Computacin II Ing.

Robert Chales
Andino

Juan Cristbal Molina

Dariela Jissell Garcia

Orlin Duany Cerrato

Juan Antonio Umanzor

Oscar Javier Garcia

SAN LORENZO, VALLE 21 DE JUNIO DEL 2017

 Virus Informticos

Introduccin .......................................................................................... Error! Bookmark not defined.

OBJETIVOS ........................................................................................................................................... 6
Objetivo General ............................................................................................................................. 6
Objetivos Especficos ....................................................................................................................... 6
Marco teorico ...................................................................................................................................... 7
HISTORIA DE LOS VIRUS .................................................................................................................. 8
Keneth Thompson ..................................................................................................................... 10
Fred Cohen ................................................................................................................................ 10
DEFINICION DE LOS VIRUS INFORMTICOS .................................................................................. 13
POR QU LLAMARLOS VIRUS?.................................................................................................... 13
CARACTERSTICAS.......................................................................................................................... 14
OTRAS CARACTERSTICAS DE LOS VIRUS INFORMATICOS ...................................................... 14
MOTIVOS PARA CREAR UN VIRUS: ................................................................................................ 15
Cmo nos afectan los virus informticos todos los das? ................................................................ 16
Lentitud de la computadora ............................................................................................................. 16
Correo electrnico ........................................................................................................................... 16
Congelamiento y eliminacin ........................................................................................................... 16
Bloqueos ........................................................................................................................................ 17
Algunos mtodos de infeccin ...................................................................................................... 17
MEDIOS DE PROGACION DE LOS VIRUS ...................................................................................... 18
Aadidura o empalme ............................................................................................................... 18
Insercin .................................................................................................................................... 18
Reorientacin ............................................................................................................................ 18
Polimorfismo ............................................................................................................................. 18
Sustitucin ................................................................................................................................. 18
ESPECIES DE VIRUS ........................................................................................................................ 18
1. Parsitos: ........................................................................................................................... 18

2
 Virus Informticos

2. el sector de arranque inicial .............................................................................................. 19

3. multipartitos...................................................................................................................... 19
4. acompaantes ................................................................................................................... 19
5. de vnculo .......................................................................................................................... 19
6. de fichero de datos ........................................................................................................... 19
Los virus se pueden clasificar de dos formas ................................................................................ 19
FASES DE INFECCION DE UN VIRUS ............................................................................................... 20
CLASES DE VIRUS: .......................................................................................................................... 21
VIRUS POLIMORFICOS ............................................................................................................... 21
VIRUS ESTATICOS ...................................................................................................................... 21
VIRUS RESIDENTES .................................................................................................................... 22
VIRUS DESTRUCTIVOS ............................................................................................................... 22
VIRUS BIPARTIDOS .................................................................................................................... 22
VIRUS COMPAEROS ................................................................................................................ 22
VIRUS DE BOOT (SECTOR DE ARRANQUE) ................................................................................ 22
AUTOREPLICABLES .................................................................................................................... 23
ESQUEMA DE PROTECCIN....................................................................................................... 23
VIRUS INFECTORES DE PROGRAMAS EJECUTABLES .................................................................. 23
VIRUS INVISIBLES ....................................................................................................................... 24
PROGRAMAS MALIGNOS .......................................................................................................... 24
Bombas Lgicas y de Tiempo .................................................................................................... 24
Jokes .......................................................................................................................................... 25
Gusanos ..................................................................................................................................... 25
Caballos de Troya ...................................................................................................................... 25
Windows 95............................................................................................................................... 25
TCNICAS DE VIRUS ....................................................................................................................... 26
Algunas tcnicas y estrategias de programacin de virus ............................................................ 26
INFECTOR RAPIDO ..................................................................................................................... 26
INFECTOR LENTO ...................................................................................................................... 27
ESTRATEGIA PARSE ................................................................................................................... 27
MODALIDAD COMPANION (acompaante)............................................................................. 28

3
 Virus Informticos

ESTILO ARMORED ..................................................................................................................... 28

TECNICA STEALTH ..................................................................................................................... 28
interrupcin 21h funcin 57h. .................................................................................................. 29
VIRUS POLIMORFICOS (mutantes) ........................................................................................... 29
FUNCION DESACTIVADORA o TUNNELING .............................................................................. 30
PROGRAMADORES DEL PPI ....................................................................................................... 30
VIRUS ANEXADO ....................................................................................................................... 31
VIRUS EN JAVA .......................................................................................................................... 31
Java.Beanhive ............................................................................................................................ 32
VIRUS EN VBS ............................................................................................................................ 34
Como atacan los gusanos (VBS/Worms) ....................................................................................... 35
VIRUS EN .SHS ........................................................................................................................... 36
LOS MACRO VIRUS ........................................................................................................................ 40
CARACTERISTICAS DE LOS MACRO VIRUS ................................................................................. 40
METODO DE INFECCION Y EFECTOS DE LOS MACRO VIRUS ..................................................... 42
INFECCIN ................................................................................................................................. 42
ELIMINACION DE UN MACRO VIRUS MANUALMENTE. ........................................................... 43
Ranking de los VIRUS ms difundidos .......................................................................................... 43
COMO PREVENIR LOS VIRUS INFORMATICOS ............................................................................... 44
ANTIVIRUS ......................................................................................................................................... 46
QU ES UN ANTIVIRUS?............................................................................................................... 46
LOS ANTIVIRUS INFORMATICOS.................................................................................................... 46
TIPOS DE ANTIVIRUS ..................................................................................................................... 47
ANTIVIRUS INTERNACIONALES...................................................................................................... 48
RECOMEDACIONES................................................................................ Error! Bookmark not defined.
CONCLUSION ......................................................................................... Error! Bookmark not defined.
WEBGRAFIA ...................................................................................................................................... 53

