y en consecuencia al usuario- y localizándose en lugares
poco comunes para el registro de los antivirus, como la memoria Flash-Rom.

9
 ALGUNOS MÉTODOS DE INFECCIÓN

Añadidura o empalme. Por este método el código del virus se agrega al final del
archivo ejecutable a infectar, modificando las estructurasde arranque del archivo
anfitrión de manera que el control del programa pase primero al virus cuando se
quiera ejecutar el archivo. Este cambio de secuencia permite al virus realizar sus
tareas específicas y luego pasar el control al programa para que este se ejecute
normalmente. La principal desventaja de este método es que el tamaño del
archivo infectado es mayor al original, lo que permite una fácil detección.

Inserción. Los virus que utilizan el método de inserción buscan alojarse en zonas
de código no utilizadas o en segmentos de datosdentro de los archivos que
contagian, de esta manera la longitud total del archivo infectado no varía. Este
método, parecido al de empalme, exige mayores técnicas de programación de los
virus para poder detectar las zonas posibles de contagio dentro de un ejecutable,
por lo que generalmente no es muy utilizada por los programadores de virus
informáticos.

Reorientación. Este método es una variante interesante del anterior. Bajo este
esquema se introducen centrales virósicas (los códigos principales del virus) en
zonas físicas del disco rígido marcadas como defectuosas o en archivos ocultos
del sistema. Estos códigos virales, al ejecutarse, implantan pequeños trozos de
código en los archivos ejecutables que infectan, que luego actúan como
llamadores de las centrales virósicas. La principal ventaja de este método es que
el cuerpo del virus, al no estar inserto en el archivo infectado sino en otro sitio
oculto, puede tener un tamaño bastante grande, aumentando así su funcionalidad.
La desventaja más fuerte es que la eliminación de este tipo de infecciones es
bastante sencilla. Basta con borrar archivos ocultos sospechosos o reescribir las
zonas del disco marcadas como defectuosas.

Polimorfismo. Este es el método más avanzado de contagio logrado por los

programadores de virus. La técnica básica usada es la de inserción del código
viral en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo
infectado, el virus compacta parte de su código y del código del archivo anfitrión
de manera que la suma de ambos sea igual al tamaño original del archivo. Al
ejecutar el programa infectado actúa primero el código del virus descompactando
en memoria las porciones previamente compactadas. Una variante mejorada de
esta técnica permite a los virus usar métodos de encriptación dinámicos para
disfrazar el código del virus y evitar ser detectados por los antivirus.

Sustitución. El método de sustitución, usado con variantes por los Caballos de

Troya, es quizás el método más primitivo. Consiste en sustituir el código completo
del archivo original por el código del virus. Al ejecutar el programa infectado el

10
único que actúa es el virus, que cumple con sus tareas de contagiar otros archivos
y luego termina la ejecución del programa reportando algún tipo de error. Esta
técnica tiene sus ventajas, ya que en cada infección se eliminan archivos de
programas válidos, los cuales son reemplazados por nuevas copias del virus.

Tunneling. Es una técnica usada por programadores de virus y antivirus para

evitar todas las rutinas al servicio de una interrupción y tener así un control directo
sobre esta. Requiere una programación compleja, hay que colocar el procesador
en modo kernel. En este modo de funcionamiento, tras ejecutarse cada instrucción
se produce la INT 1. Se coloca una ISR (Interrupt Service Routine) para dicha
interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a
donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el
parche al final de la cadena.

Los virus utilizan el tunneling para protegerse de los módulos residentes de los
antivirus que monitorean todo lo que sucede en la máquina para interceptar todas
las actividades "típicas" de los virus.

Para entender como funciona esta técnica basta saber como trabaja este tipo de
antivirus. El módulo residente queda colgado de todas las interrupciones
usualmente usadas por los virus (INT 21, INT 13, a veces INT 25 Y 26) y entonces
cuando el virus intenta llamar a INT 21, por ejemplo, para abrir un ejecutable para
lectura / escritura (y luego infectarlo), el antivirus emite una alerta, pues los
ejecutables no son normalmente abiertos, ni menos para escritura. Y así con todas
las llamadas típicas de los virus.

