Académique Documents
Professionnel Documents
Culture Documents
Robert Chales
Andino
2
Virus Informticos
3
Virus Informticos
4
Virus Informticos
Introducc
Un virus no necesariamente tiene que auto reproducirse, pues basta con que se
instale en memoria y desde all ataque a un determinado tipo de archivo o reas del
sistema y lo infecte. Con Internet se hace ms fcil tener el total control de los virus
informticos, lo que resulta perjudicial a todos los usuarios.
El crecimiento veloz de los virus, hace necesario un rpido tratamiento usando las
tcnicas de prevencin, deteccin y eliminacin de virus informticos, tenindose
que llevar a cabo de forma rpida y eficiente.
5
Virus Informticos
6
Virus Informticos
Marco terico
7
Virus Informticos
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet.
Puesto en la prctica, los contendores del CoreWar ejecutaban programas que iban
paulatinamente disminuyendo la memoria del computador y el ganador era el que
8
Virus Informticos
En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de Amrica,
precursora de Internet, emiti extraos mensajes que aparecan y desaparecan en
forma aleatoria, asimismo algunos cdigos ejecutables de los programas usados
sufran una mutacin. Los altamente calificados tcnicos del Pentgono se
demoraron 3 largos das en desarrollar el programa antivirus correspondiente. Hoy
da los desarrolladores de antivirus resuelven un problema de virus en contados
minutos.
1981 La IBM PC
El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rpido y
Rstico Sistema Operativo de Disco) y tena varios errores de programacin (bugs).
La enorme prisa con la cual se lanz la IBM PC impidi que se le dotase de un buen
sistema operativo y como resultado de esa imprevisin todas las versiones del
llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los
virus, ya que fundamentalmente heredaron muchos de los conceptos de
programacin del antiguo sistema operativo CP/M, como por ejemplo el PSP
9
Virus Informticos
(Program Segment Prefix), una rutina de apenas 256 bytes, que es ejecutada
previamente a la ejecucin de cualquier programa con extensin EXE o COM.
1984Fred Cohen
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la
Al ao siguiente, el Dr. Fred Cohen al ser
galardonado en una graduacin, en su
discurso de agradecimiento incluy las
pautas para el desarrollo de un virus. Este
y otros hechos posteriores lo convirtieron
en el primer autor oficial de los virus,
aunque hubo varios autores ms que
actuaron en el anonimato.
10
Virus Informticos
En ese ao se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron
las primeras especies representativas de difusin masiva. Estas 3 especies virales
tan slo infectaban el sector de arranque de los disckettes. Posteriormente
aparecieron los virus que infectaban los archivos con extensin EXE y COM.
11
Virus Informticos
En 1997 se disemina a travs de Internet el primer macro virus que infecta hojas de
clculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta
misma familia de virus que ataca a los archivos de bases de datos de MS-Access.
Para mayor informacin srvanse revisar la opcin Macro Virus, en este mismo
mdulo.
1999 Los virus anexados (atachados)
Resultar imposible impedir que se sigan desarrollando virus en todo el mundo, por
ser esencialmente una expresin cultural de "graffiti ciberntico", as como los
crackers jams se detendrn en su intento de "romper" los sistemas de seguridad
de las redes e irrumpir en ellas con diversas intencionalidades. Podemos afirmar
que la eterna lucha del bien y el mal ahora se han extendido al ciber espacio.
12
Virus Informticos
Al igual que los virus orgnicos, los virus en informtica deben ser eliminados antes
de que causen la "muerte" del husped...
Los virus de las computadoras no son ms que programas; y estos virus casi
siempre los acarrean las copias ilegales o piratas.
13
Virus Informticos
CARACTERSTICAS:
Se reproducen a s mismos.
4.- Pueden ser furtivos: Los virus furtivos (stealth) primero se adjuntarn ellos
mismos a archivos de la computadora y luego atacarn el ordenador, esto causa
que el virus se esparza ms rpidamente.
5.- Los virus pueden traer otros virus: Un virus puede acarrear otro virus
hacindolo mucho mas letal y ayudarse mutuamente a ocultarse o incluso
asistirlo para que infecte una seccin particular de la computadora.
14
Virus Informticos
6.- Pueden hacer que el sistema nunca muestre signos de infeccin: Algunos
virus pueden ocultar los cambios que hacen, haciendo mucho ms difcil que el
virus sea detectado.
Algunas veces son escritos como una broma, quiz para irritar a la gente
desplegando un mensaje humorstico. En estos casos, el virus no es ms que una
molestia. Pero cuando un virus es malicioso y causa dao real, quin sabe
realmente la causa? Aburrimiento? Coraje? Reto intelectual? Cualquiera que
sea el motivo, los efectos pueden ser devastadores.