4
 Virus Informticos

Introducc

Desde su Primera aparicin su crecimiento ha sido sorprendente. En la actualidad

se crean cinco virus diarios aproximadamente, los virus no solamente copian sus
cdigos en forma parcial a otros programas sino que adems lo hacen en reas
importantes de un sistema (sector de arranque, tabla de particin, entre otros).

Un virus no necesariamente tiene que auto reproducirse, pues basta con que se
instale en memoria y desde all ataque a un determinado tipo de archivo o reas del
sistema y lo infecte. Con Internet se hace ms fcil tener el total control de los virus
informticos, lo que resulta perjudicial a todos los usuarios.

El crecimiento veloz de los virus, hace necesario un rpido tratamiento usando las
tcnicas de prevencin, deteccin y eliminacin de virus informticos, tenindose
que llevar a cabo de forma rpida y eficiente.

Como causa de ste crecimiento innumerable de los virus informticos, aparece,

paradjicamente la solucin, mediante las actualizaciones de los antivirus.

5
 Virus Informticos

Fundamenta la comprensin de que es un virus informtico,

todas sus situaciones y cmo podemos actuar.

Definir que es un virus y su concepto.

De tallar cada tipo de virus y como nos afecta.
Identificar conclusiones objetivas acerca del tema.

6
 Virus Informticos

Marco terico

7
 Virus Informticos

HISTORIA DE LOS VIRUS

Desde la aparicin de los virus informticos en 1984 y tal como se les concibe hoy
en da, han surgido muchos mitos y leyendas acerca de ellos. Esta situacin se
agrav con el advenimiento y auge de Internet. A continuacin, un resumen de la
verdadera historia de los virus que infectan los archivos y sistemas de las
computadoras.

1939-1949 Los Precursores

En 1939, el famoso cientfico matemtico John

Louis Von Neumann, de orgen hngaro,
escribi un artculo, publicado en una revista
cientfica de New York, exponiendo su "Teora
y organizacin de autmatas complejos",
donde demostraba la posibilidad de desarrollar
pequeos programas que pudiesen tomar el
control de otros, de similar estructura.

Cabe mencionar que Von Neuman, en 1944

contribuy en forma directa con John Mauchly
y J. Presper Eckert, asesorndolos en la
fabricacin de la ENIAC, una de las
computadoras de Primera Generacin,
quienes construyeran adems la famosa
UNIVAC en 1950.

John Louis von Neumann (1903-1957)

En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jvenes

programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a
manera de entretenimiento crearon un juego al que denominaron CoreWar,
inspirados en la teora de John Von Neumann, escrita y publicada en 1939.

Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet.

Puesto en la prctica, los contendores del CoreWar ejecutaban programas que iban
paulatinamente disminuyendo la memoria del computador y el ganador era el que

8
 Virus Informticos

finalmente consegua eliminarlos totalmente. Este juego fue motivo de concursos en

importantes centros de investigacin como el de la Xerox en California y el
Massachussets Technology Institute (MIT), entre otros. Sin embargo durante
muchos aos el CoreWar fue mantenido en el anonimato, debido a que por aquellos
aos la computacin era manejada por una pequea lite de Intelectuales

A pesar de muchos aos de clandestinidad, existen reportes acerca del virus

Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas
IBM 360, emitiendo peridicamente en la pantalla el mensaje: "I'm a creeper... catch
me if you can!" (Soy una enredadera, agrrenme si pueden). Para eliminar este
problema se cre el primer programa antivirus denominado Reaper (segadora), ya
que por aquella poca se desconoca el concepto de los softwares antivirus.

En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de Amrica,
precursora de Internet, emiti extraos mensajes que aparecan y desaparecan en
forma aleatoria, asimismo algunos cdigos ejecutables de los programas usados
sufran una mutacin. Los altamente calificados tcnicos del Pentgono se
demoraron 3 largos das en desarrollar el programa antivirus correspondiente. Hoy
da los desarrolladores de antivirus resuelven un problema de virus en contados
minutos.

1981 La IBM PC

En Agosto de 1981 la International Business Machine lanza al mercado su primera

computadora personal, simplemente llamada IBM PC. Un ao antes, la IBM haban
buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los
derechos de su sistema operativo CP/M, pero ste se hizo de rogar, viajando a
Miami donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul".

Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y adquiere

a la Seattle Computer Products, un sistema operativo desarrollado por Tim
Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos ligeros
cambios y con el nombre de PC-DOS se lo vendi a la IBM. Sin embargo, Microsoft
retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-DOS.

El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rpido y
Rstico Sistema Operativo de Disco) y tena varios errores de programacin (bugs).
La enorme prisa con la cual se lanz la IBM PC impidi que se le dotase de un buen
sistema operativo y como resultado de esa imprevisin todas las versiones del
llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los
virus, ya que fundamentalmente heredaron muchos de los conceptos de
programacin del antiguo sistema operativo CP/M, como por ejemplo el PSP

9
 Virus Informticos

(Program Segment Prefix), una rutina de apenas 256 bytes, que es ejecutada
previamente a la ejecucin de cualquier programa con extensin EXE o COM.

1983 Keneth Thompson

Este joven ingeniero, quien en 1969 cre el sistema operativo UNIX, resucit las
teoras de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo
protagonista de una ceremonia pblica present y demostr la forma de desarrollar
un virus informtico.

1984Fred Cohen
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la
Al ao siguiente, el Dr. Fred Cohen al ser
galardonado en una graduacin, en su
discurso de agradecimiento incluy las
pautas para el desarrollo de un virus. Este
y otros hechos posteriores lo convirtieron
en el primer autor oficial de los virus,
aunque hubo varios autores ms que
actuaron en el anonimato.

El Dr. Cohen ese mismo ao escribi su

libro "Virus informticos: teora y
experimentos",

donde adems de definirlos los califica

como un grave problema relacionado con
la Seguridad Nacional. Posteriormente
este investigador escribi "El evangelio
segn Fred" (The Gospel according to
Fred), desarroll varias especies virales y
experiment con ellas en un computador
VAX 11/750 de la Universidad de
California del Sur.
revista BYTE reportaron la presencia y difusin de algunos programas que actuaban
como "caballos de Troya", logrando infectar a otros programas.

Al ao siguiente los mensajes y quejas se incrementaron y fue en 1986 que se

reportaron los primeros virus conocidos que ocasionaron serios daos en las IBM
PC y sus clones.

10
 Virus Informticos

1986 El comienzo de la gran epidemia

En ese ao se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron
las primeras especies representativas de difusin masiva. Estas 3 especies virales
tan slo infectaban el sector de arranque de los disckettes. Posteriormente
aparecieron los virus que infectaban los archivos con extensin EXE y COM.

El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de

uno de los precursores de los virus y recin graduado en
Computer Science en la Universidad de Cornell, difundi un
virus a travs de ArpaNet, (precursora de Internet)
logrando infectar 6,000 servidores conectados a la red. La
propagacin la realiz desde uno de los terminales del MIT
(Instituto Tecnolgico de Massashussets).

Cabe mencionar que el ArpaNet empleaba el UNIX, como

sistema operativo. Robert Tappan Morris al ser descubierto,
fue enjuiciado y condenado en la corte de Syracuse, estado
de Nueva York, a 4 aos de prisin y el pago de US $ 10,000
de multa, pena que fue conmutada a libertad bajo palabra y
condenado a cumplir 400 horas de trabajo comunitario.
1991 La fiebre de los virus

En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeaba

como director del Laboratorio de Virologa de la Academia de Ciencias de Bulgaria,
escribi un interesante y polmico artculo en el cual, adems de reconocer a su
pas como el lder mundial en la produccin de virus da a saber que la primera
especie viral blgara, creada en 1988, fue el resultado de una mutacin del virus
Vienna, originario de Austria, que fuera desensamblado y modificado por
estudiantes de la Universidad de Sofa. Al ao siguiente los autores blgaros de
virus, se aburrieron de producir mutaciones y empezaron a desarrollar sus propias
creaciones.

En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se

propag por toda Europa y los Estados Unidos hacindose terriblemente famoso
por su ingeniosa programacin, peligrosa y rpida tcnica de infeccin, a tal punto
que se han escrito muchos artculos y hasta ms de un libro acerca de este virus, el
mismo que posteriormente inspir en su propio pas la produccin masiva de

11
 Virus Informticos

sistema generadores automticos de virus, que permiten crearlos sin necesidad de

programarlos.

1995 Los macro virus

A mediados de 1995 se reportaron en diversas ciudades del mundo la aparicin de

una nueva familia de virus que no solamente infectaban documentos, sino que a su
vez, sin ser archivos ejecutables podan auto replicarse infectando a otros
documentos. Los llamados macro virus tan slo infectaban a los archivos de MS-
Word, posteriormente apareci una especie que atacaba al Ami Pro, ambos
procesadores de textos.

En 1997 se disemina a travs de Internet el primer macro virus que infecta hojas de
clculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta
misma familia de virus que ataca a los archivos de bases de datos de MS-Access.
Para mayor informacin srvanse revisar la opcin Macro Virus, en este mismo
mdulo.
1999 Los virus anexados (atachados)

A principios de 1999 se empezaron a propagar los virus anexados (atachados) a

mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo ao fue
difundido a travs de Internet el peligroso CIH y el ExploreZip, entre otros muchos
ms.