En cambio, cuando se hace una llamada común y corriente, el antivirus no le da

mayor importancia y la deja pasar, llamando a la INT 21 original. Un virus con
tunneling, entonces, antes de llamar a ninguna función ni hacer nada, intenta
obtener el address absoluto de esta INT 21 original, que está en alguna parte de la
memoria del antivirus residente. Una vez que obtiene este address, accede al MS-
DOS por medio de el, sin llamar al antivirus. Y así, efectivamente, le "pasa por
debajo", lo "tunelea". ¿Cómo se hace esto?

Existen dos formas fundamentales de obtener este address:

La primera, y la mas usada, es utilizando la interrupción de trace (INT 1) y la trap

flag. (Que son usadas por los DEBUGGERS) para atravesar el código línea por
línea hasta hallar lo que se busca. Es usada por todos los virus que usan esta
técnica, como por ejemplo, el Predator II o el (ya viejo) Yankee Doodle.

La segunda, hacer un simple y llano scanning del código, byte a byte, hasta hallar
el address. Se usa en pocos virus, pero es la que usa Kohntark en su célebre
Kohntark Recursive Tunneling Toolkit.

11
Problemas Generales del Tunneling.

Pero el problema principal del tunneling es que aún teniendo éxito en obtener la
INT 21 posta, se pueden tener problemas si hay algún residente importante y uno
lo esta pasando por debajo. Es famoso ya el caso del Predator II y el
DoubleSpace. El predator II tuneleaba por debajo del DoubleSpace y trataba de
acceder al disco directamente por MS-DOS. Esto produjo que destruyera el
contenido de varios discos rígidos. En definitiva, esto es contrario a las intenciones
del tunneling.

12
 FASES DE INFECCIÓN DE UN VIRUS

Primera Fase (Infección).

El virus pasa a la memoria del computador, tomando el control del mismo,

después de intentar inicializar el sistema con un disco, o con el sector de arranque
infectado o de ejecutar un archivo infectado.

El virus pasa a la memoria y el sistema se ejecuta, el programa funciona

aparentemente con normalidad, de esta forma el usuario no se da cuenta de que
su sistema está siendo infectado.

Segunda Fase (Latencia) .

Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema
cuando son ejecutados o atacando el
sector de arranque del disco duro.

De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendrá el sector de arranque del disco, y los archivos del
sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra
escritura, dichos discos quedan infectados y listos para pasar el virus a otro
computador e infectar el sistema.

Tercera Fase (Activación).

Esta es la última fase de la vida de un virus y es la fase en donde el virus se hace

presente.

La activación del virus trae como consecuencia el despliegue de todo su potencial

destructivo, y se puede producir por muchos motivos, dependiendo de como lo
creó su autor y de la versión de virus que se trate, debido a que en estos tiempo
encontramos diversas mutaciones de los virus.

Algunos virus se activan después de un cierto número de ejecuciones de un

programa infectado o de encender el sistema operativo; otros simplemente
esperan a que se escriba el nombre de un archivo o de un programa.

La mayoría de los virus se activan mediante el reloj del sistema para comprobar la
fecha y activar el virus, dependiendo de la fecha u hora del sistema o mediante
alguna condición y por último atacan, el daño que causan depende de su autor.

13
 TIPOS DE VIRUS INFORMÁTICOS

Todos los virus tiene en comun una caracteristica, y es que crean efectos
perniciosos. A continuación te presentamos la clasificacion de los virus
informaticos, basada en el daño que causan y efectos que provocan.

Caballo de Troya:
Es un programa dañino que se oculta en otro programa legítimo, y que produce
sus efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de
infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente,
en la mayoría de las ocasiones, para causar su efecto destructivo.

Gusano o Worm:
Es un programa cuya única finalidad es la de ir consumiendo la memoria del
sistema, se copia asi mismo sucesivamente, hasta que desborda la RAM, siendo
ésta su única acción maligna.