15
Virus Informticos
Lentitud de la computadora
Uno de los principales sntomas de un virus informtico es la ralentizacin de la
computadora. Las pginas web tardan ms en abrirse, los archivos tardan ms en
descargarse, y el tiempo de respuesta general a los comandos tardar. Si bien esto
puede ser simplemente molesto para algunos, puede ser devastador para las personas
que trabajan con un lmite de tiempo. Por ejemplo, si fueras un escritor independiente
que tiene que tener un trabajo terminado en un cierto tiempo, y haba que recopilar
investigaciones de la web para finalizar dicha asignacin, una computadora lenta
podra hacer ms difcil completar el trabajo. En algunos casos, es posible que no
cumplas la fecha lmite.
Correo electrnico
Enviar y recibir correo electrnico se ha convertido en un elemento clave de la vida
diaria, pero un virus informtico puede tener un efecto negativo en tu capacidad para
hacerlo. Dependiendo de la gravedad del virus, los mensajes de correo electrnico que
enves pueden nunca ser recibidos, y los correos que te enviaron pueden no ser
recibidos. En algunos casos, el propio correo puede ser enviado, pero se eliminarn
los archivos adjuntos. Independientemente del contenido, cuando envas un correo es
porque tiene cierta importancia. Un equipo que ya no puede hacer esto te dejar menos
conectado a los de tu crculo ntimo.
Congelamiento y eliminacin
Un virus informtico puede causar bloqueos en la computadora al azar, lo que obliga a
reiniciarla. Ya sea que ests escribiendo un documento importante, investigando un
proyecto en lnea, o simplemente navegando por la web por diversin, estos frecuentes
congelamientos pueden llegar a ser bastante molestos. Incluso si el equipo no se
congela, documentos y archivos pueden eliminarse de forma automtica, lo que obliga
a componerlos de nuevo. Estos archivos pueden ser borrados al mismo tiempo, o uno
por uno. Un archivo inesperadamente eliminado, especialmente uno que sea necesario
para el trabajo o la escuela, puede causar un gran dolor de cabeza
16
Virus Informticos
Bloqueos
Tal vez lo peor que un virus puede hacer a tu equipo es hacer que se cierre por
completo. Una vez que se bloquea, todo el trabajo no guardado se perder para
siempre. Cuanto ms frecuentes los bloqueos, tanto ms problemtico el asunto que
tendrs. El virus sobrecargar el espacio en disco en el equipo, causando el bloqueo.
En algunos casos, el virus ocupar tanto espacio que un programa antivirus no puede
instalarse. Si el equipo est libre de virus, asegrate de instalar un programa antivirus
para proteccin futura. Siempre haz una copia de seguridad de los archivos importantes
en un disco duro externo, una unidad flash o un dispositivo similar para evitar la prdida
de informacin valiosa.
17
Virus Informticos
MEDIOS DE PROGACION DE LOS VIRUS
Aadidura o empalme
El cdigo del virus se agrega al final del archivo a infectar, modificando las estructuras
de arranque del archivo de manera que el control del programa pase por el virus antes
de ejecutar el archivo. Esto permite que el virus ejecute sus tareas especficas y luego
entregue el control al programa. Esto genera un incremento en el tamao del archivo lo
que permite su fcil deteccin.
Insercin
El cdigo del virus se aloja en zonas de cdigo no utilizadas o en segmentos de datos
para que el tamao del archivo no vare. Para esto se requieren tcnicas muy
avanzadas de programacin, por lo que no es muy utilizado este mtodo.
Reorientacin
Es una variante del anterior. Se introduce el cdigo principal del virus en zonas fsicas
del disco rgido que se marcan como defectuosas y en los archivos se implantan
pequeos trozos de cdigo que llaman al cdigo principal al ejecutarse el archivo. La
principal ventaja es que al no importar el tamao del archivo el cuerpo del virus puede
ser bastante importante y poseer mucha funcionalidad. Su eliminacin es bastante
sencilla, ya que basta con reescribir los sectores marcados como defectuosos.
Polimorfismo
Este es el mtodo mas avanzado de contagio. La tcnica consiste en insertar el cdigo
del virus en un archivo ejecutable, pero para evitar el aumento de tamao del archivo
infectado, el virus compacta parte de su cdigo y del cdigo del archivo anfitrin, de
manera que la suma de ambos sea igual al tamao original del archivo. Al ejecutarse el
programa infectado, acta primero el cdigo del virus descompactando en memoria las
porciones necesarias. Una variante de esta tcnica permite usar mtodos de
encriptacin dinmicos para evitar ser detectados por los antivirus.