A fines de Noviembre de este mismo ao apareci el BubbleBoy, primer virus que

infecta los sistemas con tan slo leer el mensaje de correo, el mismo que se muestra
en formato HTML. En Junio del 2000 se report el VBS/Stages.SHS, primer virus
oculto dentro del shell de la extensin .SHS.

Resultar imposible impedir que se sigan desarrollando virus en todo el mundo, por
ser esencialmente una expresin cultural de "graffiti ciberntico", as como los
crackers jams se detendrn en su intento de "romper" los sistemas de seguridad
de las redes e irrumpir en ellas con diversas intencionalidades. Podemos afirmar
que la eterna lucha del bien y el mal ahora se han extendido al ciber espacio.

12
 Virus Informticos

DEFINICION DE LOS VIRUS INFORMTICOS

Los virus informticos son programas que utilizan tcnicas sofisticadas, diseados
por expertos programadores, los cuales tienen la capacidad de reproducirse por s
mismos, unirse a otros programas, ejecutando acciones no solicitadas por el
usuario, la mayora de estas acciones son hechas con mala intencin.

Un virus informtico, ataca en cualquier momento, destruyendo toda la informacin

que no est protegida con un antivirus actualizado.

La mayora de los virus suelen ser programas residentes en memoria, se van

copiando dentro de nuestro software. De esta manera cada vez que prestamos
software a otras personas, tambin encontrarn en el interior archivos con virus.

Un virus tiene la capacidad de daar informacin, modificar los archivos y hasta

borrar la informacin un disco duro, dependiendo de su programador o creador.

En la actualidad los virus informticos no solo afectan a los archivos ejecutables de

extensin .EXE y .COM, sino tambin a los procesadores de texto, como los
documentos de Word y hojas de clculo como Excel, esta nueva tcnica de
elaboracin de virus informtico se llama Macro Virus.

POR QU LLAMARLOS VIRUS?

La gran similitud entre el funcionamiento de los virus computacionales y los virus
biolgicos, propici que a estos pequeos programas se les denominara virus.
Los virus en informtica son similares a los que atacan el organismo de los seres
humanos. Es decir son "organismos" generalmente capaces de auto reproducirse,
y cuyo objetivo es destruir o molestar el "husped".

Al igual que los virus orgnicos, los virus en informtica deben ser eliminados antes
de que causen la "muerte" del husped...

Los virus de las computadoras no son ms que programas; y estos virus casi
siempre los acarrean las copias ilegales o piratas.

Provocan desde la prdida de datos o archivos en los medios de almacenamiento

de informacin (diskette, disco duro, cinta), hasta daos al sistema y, algunas veces,
incluyen instrucciones que pueden ocasionar daos al equipo.

13
 Virus Informticos

CARACTERSTICAS:

Estos programas tienen algunas caractersticas muy especiales:

Son muy pequeos.

Casinunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha de

creacin.

Se reproducen a s mismos.

Toman el control o modifican otros programas.

OTRAS CARACTERSTICAS DE LOS VIRUS INFORMATICOS

1.- Los virus pueden infectar mltiples archivos de la computadora infectada (y la

red a la que pertenece): Debido a que algunos virus residen en la memoria, tan
pronto como un disquete o programa es cargado en la misma, el virus se suma
o adhiere a la memoria misma y luego es capaz de infectar cualquier archivo de
la computadora a la que tuvo acceso.

2.- Pueden ser Polimrficos: Algunos virus tienen la capacidad de modificar su

cdigo, lo que significa que un virus puede tener mltiples variantes similares,
hacindolos difciles de detectar.

3.- Pueden ser residentes en la memoria o no: Como lo mencionamos antes, un

virus es capaz de ser residente, es decir que primero se carga en la memoria y
luego infecta la computadora. Tambin puede ser "no residente", cuando el
cdigo del virus es ejecutado solamente cada vez que un archivo es abierto.

4.- Pueden ser furtivos: Los virus furtivos (stealth) primero se adjuntarn ellos
mismos a archivos de la computadora y luego atacarn el ordenador, esto causa
que el virus se esparza ms rpidamente.

5.- Los virus pueden traer otros virus: Un virus puede acarrear otro virus
hacindolo mucho mas letal y ayudarse mutuamente a ocultarse o incluso
asistirlo para que infecte una seccin particular de la computadora.

14
 Virus Informticos

6.- Pueden hacer que el sistema nunca muestre signos de infeccin: Algunos
virus pueden ocultar los cambios que hacen, haciendo mucho ms difcil que el
virus sea detectado.

7.- Pueden permanecer en la computadora an si el disco duro es formateado:

Si bien son muy pocos los casos, algunos virus tienen la capacidad de infectar
diferentes porciones de la computadora como el CMOS o alojarse en el MBR
(sector de bit)

MOTIVOS PARA CREAR UN VIRUS:

A diferencia de los virus que causan resfriados y enfermedades en humanos, los
virus de computadora no ocurren en forma natural, cada uno debe ser programado.
No existen virus benficos.