Virus de macros:
Un macro es una secuencia de oredenes de teclado y mouse asignadas a una
sola tecla, símbolo o comando. Son muy utiles cuando este grupo de instrucciones
se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas
que los contienen, haciendose pasar por una macro y actuaran hasta que el
archivo se abra o utilice.

Virus de sobreescritura:
Sobreescriben en el interior de los archivos atacados, haciendo que se pierda el
contenido de los mismos.

Virus de Programa:
Comúnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV,
.BIN, .DLL, y .SYS., los dos primeros son atacados más frecuentemente por que
se utilizan mas.

Virus de Boot:
Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y
el sector de arranque maestro (Master Boot Record) de los discos duros; también
pueden infectar las tablas de particiones de los discos.

Virus Residentes:
Se colocan automáticamente en la memoria de la computadora y desde ella
esperan la ejecución de algún programa o la utilización de algún archivo.

Virus de enlace o directorio:

14
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los
archivos existentes, y como consecuencia no es posible localizarlos y trabajar con
ellos.

Virus mutantes o polimórficos:

Son virus que mutan, es decir cambian ciertas partes de su código fuente
haciendo uso de procesos de encriptación y de la misma tecnología que utilizan
los antivirus. Debido a estas mutaciones, cada generación de virus es diferente a
la versión anterior, dificultando así su detección y eliminación.

Virus falso o Hoax:

Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes
distribuídas a través del correo electrónico y las redes. Estos mensajes
normalmente informan acerca de peligros de infección de virus, los cuales
mayormente son falsos y cuyo único objetivo es sobrecargar el flujo de
información a través de las redes y el correo electrónico de todo el mundo.

Virus Múltiples:
Son virus que infectan archivos ejecutables y sectores de booteo
simultáneamente, combinando en ellos la acción de los virus de programa y de los
virus de sector de arranque.

15
 ¿QUE ES UN ANTIVIRUS?

Es un programa creado para prevenir o evitar la activación de los virus, así como
su propagación y contagio. Cuenta además con rutinas de detención, eliminación y
reconstrucción de los archivos y las áreas infectadas del sistema.

Un antivirus tiene tres principales funciones y componentes:

VACUNA es un programa que instalado residente en la memoria, actúa como

"filtro" de los programas que son ejecutados, abiertos para ser leídos o copiados,
en tiempo real.
DETECTOR, que es el programa que examina todos los archivos existentes en el
disco o a los que se les indique en una determinada ruta o PATH. Tiene
instrucciones de control y reconocimiento exacto de los códigos virales que
permiten capturar sus pares, debidamente registrados y en forma sumamente
rápida desarman su estructura.
ELIMINADOR es el programa que una vez desactivada la estructura del virus
procede a eliminarlo e inmediatamente después a reparar o reconstruir los
archivos y áreas afectadas.
Es importante aclarar que todo antivirus es un programa y que, como todo
programa, sólo funcionará correctamente si es adecuado y está bien configurado.
Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz
para el 100% de los casos, sino que nunca será una protección total ni definitiva.

La función de un programa antivirus es detectar, de alguna manera, la presencia o

el accionar de un virus informático en una computadora. Este es el aspecto más
importante de un antivirus, independientemente de las prestaciones adicionales
que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un
virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente
para acotar un buen porcentaje de los daños posibles. Adicionalmente, un
antivirus puede dar la opción de erradicar un virus informático de una entidad
infectada.

El modelo más primario de las funciones de un programa antivirus es la detección

de su presencia y, en lo posible, su identificación. La primera técnica que se
popularizó para la detección de virus informáticos, y que todavía se sigue
utilizando (aunque cada vez con menos eficiencia), es la técnica de scanning. Esta
técnica consiste en revisar el código de todos los archivos contenidos en la unidad
de almacenamiento -fundamentalmente los archivos ejecutables- en busca de
pequeñas porciones de código que puedan pertenecer a un virus informático. Este
procedimiento, denominado escaneo, se realiza a partir de una base de datos que
contiene trozos de código representativos de cada virus conocido, agregando el
empleo de determinados algoritmos que agilizan los procesos de búsqueda.