Sustitucin
Es el mtodo mas tosco. Consiste en sustituir el cdigo original del archivo por el del
virus. Al ejecutar el archivo deseado, lo nico que se ejecuta es el virus, para disimular
este proceder reporta algn tipo de error con el archivo de forma que creamos que el
problema es del archivo.
ESPECIES DE VIRUS
18
Virus Informticos
2. el sector de arranque inicial, Los virus del sector de arranque inicial residen en
la primera parte del disco duro o flexible, conocida como sector de arranque
inicial, y sustituyen los programas que almacenan informacin sobre el contenido
del disco o los programas que arrancan el ordenador. Estos virus suelen
difundirse mediante el intercambio fsico de discos flexibles.
19
Virus Informticos
FASES DE INFECCION DE UN VIRUS
Primera Fase (Infeccin)
El virus pasa a la memoria del computador, tomando el control del mismo, despus de
intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de
ejecutar un archivo infectado.
Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema
Cuando son ejecutados o atacando el sector de arranque del
disco duro.
De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendr el sector de arranque del disco, y los archivos del
sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura,
dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar
el sistema.
La mayora de los virus se activan mediante el reloj del sistema para comprobar la fecha
y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna
condicin y por ltimo atacan, el dao que causan depende de su autor.
20
Virus Informticos
CLASES DE VIRUS:
VIRUS POLIMORFICOS
Muy difciles de detectar y eliminar, debido a que cada copia del virus es
diferente de otras copias.
Sus instrucciones cambian cada vez que se autoencriptan. o El virus produce varias
copias diferentes de s mismo. o Cambian su forma (cdigo) cada vez que infectan un
sistema, de esta manera parece siempre un virus distinto y es ms difcil que puedan
ser detectados por un programa antivirus.
Pero existe un fallo en esta tcnica, y es que un virus no puede codificarse por
completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta rutina la
que buscan los antivirus para la deteccin del virus.
VIRUS ESTATICOS
Cuando abrimos un archivo infectado, el virus toma el control y contamina otro archivo
que no est todava infectado.
Normalmente infectan archivos del mismo directorio, o puede ser que tengan objetivos
fijos como el COMMAND.COM del Sistema Operativo.
21
Virus Informticos
VIRUS RESIDENTES
Virus que permanecen indefinidamente en memoria incluso despus de haber
finalizado el programa portador del virus. Una vez ejecutado el programa portador del
virus, ste pasa a la memoria del computador y se queda all hasta que apaguemos el
ordenador. Mientras tanto va infectando todos aquellos programas ejecutables que
utilicemos.
VIRUS DESTRUCTIVOS
Microprogramas muy peligrosas para la integridad de nuestro sistema y nuestros
datos.
Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco duro.
Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestin de
segundos inutilizan los datos del disco duro.
VIRUS BIPARTIDOS
Es un virus poco frecuente.
Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su cdigo (el
algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero puede
haber otra versin del mismo virus que incorpore ese algoritmo. Si ambos virus
coinciden en nuestro computador, y se unen en uno slo, se convierten en un virus
destructivo.
VIRUS COMPAEROS
Son los virus ms sencillos de hacer. O Cuando en un mismo directorio existen dos
programas ejecutables con el mismo nombre pero uno con extensin .COM y el otro
con extensin .EXE, el MS-DOS carga primero el archivo con extensin .COM. O Si se
crea un archivo .COM oculto, con el mismo nombre que el otro archivo ejecutable de
extensin .EXE. Primero se cargar en la memoria el archivo .COM que contiene el
virus. Despus el virus llamara al programa original. O El archivo infectado no podra
ser visto con un simple comando DIR en porque contiene el atributo de oculto.
22
Virus Informticos
Tambin localiza un sitio en el Disco Duro para guardar la antigua rutina que haba en
el BOOT.
AUTOREPLICABLES
Realizan funciones parecidas a los virus biolgicos. Ya que se auto replican e infectan
los programas ejecutables que se encuentren en el disco.
Se activan en una fecha, hora programada, cada determinado tiempo, contando a partir
de su ltima ejecucin o simplemente al sentir que se les trata de detectar.
ESQUEMA DE PROTECCIN
No son virus destructivos.
Se activan cuando se intenta copiar un archivo que est protegido contra
escritura.
Tambin se ejecutan cuando se intenta copiar software o programas.
23
Virus Informticos
VIRUS INVISIBLES
Este tipo de virus intenta esconderse del Sistema Operativo mediante varias
tcnicas.
Pueden modificar el tamao del archivo infectado, para que no se note que se le ha
aadido un virus.
Pueden utilizar varias tcnicas para que no se les pueda encontrar en la memoria
del ordenador engaando a los antivirus.