Algunas veces son escritos como una broma, quiz para irritar a la gente
desplegando un mensaje humorstico. En estos casos, el virus no es ms que una
molestia. Pero cuando un virus es malicioso y causa dao real, quin sabe
realmente la causa? Aburrimiento? Coraje? Reto intelectual? Cualquiera que
sea el motivo, los efectos pueden ser devastadores.

Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su

identificacin

15
 Virus Informticos

Cmo nos afectan los virus informticos todos los das?

Un virus de computadora tendr impacto negativo en tu vida diaria.

Las computadoras se han convertido en una parte integral de nuestra vida cotidiana,
que nos permiten trabajar, mantenernos en contacto con amigos y perder el tiempo.
Sin embargo, un virus puede destruir rpidamente esta rutina, dejndote desconectado
con el mundo que te rodea. Afortunadamente, hay maneras de prevenir que un virus
se infiltre en tu computadora, permitindote mantenerte conectado en todo momento.

Lentitud de la computadora
Uno de los principales sntomas de un virus informtico es la ralentizacin de la
computadora. Las pginas web tardan ms en abrirse, los archivos tardan ms en
descargarse, y el tiempo de respuesta general a los comandos tardar. Si bien esto
puede ser simplemente molesto para algunos, puede ser devastador para las personas
que trabajan con un lmite de tiempo. Por ejemplo, si fueras un escritor independiente
que tiene que tener un trabajo terminado en un cierto tiempo, y haba que recopilar
investigaciones de la web para finalizar dicha asignacin, una computadora lenta
podra hacer ms difcil completar el trabajo. En algunos casos, es posible que no
cumplas la fecha lmite.

Correo electrnico
Enviar y recibir correo electrnico se ha convertido en un elemento clave de la vida
diaria, pero un virus informtico puede tener un efecto negativo en tu capacidad para
hacerlo. Dependiendo de la gravedad del virus, los mensajes de correo electrnico que
enves pueden nunca ser recibidos, y los correos que te enviaron pueden no ser
recibidos. En algunos casos, el propio correo puede ser enviado, pero se eliminarn
los archivos adjuntos. Independientemente del contenido, cuando envas un correo es
porque tiene cierta importancia. Un equipo que ya no puede hacer esto te dejar menos
conectado a los de tu crculo ntimo.

Congelamiento y eliminacin
Un virus informtico puede causar bloqueos en la computadora al azar, lo que obliga a
reiniciarla. Ya sea que ests escribiendo un documento importante, investigando un
proyecto en lnea, o simplemente navegando por la web por diversin, estos frecuentes
congelamientos pueden llegar a ser bastante molestos. Incluso si el equipo no se
congela, documentos y archivos pueden eliminarse de forma automtica, lo que obliga
a componerlos de nuevo. Estos archivos pueden ser borrados al mismo tiempo, o uno
por uno. Un archivo inesperadamente eliminado, especialmente uno que sea necesario
para el trabajo o la escuela, puede causar un gran dolor de cabeza

16
 Virus Informticos
Bloqueos
Tal vez lo peor que un virus puede hacer a tu equipo es hacer que se cierre por
completo. Una vez que se bloquea, todo el trabajo no guardado se perder para
siempre. Cuanto ms frecuentes los bloqueos, tanto ms problemtico el asunto que
tendrs. El virus sobrecargar el espacio en disco en el equipo, causando el bloqueo.
En algunos casos, el virus ocupar tanto espacio que un programa antivirus no puede
instalarse. Si el equipo est libre de virus, asegrate de instalar un programa antivirus
para proteccin futura. Siempre haz una copia de seguridad de los archivos importantes
en un disco duro externo, una unidad flash o un dispositivo similar para evitar la prdida
de informacin valiosa.

Algunos mtodos de infeccin

Es el usuario final el que contribuye a la propagacin de las infecciones de virus

informticos en los sistemas. (Intercambiando informacin: Memorias o dispositivos
de almacenamiento, Internet, correo electrnicos etc.)
Uno de los mecanismos ms populares en que los virus se propagan en nuestros das
es mediante los cookis (archivos de informacin temporal de INTERNET que se crean
en nuestros discos duros como referencia de los sitios que se visitan). Los cookis son
instrucciones maliciosas por lo general se encuentran en los siguientes sitios:

Sitios de Intercambio de informacin ilegal: centros de distribucin de copias

pirateadas de archivos, pginas web que contienen informacin de series de
activaciones de software o mejor conocidas como Web Hackers Pages.
Sitios de contenido exclusivo para adultos: Sitios que contienen pornografa
de cualquier tipo, sitios en donde se hacen citas.
Sitios de Descuento
Sitios de Juegos: Juegos de cualquier tipo.
Mediante mensajes de Correo electrnico: muchos usuarios se infectan mediante
correos masivos (Spam Email) que se envan a sus direcciones, por remitentes
desconocidos.

La mejor forma de controlar una infeccin es mediante la educacin previa de los

usuarios del sistema. Es importante saber qu hacer en el momento justo para frenar
un avance que podra extenderse a mayores. Como toda instancia de educacin ser
necesario mantenerse actualizado e informado de los ltimos avances en el tema,
leyendo noticias, suscribindose a foros de discusin, leyendo pginas web
especializadas, etc.