16
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus
informáticos, cuando había pocos y su producción era pequeña. Este
relativamente pequeño volumen de virus informáticos permitía que los
desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus,
extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de
datos del programa para lanzar una nueva versión. Sin embargo, la obsolescencia
de este mecanismo de identificación como una solución antivirus completa se
encontró en su mismo modelo.

El primer punto grave de este sistema radica en que siempre brinda una solución a
posteriori: es necesario que un virus informático alcance un grado de dispersión
considerable para que sea enviado (por usuarios capacitados, especialistas o
distribuidores del producto) a los desarrolladores de antivirus. Estos lo analizarán,
extraerán el trozo de código que lo identificará, y lo incluirán en la próxima versión
de su programa antivirus. Este proceso puede demorar meses a partir del
momento en que el virus comienza a tener una dispersión considerable, lapso en
el cual puede causar graves daños sin que pueda ser identificado.

Además, este modelo consiste en una sucesión infinita de soluciones parciales y

momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que
deben actualizarse periódicamente debido a la aparición de nuevos virus.

En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue

utilizando debido a que permite identificar rápidamente la presencia de los virus
más conocidos y, como son estos los de mayor dispersión, permite una importante
gama de posibilidades. Un ejemplo típico de un antivirus de esta clase es el
Viruscan de McAfee.

En virtud del pronto agotamiento técnico de la técnica de scanning, los

desarrolladores de programas antivirus han dotado a sus creaciones de métodos
para búsquedas de virus informáticos (y de sus actividades), que no identifican
específicamente al virus sino a algunas de sus características generales y
comportamientos universalizados.

Este tipo de método rastrea rutinas de alteración de información que no puedan

ser controladas por el usuario, modificación de sectores críticos de las unidades
de almacenamiento (master boot record, boot sector, FAT, entre otras), etc. Un
ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos.

De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente,

códigos de instrucciones potencialmente pertenecientes a un virus informático.
Resulta eficaz para la detección de virus conocidos y es una de las soluciones
utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que
presenta este tipo de algoritmo radica en que puede llegar a sospecharse de

17
muchisimas cosas que no son virus. Esto hace necesario que el usuario que lo
utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de
poseer herramientas que le faciliten una discriminación de cualquier falsa alarma
generada por un método heurístico.

Algunos de los antivirus de esta clase son: F-Prot, Norton Anti Virus y Dr.
Solomon's Toolkit. Ahora bien, otra forma de detectar la presencia de un virus
informático en un sistema consiste en monitorear las actividades de la PC
señalando si algún proceso intenta modificar los sectores críticos de los
dispositivos de almacenamiento o los archivos ejecutables. Los programas que
realizan esta tarea se denominan chequeadores de integridad. Sobre la base de
estas consideraciones, podemos consignar que un buen sistema antivirus debe
estar compuesto por un programa detector de virus, que siempre esté residente en
memoria y un programa que verifique la integridad de los sectores críticos del
disco rígido y sus archivos ejecutables. Existen productos antivirus que cubren los
dos aspectos, o bien pueden combinarse productos diferentes configurados de
forma que no se produzcan conflictos entre ellos.

Modelo de Antivirus
La estructura de un programa antivirus, está compuesta por dos módulos
principales: el primero denominado de control y el segundo denominado de
respuesta. A su vez, cada uno de ellos se divide en varias partes:

1. Módulo de control: Posee la técnica verificación de integridad que posibilita el

registro de cambios en los archivos ejecutables y las zonas críticas de un disco
rígido. Se trata, en definitiva, de una herramienta preventiva para mantener y
controlar los componentes de información de un disco rígido que no son
modificados a menos que el usuario lo requiera. Otra opción dentro de este
módulo es la identificación de virus, que incluye diversas técnicas para la
detección de virus informáticos. Las formas más comunes de detección son el
scanning y los algoritmos, como por ejemplo, los heurísticos. Asimismo, la
identificación de código dañino es otra de las herramientas de detección que, en
este caso, busca instrucciones peligrosas incluidas en programas, para la
integridad de la información del disco rígido. Esto implica descompilar (o
desensamblar) en forma automática los archivos almacenados y ubicar sentencias
o grupos de instrucciones peligrosas. Finalmente, el módulo de control también
posee una administración de recursos para efectuar un monitoreo de las rutinas a
través de las cuales se accede al hardware de la computadora (acceso a disco,
etc.). De esta manera puede limitarse la acción de un programa restringiéndole el
uso de estos recursos, como por ejemplo impedir el acceso a la escritura de zonas
críticas del disco o evitar que se ejecuten funciones de formato del mismo.