Normalmente utilizan la tcnica de Stealth o Tunneling.
PROGRAMAS MALIGNOS
Son programas que deliberadamente borran archivos o software indicados por sus autores
eliminndose as mismo cuando terminan de destruir la informacin.
Bombas Lgicas
Bombas de Tiempo
Jokes
Gusanos
Caballos de Troya
24
Virus Informticos
Jokes
Son programas desarrollados con el objetivo de hacer bromas, de mal gusto,
ocasionando distraccin y molestias a los usuarios.
Simulan el comportamiento de Virus, constituyen
Bombas Lgicas o de Tiempo.
Muestran en la pantalla mensajes extraos con la nica intencin de fastidiar al usuario.
Gusanos
Es un programa que se auto reproduce:
No infecta otros programas como lo hara un virus, pero crea copias de l, las
cuales crean ms copias.
Son ms usados para atacar en grandes sistemas informticos mediante una red de
comunicaciones como Intranet o Internet, donde el gusano crear ms copias
rpidamente, obstruyendo el sistema.
Caballos de Troya
Son aquellos programas que se introducen en el sistema bajo una apariencia
totalmente diferente a la de su objetivo final.
Se presentan como informacin perdida o basura sin ningn sentido.
Pero al cabo de un determinado tiempo y
Esperando la indicacin del programa, se activan y comienzan a ejecutarse.
Windows 95
No se auto reproducen.
Su misin es destruir toda la informacin que se encuentra en los discos.
25
Virus Informticos
TCNICAS DE VIRUS
Las tecnologas de software han evolucionado asombrosamente en los ltimos
tiempos al igual que las arquitecturas de hardware y continan hacindolo da a da.
De este avance no se podra dejar de mencionar la creacin de los virus y sus
programas antivirus, lo cual ha motivado que ahora se empleen nuevas tcnicas y
sofisticadas estrategias de programacin, con el objeto de lograr especies ms
dainas y menos detectables y por consiguiente los software antivirus tienen que ser
ms acuciosos y astutos.
El autor de virus por lo general vive muy de prisa y tal pareciera que adems de
haber incrementado sus conocimientos, ha analizado los errores cometidos por los
anteriores programadores de virus que han permitido que sus especies virales sean
fcilmente detectadas, y es por ello que sin dejar de lado las formas tradicionales de
programacin, ha creado adems sofisticadas rutinas y nuevas metodologas.
Han transcurrido ms de 16 aos desde que el Dr. Fred Cohen expusiese sus
conceptos y teoras y los autores de virus no solamente se han convertido en ms
creativos e ingeniosos, sino que continuarn apareciendo nuevas Tcnicas de
Programacin, aprovechando de la facilidad de propagacin de sus especies virales,
a causa del auge de Internet.
INFECTOR RAPIDO
Un virus infector rpido es aquel que cuando est activo en la memoria infecta no
solamente a los programas cuando son ejecutados sino a aquellos que son
simplemente abiertos para ser ledos. Como resultado de esto sucede que al ejecutar
un explorador (scanner) o un verificador de la integridad (integrity checker), por
ejemplo, puede dar como resultado que todos o por lo menos gran parte de los
programas sean infectados.
26
Virus Informticos
Esta tcnica usa la funcin 3dh de la interrupcin 21h para abrir un archivo
ejecutable en forma muy rpida, empezando preferentemente con el
COMMAND.COM y ubicndose en clusters vacos detrs de un comando interno,
por ejemplo DIR, de tal modo que no solamente no incrementa el tamao del archivo
infectado sino que adems su presencia es inadvertible.
Puede darse el caso adems, de que cuando se ejecuta un archivo EXE o COM ste
no es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son
alterados. Si bajo esta tcnica se ha decidido atacar a las reas del sistema el cdigo
viral reemplaza a los 512 bytes del sector de arranque y enva el sector original a
otra posicin en el disco, pero a su vez emular al verdadero, y al ser un "clon" de
boot le le ser muy fcil infectar a la FAT y al Master Boot Record o a la Tabla de
Particiones, imposibilitando el acceso al disco.
INFECTOR LENTO
El trmino de infector lento se refiere a un virus que solamente infecta a los archivos
en la medida que stos son ejecutados, modificados o creados, pero con una
salvedad: puede emplear tambin parte de la tcnica del infector rpido pero sin la
instruccin de alteracin o dao inmediato al abrirse un archivo. Con la interrupcin
1Ch del TIMER su autor programa una fecha, la misma que puede ser especfica o
aleatoria (ramdom) para manifestarse.