17
 Virus Informticos
MEDIOS DE PROGACION DE LOS VIRUS
Aadidura o empalme
El cdigo del virus se agrega al final del archivo a infectar, modificando las estructuras
de arranque del archivo de manera que el control del programa pase por el virus antes
de ejecutar el archivo. Esto permite que el virus ejecute sus tareas especficas y luego
entregue el control al programa. Esto genera un incremento en el tamao del archivo lo
que permite su fcil deteccin.
Insercin
El cdigo del virus se aloja en zonas de cdigo no utilizadas o en segmentos de datos
para que el tamao del archivo no vare. Para esto se requieren tcnicas muy
avanzadas de programacin, por lo que no es muy utilizado este mtodo.
Reorientacin
Es una variante del anterior. Se introduce el cdigo principal del virus en zonas fsicas
del disco rgido que se marcan como defectuosas y en los archivos se implantan
pequeos trozos de cdigo que llaman al cdigo principal al ejecutarse el archivo. La
principal ventaja es que al no importar el tamao del archivo el cuerpo del virus puede
ser bastante importante y poseer mucha funcionalidad. Su eliminacin es bastante
sencilla, ya que basta con reescribir los sectores marcados como defectuosos.
Polimorfismo
Este es el mtodo mas avanzado de contagio. La tcnica consiste en insertar el cdigo
del virus en un archivo ejecutable, pero para evitar el aumento de tamao del archivo
infectado, el virus compacta parte de su cdigo y del cdigo del archivo anfitrin, de
manera que la suma de ambos sea igual al tamao original del archivo. Al ejecutarse el
programa infectado, acta primero el cdigo del virus descompactando en memoria las
porciones necesarias. Una variante de esta tcnica permite usar mtodos de
encriptacin dinmicos para evitar ser detectados por los antivirus.
Sustitucin
Es el mtodo mas tosco. Consiste en sustituir el cdigo original del archivo por el del
virus. Al ejecutar el archivo deseado, lo nico que se ejecuta es el virus, para disimular
este proceder reporta algn tipo de error con el archivo de forma que creamos que el
problema es del archivo.

ESPECIES DE VIRUS

Existen seis categoras de virus:

1. Parsitos: Los virus parsitos infectan ficheros ejecutables o programas de la
computadora. No modifican el contenido del programa husped, pero se
adhieren al husped de tal forma que el cdigo del virus se ejecuta en primer
lugar. Estos virus pueden ser de accin directa o residentes Un virus de accin
directa selecciona uno o ms programas para infectar cada vez que se ejecuta.
Un virus residente se oculta en la memoria del ordenador e infecta un programa
determinado cuando se ejecuta dicho programa

18
 Virus Informticos
2. el sector de arranque inicial, Los virus del sector de arranque inicial residen en
la primera parte del disco duro o flexible, conocida como sector de arranque
inicial, y sustituyen los programas que almacenan informacin sobre el contenido
del disco o los programas que arrancan el ordenador. Estos virus suelen
difundirse mediante el intercambio fsico de discos flexibles.

3. multipartitos, Los virus multipartitos combinan las capacidades de los virus

parsitos y de sector de arranque inicial, y pueden infectar tanto ficheros como
sectores de arranque inicial.

4. acompaantes, Los virus acompaantes no modifican los ficheros, sino que

crean un nuevo programa con el mismo nombre que un programa legtimo y
engaan al sistema operativo para que lo ejecute. Los virus de vnculo modifican
la forma en que el sistema operativo encuentra los programas, y lo engaan para
que ejecute primero el virus y luego el programa deseado.

5. de vnculo, Un virus de vnculo puede infectar todo un directorio (seccin) de una

computadora, y cualquier programa ejecutable al que se acceda en dicho
directorio desencadena el virus. Otros virus infectan programas que contienen
lenguajes de macros potentes (lenguajes de programacin que permiten al
usuario crear nuevas caractersticas y herramientas) que pueden abrir,
manipular y cerrar ficheros de datos.

6. de fichero de datos, Estos virus, llamados virus de ficheros de datos, estn

escritos en lenguajes de macros y se ejecutan automticamente cuando se abre
el programa legtimo. Son independientes de la mquina y del sistema operativo.

Los virus se pueden clasificar de dos formas

Por su destino de infeccin y,
por sus acciones o modo de activacin.

19
 Virus Informticos
FASES DE INFECCION DE UN VIRUS
Primera Fase (Infeccin)

El virus pasa a la memoria del computador, tomando el control del mismo, despus de
intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de
ejecutar un archivo infectado.

El virus pasa a la memoria y el sistema se ejecuta, el programa funciona aparentemente

con normalidad, de esta forma el usuario no se da cuenta de que su sistema est siendo
infectado.

Segunda Fase (Latencia)

Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema
Cuando son ejecutados o atacando el sector de arranque del
disco duro.

De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendr el sector de arranque del disco, y los archivos del
sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura,
dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar
el sistema.

Tercera Fase (Activacin)

Esta es la ltima fase de la vida de un virus y es la fase en donde el virus se hace

presente.