2. Módulo de respuesta: La función alarma se encuentra incluida en todos los

programas antivirus y consiste en detener la acción del sistema ante la sospecha
de la presencia de un virus informático, e informar la situación a través de un aviso

18
en pantalla. Algunos programas antivirus ofrecen, una vez detectado un virus
informático, la posibilidad de erradicarlo. Por consiguiente, la función reparar se
utiliza como una solución momentánea para mantener la operatividad del sistema
hasta que pueda instrumentarse una solución adecuada. Por otra parte, existen
dos técnicas para evitar el contagio de entidades ejecutables: evitar que se
contagie todo el programa o prevenir que la infección se expanda más allá de un
ámbito fijo. Aunque la primera opción es la más adecuada, plantea grandes
problemas de implementación

19
 RECOMENDACIONES

Nuevos ordenadores: es aconsejable que el sistema operativo del PC esté

actualizado y que tenga instalado un programa antivirus u otras herramientas
como antispam, antiphishing o antispyware.

- Nuevas conexiones: se recomienda configurar la conexión ADSL de forma

segura y recuerda que el ordenador debe estar apagado si no se usa.

- Conexiones ADSL inalámbricas: Es importante exigir al proveedor del ADSL

inalámbrico una conexión protegida.

- Abrir archivos adjuntos en el correo electrónico: Se aconseja tener precaución

con los archivos de doble extensión. Los más comunes y peligrosos son los que
terminan en .scr o .exe. Se debe desconfiar, por ejemplo, de posibles archivos
adjuntos como postalnavidad.doc.exe, postalnavidad.zip.exe,
postalnavidad.doc.scr o postalnavidad.zip.scr.

- Compras a través del comercio electrónico: Se sugiere utilizar una única tarjeta
para comprar en Internet y mantenerla con el saldo mínimo necesario. Es
importante informarse periódicamente de los movimientos bancarios registrados
en las cuentas.

- Los usuarios más jóvenes que estrenan ordenador o que utilizan Internet por
primera vez deben de estar acompañados por sus progenitores. El portal
www.chaval.es de Red.es es una guía que inicia al menor de forma segura y
pedagógica.

- También existen herramientas que permiten a los padres limitar la visualización

de determinados contenidos. Los documentos adjuntos en el correo electrónico,
las redes de intercambio P2P, los chats y los sitios web de juegos online pueden
traer consigo software espía y enlaces a contenidos para adultos.

20
 CONCLUSIONES

Entonces podemos concluir que un virus informatico es un programa considerado

para poder reproducirse y replicarse por sí mismo, introduciéndose en otros
programas ejecutables o en zonas reservadas del disco o la memoria. Sus efectos
pueden no ser nocivos, pero en muchos casos hacen un daño importante en el
ordenador donde actúan. Pueden permanecer inactivos sin causar daños tales
como el formateo de los discos, la destrucción de ficheros, etc.

21
 WEB GRAFIA

Que son los virus y su historia: http://es.wikipedia.org/wiki/Virus_inform

%C3%A1tico
Funcionamiento de los virus:
http://www.monografias.com/trabajos5/virusinf/virusinf.shtml#funcionamiento
fases de infeccion de un virus: http://html.rincondelvago.com/virus-
informaticos_7.html
Tipos de Virus Informáticos: http://www.cafeonline.com.mx/virus/tipos-virus.html
¿Que es un antivirus?: http://www.sitiosargentina.com.ar/webmaster/cursos%20y
%20tutoriales/que_es_un_antivirus.htm
recomendaciones:
http://www.elpais.com/articulo/internet/Navidades/seguras/recomendaciones/virus/i
nformaticos/elpeputec/20051219elpepunet_7/Tes

22