ESTRATEGIA PARSE
Esta tcnica consiste en instruir al virus para que infecte ocasionalmente, por
ejemplo, cada 10 veces que se ejecute un programa. Otras veces, infecta
nicamente a los archivos de menor extensin y al infectarlos en forma ocasional se
minimiza la posibilidad de descubrirlo fcilmente.
Por otro lado, el contador de ejecuciones de los archivos infectados con virus que emplea
esta modalidad, tiene por lo general ms de una rutina de auto encriptamiento.
27
Virus Informticos
La tcnica "parce" no es tan comnmente usada, pero sus efectos y estragos son muy
lamentables.
ESTILO ARMORED
Tambin conocido como virus blindado, es una forma muy peculiar de
programacin, donde el autor programa una serie de rutinas que usa como cubiertas
o escudos (shells), en el archivo que contiene el virus, para que ste no pueda ser
fcilmente "rastreado" y mucho menos desensamblado.
TECNICA STEALTH
Un virus "stealth" es aquel que cuando est activado esconde las modificaciones
hechas a los archivos o al sector de arranque que estn infectados. Esta tcnica
hace uso de todos los medios posibles para que la presencia del virus pase
totalmente desapercibida, anulan efectos tales como el tamao de los archivos, los
cambios de la fecha, hora o atributo, hasta el decremento de la memoria RAM. Un
ejemplo simple lo constituye el primer virus (c) Brain que infectaba el sector de
28
Virus Informticos
arranque, monitoreando los I/O (entrada y salida) y redireccionando cualquier intento
de leer este sector infectado.
Un fcil mtodo de evadir a los detectores consiste en producir rutinas auto en cripta
doras pero con una "llave variable". La tcnica polimrfica o "mutante" es muy
sofisticada y demanda mucho conocimiento, ingenio y trabajo de programacin tal
como se puede apreciar en el cdigo fuente del virus DARK AVENGER.
Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier rea
vital del sistema, especialmente el MBR, ya sea individualmente, en forma
combinada o en su totalidad. Este estilo de programacin tambin emplea el control
de memoria dinmica as como algoritmos de compresin y descompresin de datos.
29
Virus Informticos
FUNCION DESACTIVADORA o TUNNELING
Un virus que emplea la tcnica del " tnel" intercepta los manipuladores de la
interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo
cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por
ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse,
habindose descubierto virus que usan originales artimaas para infectar a un
sistema sin ser descubiertos. Mencionaremos el caso particular del blgaro DARK
AVENGERD, el virus peruano ROGUE II y el chileno CPW Arica.
Todos ellos tienen rutinas que en forma muy rpida se superponen a los IRQ's
ocupados por las vacunas logrando desactivarlas para acceder directamente a los
servicios del DOS y del BIOS tomando absoluto control del sistema y sin restriccin
alguna.
Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de
Microsoft y otros antivirus son muy conocidas por los creadores de virus.
Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar
a algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus
suelen utilizar esta tcnica en su necesidad de "by-pasear" un virus nuevo y
desconocido que podra estar activo cuando se est explorando un sistema.
Programar el PPI por medio del lenguaje assembler es relativamente fcil y si a esta
programacin se le incluye la funcin correspondiente al TIMER y caracteres de
sonido, se estar creando un virus "musical". Del mismo modo, pero con otras
instrucciones se podr afectar a las impresoras, tarjetas de sonido, de redes o
mdems, provocando diferentes efectos o manifestaciones.
Las tcnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se
pueden programar virus combinando cualquiera de las modalidades explicadas en
este mdulo.
30
Virus Informticos
VIRUS ANEXADO
El virus anexado (attached) no es una tcnica de programacin de virus, es una nueva
modalidad de difundirlo.
Con el incremento del intercambio de informacin por correo electrnico, a causa de
la gran demanda de uso de los servicios de Internet, los desarrolladores de virus
han hallado una nueva forma de difundir sus creaciones. Ella consiste en enviar un
mesaje de correo con un archivo anexado o adjunto, el cual al ser abierto ejecuta el
virus con consecuencias de dao inmediato a los sistemas de los usuarios, que por
motivos de curiosidad cometan el error de abrir estos archivos.
Para lograr este propsito de despertar la curiosidad innata en el ser humano, los
autores de esta modalidad de difusin emplean argumentos en el cuerpo del
mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te adjunto una informacin
muy interesante que te va a convenir", etc., etc.
Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP,
ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o
archivos con extensin .SHS y si adems contienen instrucciones de auto-enviarse
a la Libreta de Direcciones del software de correo del usuario, su propagacin tendr
un efecto multiplicador.
Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orgen
totalmente desconocido se evite aperturar el archivo adjunto y se proceda a
eliminarlo, asi como tambin el mensaje de orgen.