La activacin del virus trae como consecuencia el despliegue de todo su potencial

destructivo, y se puede producir por muchos motivos, dependiendo de cmo lo cre su
autor y de la versin de virus que se trate, debido a que en estos tiempo encontramos
diversas mutaciones de los virus.

Algunos virus se activan despus de un cierto nmero de ejecuciones de un programa

infectado o de encender el sistema operativo; otros simplemente esperan a que se
escriba el nombre de un archivo o de un programa.

La mayora de los virus se activan mediante el reloj del sistema para comprobar la fecha
y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna
condicin y por ltimo atacan, el dao que causan depende de su autor.

20
 Virus Informticos
CLASES DE VIRUS:

VIRUS POLIMORFICOS
Muy difciles de detectar y eliminar, debido a que cada copia del virus es
diferente de otras copias.

Sus instrucciones cambian cada vez que se autoencriptan. o El virus produce varias
copias diferentes de s mismo. o Cambian su forma (cdigo) cada vez que infectan un
sistema, de esta manera parece siempre un virus distinto y es ms difcil que puedan
ser detectados por un programa antivirus.

Pero existe un fallo en esta tcnica, y es que un virus no puede codificarse por
completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta rutina la
que buscan los antivirus para la deteccin del virus.

VIRUS ESTATICOS

Tipo de virus ms antiguos y poco frecuentes

Su medio de propagacin es a travs de programas ejecutables.

Su forma de actuar es sencilla.

Cuando abrimos un archivo infectado, el virus toma el control y contamina otro archivo
que no est todava infectado.

Normalmente infectan archivos del mismo directorio, o puede ser que tengan objetivos
fijos como el COMMAND.COM del Sistema Operativo.

No permanecen en memoria ms que el tiempo necesario para infectar uno o varios

archivos.

Pueden ser virus destructivos en el caso de que sobrescriban la informacin del

programa principal con su cdigo de manera irreversible.

A veces bloquean el control del sistema operativo, sobrescribindolo.

21
 Virus Informticos
VIRUS RESIDENTES
Virus que permanecen indefinidamente en memoria incluso despus de haber
finalizado el programa portador del virus. Una vez ejecutado el programa portador del
virus, ste pasa a la memoria del computador y se queda all hasta que apaguemos el
ordenador. Mientras tanto va infectando todos aquellos programas ejecutables que
utilicemos.

VIRUS DESTRUCTIVOS
Microprogramas muy peligrosas para la integridad de nuestro sistema y nuestros
datos.
Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco duro.
Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestin de
segundos inutilizan los datos del disco duro.

VIRUS BIPARTIDOS
Es un virus poco frecuente.
Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su cdigo (el
algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero puede
haber otra versin del mismo virus que incorpore ese algoritmo. Si ambos virus
coinciden en nuestro computador, y se unen en uno slo, se convierten en un virus
destructivo.

VIRUS COMPAEROS
Son los virus ms sencillos de hacer. O Cuando en un mismo directorio existen dos
programas ejecutables con el mismo nombre pero uno con extensin .COM y el otro
con extensin .EXE, el MS-DOS carga primero el archivo con extensin .COM. O Si se
crea un archivo .COM oculto, con el mismo nombre que el otro archivo ejecutable de
extensin .EXE. Primero se cargar en la memoria el archivo .COM que contiene el
virus. Despus el virus llamara al programa original. O El archivo infectado no podra
ser visto con un simple comando DIR en porque contiene el atributo de oculto.

VIRUS DE BOOT (SECTOR DE ARRANQUE)

Como su nombre lo indica, infecta el sector de arranque del disco duro.
Dicha infeccin se produce cuando se intenta cargar el sistema operativo desde un
disco infectado. Infecta los diskettes o discos duros, alojndose en el boot sector.
Cuando se enciende el computador, lo primero que hace la BIOS es inicializar todo
(tarjetas de vdeo, unidades de disco, chequear memoria, entre otros). Y entonces lee
el primer sector del disco duro, colocndolo en la memoria.
Normalmente es un pequeo programa que se encarga de preparar al Sistema
Operativo.
Lo que hace este tipo de virus es sustituir el boot sector original por el programa con el
virus informtico para que se cargue en el Sistema Operativo. Almacenando el boot
sector original en otra parte del disco o simplemente lo reemplaza en su totalidad.

22
 Virus Informticos
Tambin localiza un sitio en el Disco Duro para guardar la antigua rutina que haba en
el BOOT.

AUTOREPLICABLES
Realizan funciones parecidas a los virus biolgicos. Ya que se auto replican e infectan
los programas ejecutables que se encuentren en el disco.
Se activan en una fecha, hora programada, cada determinado tiempo, contando a partir
de su ltima ejecucin o simplemente al sentir que se les trata de detectar.

ESQUEMA DE PROTECCIN
No son virus destructivos.
Se activan cuando se intenta copiar un archivo que est protegido contra
escritura.
Tambin se ejecutan cuando se intenta copiar software o programas.