El virus Melissa, difundido en Marzo de 1999, as como el virus Papa son muestras
de esta modalidad de difusin y recientemente el ExploreZip, el LoveLetter y el
VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas
en todo el mundo.
VIRUS EN JAVA
En 1991 Sun Microsystems, empez a desarrollar un proyecto de lenguaje, con el
cdigo GREEN, bajo la direccin de James Goslin, inicialmente con el propsito de
administrar y controlar interactivamente los dispositivos conectados a las redes.
Surgieron algunas situaciones frustrantes, pero por suerte, en pocos aos se
empez a popularizar Internet.
31
Virus Informticos
Java fu inicialemente desarrollado en C++, pero paulatinamente se fu
independizando, escribiendo su propio lenguaje denominado Oak, que finalmente
termin convirtindose en Java. En 23 de Mayo de 1995 fu lanzado al mercado el
HotJava Browser, y ese mismo ao Netscape decidi habilitar a Java en su versin
2.0 de 1996. Es a partir de esa oportunidad que Java empez a popularirase en todo
el mundo.
Java.Beanhive
La tecnologa empleada en este virus tiene varias ventajas. La forma multi-
componente de infeccin permite al virus esconder su cdigo en los archivos
infectados: su longitud crece en muy pequeos valores y despus de una ligera
observacin el cdigo insertado pareciera no ser daino.
32
Virus Informticos
Detalles Tcnicos
33
Virus Informticos
VIRUS EN VBS
Debido al auge de Internet los creadores de virus han encontrado una forma de
propagacin masiva y espectacular de sus creaciones a travs mensajes de correo
electrnico, que contienen archivos Visual Basic Scripts, anexados, los cuales
tienen la extensin .VBS
1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas")
Las conversaciones pueden ser pblicas (todo el canal visualiza lo que el usuario
digita) o privadas (comunicacin entre 2 personas).
34
Virus Informticos
Para "cargar" una sesin de chat los usuarios deben registrarse en un servidor chat,
elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado
"bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar
estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico
amigable.
Este script que contiene el cdigo viral sobrescribe al original, en el sistema remoto
del usuario, logrando infectarlo, as como a todos los usuarios conectados a la vez,
en ese mismo canal.
Estas infecciones tambin se reproducen entre todos los usuarios de una red, una
vez que uno de sus usuarios ha sido infectado.
35
Virus Informticos
VIRUS EN .SHS
La ltima modalidad de propagacin masiva de virus, a travs de Internet ha surgido
a partir de la creacin de un gusano denominado VBS/Stages.SHS, el mismo que ya
tiene algunas variantes,
VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaa a los
usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS),
pero con la extensin .SHS
Los archivos con extensin .SHS (Shell Scraps), son ejecutables de WINDOWS
RUNDLL32, tambin conocidos como Scrap Object Files (Archivos Objeto Basura).
Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensin y
ejecutar el programa que contiene en forma oculta, al hacerle un doble click.
Cuando es distribuido a travs del correo electrnico, transferido como mensaje
dentro de la Red u otro medio basado en la Web, la extensin .SHS se hace visible,
pero una vez que es grabado al disco duro, desaparecer otra vez.
36
Virus Informticos
SINTOMAS DE UN EQUIPO INFECTADO
Para ello, el programa de deteccin de virus debe ser instalado en la memoria, a fin
de que permanentemente se controle cualquier medio de almacenamiento que sea
utilizado con el equipo de cmputo.
37
Virus Informticos
Los archivos ejecutables de los gestores de bases de datos como dBase, Clipper,
FoxPro, etc., estn operativos, sin embargo la estructura de los archivos DBF
estn averiados o cambiados. Lo mismo puede ocurrir con las hojas de clculo
como Lotus 1-2-3, Q-Pro, Excel, etc.
El sistema empieza a colgarse. Puede ser un virus con la orden de provocar
reseteos aleatorios. o Cierto perifricos tales como : la impresora, mdem, tarjeta
de sonido, entre otros no funcionan. o El sistema no carga normalmente o se
interrumpe en los procesos.
Los archivos ejecutables seguirn existiendo pero como el cdigo del virus est
presente en la mayora de los casos aumentar el tamao de los archivos
infectados.
La pantalla muestra smbolos ASCII muy raros comnmente conocidos como
basura, se escuchan sonidos intermitentes, se producen bloqueos de ciertas
teclas.
38
Virus Informticos
Definiremos dao como accin una indeseada, y los clasificaremos segn la cantidad
de tiempo necesaria para reparar dichos daos. Existen seis categoras de daos
hechos por los virus, de acuerdo a la gravedad.
o DAOS TRIVIALES.
Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da
18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse
del virus implica, generalmente, segundos o minutos.
o DAOS MENORES.
Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los
viernes 13, todos los programas que uno trate de usar despus de que el virus haya
infectado la memoria residente. En el peor de los casos, tendremos que reinstalar
los programas perdidos. Esto nos llevar alrededor de 30 minutos.
o DAOS MODERADOS.
Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicacin de Archivos), o sobrescribe el disco rgido. En
este caso, sabremos inmediatamente qu es lo que est sucediendo, y podremos
reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizs nos lleve una
hora.
o DAOS MAYORES.
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el
da en que detectemos la presencia del virus y queramos restaurar el ltimo backup
notaremos que tambin l contiene sectores con la frase, y tambin los backups
anteriores a ese.
39
Virus Informticos
Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados
con posterioridad a ese backup.
o DAOS SEVEROS.
Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales
y progresivos. No sabemos cundo los datos son correctos o han cambiado, pues
no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos
buscar la frase Eddie lives ...).
o DAOS ILIMITADOS.
Los daos que ocasionan estos virus depende de sus autores siendo capaz desde
cambiar la configuracin del Windows, borrar archivos de nuestro disco duro, enviar
por correo cualquier archivo que no nos demos cuenta, mandar a imprimir
documentos inesperadamente, guardar los documentos como plantillas, entre otros.
Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.
40
Virus Informticos
Los macro virus, no pueden grabar los documentos infectados en ningn otro formato
que no sean las plantillas, el archivo es convertido a plantilla y tiende a no permitir
grabar el archivo o documento en ningn otro directorio, usando el comando SAVE
AS. Estos son algunos de los virus ms conocidos que afectan a las macros :
41
Virus Informticos
XM.SOFA : Descubierto en diciembre de 1996, se propaga por medio de un
archivo llamado BOOK.XLT. Este virus contiene cuatro macros :
Cuando se abre un archivo infectado, el virus toma el control y cambia el ttulo arriba
de la ventana a Microsofa Excel en lugar de Microsoft Excel.
INFECCIN
Cuando un documento es abierto por primera vez, la aplicacin (Word, Excel, etc.)
buscan la presencia del macro AutoOpen, si lo encuentra y la variable global
DisableAutoMacros no est seleccionada, entonces Word o Excel automticamente
ejecutan el macro AutoOpen (sin notificar nada al usuario). Al igual sucede cuando
se cierra la aplicacin, se ejecuta la macro AutoClose si est presente.
Al momento de ser infectado, los datos son mezclados con cdigo ejecutable, que
normalmente estn escondidos a la vista del usuario. Entonces cuando se vea el
documento, este estar infectado, se podr trabajar normalmente pero la plantilla
con virus seguir infectando documentos y las macros que utilice.
Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se
graban automticamente al final de cada sesin de trabajo.
EFECTOS
Una vez que se infecta un documento u hoja de clculo, los macro virus son capaces
de aduearse de las funciones de la aplicacin, evitando por ejemplo, que el usuario
guarde la informacin que ha estado escribiendo por minutos u horas, no se puede
mandar a imprimir, entre otros.
42
Virus Informticos
Los macros virus ms conocidos actualmente son de documentos de Microsoft Word.
43
Virus Informticos
4) Win32/Pretty Park: Este programa cuando corre se copia a si mismo al
FILES32.VXD, Y usa al VXD va el entorno para ejecutar algunos archivos
ejecutables. Esto hace que el virus se re-enva a si mismo a toda la libreta de
direcciones
44
Virus Informticos
Este personal es responsable del control de los medios magnticos u pticos
venidos del exterior as como de la posible introduccin de virus en el equipo
de computo.
Dicha actividad ser realizada por el responsable designado para este fin.
45
Virus Informticos
ANTIVIRUS
QU ES UN ANTIVIRUS?.
Los antivirus son programas que fueron creados en la dcada de los 80's con el objetivo de detectar
y eliminar virus informticos.
Con el paso del tiempo los sistemas operativos e internet han evolucionado, lo que ha hecho que
los antivirus se actualicen constantemente, convirtindose en programas avanzados que no slo
detectan los virus, sino que los bloquean, desinfectan archivos y previenen infecciones de los
mismos. Actualmente, los antivirus reconocen diferentes tipos de virus como malware, spyware,
gusanos, troyanos, rootkits, etc
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar
todos y cada uno de los virus existentes.
Es importante aclarar que todo antivirus es un programa y que, como todo programa,
slo funcionar correctamente si es adecuado y est bien configurado. Adems, un
antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100%
de los casos, sino que nunca ser una proteccin total ni definitiva.
La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el
accionar de un virus informtico en una computadora.
46
Virus Informticos
componentes para la deteccin: exploracin de acceso, exploracin requerida, y
suma de comprobacin.
Como el cdigo vrico se une fsicamente a otro archivo, se puede determinar tal
modificacin guardando la informacin del archivo antes de la infeccin.
TIPOS DE ANTIVIRUS
Antivirus Detectores o Rastreadores : Son aquellos antivirus que usan
tcnicas de bsqueda y deteccin explorando o rastreando todo el sistema en
busca de un virus. Estos programas se utilizan para detectar virus que pueden
estar en la memoria, en el sector de arranque del disco duro, en la zona de
particin del disco y en algunos programas. Dependiendo de la forma de analizar
los archivos los podemos clasificar a su vez en antivirus de patrn y heurstico.
Antivirus de Patrn: Realizan el anlisis de los archivos por medio de la
bsqueda en el archivo de una cualidad particular de los virus. Existen antivirus
especficos para un determinado virus, conociendo su forma de atacar y actuar.
Antivirus Heurstico : Este antivirus busca situaciones sospechosas en los
programas, simulando la ejecucin y observando el comportamiento del
programa.
Limpiadores o Eliminadores: Una vez desactivada la estructura del virus
procede a eliminar o erradicar el virus de un archivo, del sector de arranque de un
disco, en la zona de particin de un disco y en algunos programas.
47
Virus Informticos
Estos antivirus deben tener una base de datos con informacin de cada virus
para saber que mtodo de desinfeccin deben usar para eliminar el virus.
ANTIVIRUS INTERNACIONALES
La primera generacin de antivirus eran vacunas TSR o eliminadores para cada
especie de virus. Entre ellos estaban el BBSTOP para el Bouncing Ball, BRSTOP
para el Brain, MBSTOP para el Marihuana, los cuales deban instalarse en el
Autoexec.bat para poder proteger el sistema contra estos virus. Cuando la
48
Virus Informticos
programacin de virus aument se volvi imposible ubicar las diferentes vacunas
residentes en la memoria y ello motiv la generacin de los softwares antivirus.
F-PROT ANTIVIRUS
ANTIVIRUS ANYWARE
VIRUSSCAN DE MCAFEE
Fcil de instalar no ocupa mucha memoria, tiene una grande base de datos,
incluyendo los virus macros, permanece en memoria, se actualiza constantemente
por Internet.
Cheyenne Antivirus
Forefront Antivirus
IBM Antivirus
Pc-Cillin II
Panda Software
49
Virus Informticos
Si se cuenta con un antivirus comercial o registrado, debern tenerse siempre a mano los
telfonos de soporte tcnico.
50
Virus Informticos
UN SISTEMA DE PROTECCIN RESIDENTE: Muchos antivirus incluyen
programas residentes que previenen (en cierta medida), la intrusin de virus y
programas desconocidos a la computadora.
TENER RESPALDOS: Se deben tener respaldados en disco los archivos de
datos ms importantes, adems, se recomienda respaldar todos los archivos
ejecutables. Para archivos muy importantes, es bueno tener un respaldo doble,
por si uno de los discos de respaldo se daa. Los respaldos tambin pueden
hacerse en cinta (tape backup), aunque para el usuario normal es preferible
hacerlo en discos, por el costo que las unidades de cinta representan.
REVISAR TODOS LOS DISCOS NUEVOS ANTES
DE UTILIZARLOS: Cualquier disco que no haya sido previamente utilizado debe
ser revisado, inclusive los programas originales (pocas veces sucede que se
distribuyan discos de programas originales infectados, pero es factible) y los que
se distribuyen junto con revistas de computacin.
REVISAR TODOS LOS DISCOS QUE SE HAYAN
PRESTADO: Cualquier disco que se haya prestado a algn amigo o compaero
de trabajo, an aquellos que slo contengan archivos de datos, deben ser
revisados antes de usarse nuevamente.
REVISAR TODOS LOS PROGRAMAS QUE SE
OBTENGAN POR MDEM O REDES: Una de las grandes vas de contagio la
constituyen Internet y los BBS, sistemas en los cuales es comn la transferencia
de archivos, pero no siempre se sabe desde dnde se est recibiendo
informacin.
REVISAR PERIDICAMENTE LA COMPUTADORA: Se puede considerar
que una buena frecuencia de anlisis es, por lo menos, mensual.
51
Virus Informticos
52
Virus Informticos
http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico
http://www.monografias.com/trabajos15/virus-informatico/virus-informatico.shtml
http://www.alegsa.com.ar/Notas/270.php
http://www.alegsa.com.ar/Notas/70.php
http://www.monografias.com/trabajos12/virudos/virudos.shtml#conclu
escribd.com
53