VIRUS INFECTORES DE PROGRAMAS EJECUTABLES

La infeccin se produce al ejecutar el programa que contiene el virus, en ese

momento busca todos los programas cuyas extensiones sean .COM o .EXE.
Cuando un programa infectado est ejecutndose, el virus puede permanecer
residente en memoria e infectar cada programa que se ejecute.
Los virus de este tipo tienen dos formas de alojarse en el ejecutable.
Graban su cdigo de inicio al principio del archivo, realizando un salto para
ejecutar el programa bsico y regresar al programa infectado.
Sobrescribiendo en los sectores del disco, haciendo prcticamente imposible su
recuperacin, si no cuenta con los originales.

23
 Virus Informticos

VIRUS INVISIBLES
Este tipo de virus intenta esconderse del Sistema Operativo mediante varias
tcnicas.
Pueden modificar el tamao del archivo infectado, para que no se note que se le ha
aadido un virus.
Pueden utilizar varias tcnicas para que no se les pueda encontrar en la memoria
del ordenador engaando a los antivirus.
Normalmente utilizan la tcnica de Stealth o Tunneling.

PROGRAMAS MALIGNOS

Son programas que deliberadamente borran archivos o software indicados por sus autores
eliminndose as mismo cuando terminan de destruir la informacin.

Entre los principales programas malignos tenemos:

Bombas Lgicas
Bombas de Tiempo
Jokes
Gusanos
Caballos de Troya

Bombas Lgicas y de Tiempo

Son programas ocultos en la memoria del sistema o en el disco, o en los
archivos de programas ejecutables con extensin .COM y .EXE.
Una Bomba de Tiempo se activa en una fecha, hora o ao determinado.
Puede formatear el disco duro.
El dao que las bombas de tiempo puedan causar depende de su autor.
Una Bomba Lgica se activa al darse una condicin especfica.
Tanto las bombas lgicas como las bombas de tiempo, aparentan el mal
funcionamiento del computador, hasta causar la prdida de la informacin.

24
 Virus Informticos
Jokes
Son programas desarrollados con el objetivo de hacer bromas, de mal gusto,
ocasionando distraccin y molestias a los usuarios.
Simulan el comportamiento de Virus, constituyen
Bombas Lgicas o de Tiempo.
Muestran en la pantalla mensajes extraos con la nica intencin de fastidiar al usuario.

Gusanos
Es un programa que se auto reproduce:
No infecta otros programas como lo hara un virus, pero crea copias de l, las
cuales crean ms copias.

Son ms usados para atacar en grandes sistemas informticos mediante una red de
comunicaciones como Intranet o Internet, donde el gusano crear ms copias
rpidamente, obstruyendo el sistema.

Se propagan rpidamente en las computadoras.

Utilizan gran cantidad de memoria del computador,

disminuyendo la velocidad de ste.

Caballos de Troya
Son aquellos programas que se introducen en el sistema bajo una apariencia
totalmente diferente a la de su objetivo final.
Se presentan como informacin perdida o basura sin ningn sentido.
Pero al cabo de un determinado tiempo y
Esperando la indicacin del programa, se activan y comienzan a ejecutarse.

Sus autores lo introducen en los programas ms utilizados o softwares ilegales como

por ejemplo :

Windows 95
No se auto reproducen.
Su misin es destruir toda la informacin que se encuentra en los discos.

25
 Virus Informticos
TCNICAS DE VIRUS
Las tecnologas de software han evolucionado asombrosamente en los ltimos
tiempos al igual que las arquitecturas de hardware y continan hacindolo da a da.
De este avance no se podra dejar de mencionar la creacin de los virus y sus
programas antivirus, lo cual ha motivado que ahora se empleen nuevas tcnicas y
sofisticadas estrategias de programacin, con el objeto de lograr especies ms
dainas y menos detectables y por consiguiente los software antivirus tienen que ser
ms acuciosos y astutos.

El lenguaje de programacin por excelencia para desarrollar virus, es el Assembler

pues los denominados lenguajes de alto nivel como Turbo Pascal, C, gestores de
bases de datos, etc. han sido diseados para producir software aplicativos. Una
excepcin a la regla son los Macro Virus, tratados por separado y los virus
desarrollados en Java Scripts, Visual Basic Scripts y de Controles Activex, a partir
de 1999.

Estos hechos demuestran fehacientemente que no existe ningn impedimento para

que se puedan programar virus en lenguajes diferentes al assembler, aunque con
ninguno de ellos se podra generar las rdenes directas para tomar control de las
interrupciones, o saltar de un programa anfitrin (host) o receptor, a otro en forma
tan rpida y verstil.

El autor de virus por lo general vive muy de prisa y tal pareciera que adems de
haber incrementado sus conocimientos, ha analizado los errores cometidos por los
anteriores programadores de virus que han permitido que sus especies virales sean
fcilmente detectadas, y es por ello que sin dejar de lado las formas tradicionales de
programacin, ha creado adems sofisticadas rutinas y nuevas metodologas.

Han transcurrido ms de 16 aos desde que el Dr. Fred Cohen expusiese sus
conceptos y teoras y los autores de virus no solamente se han convertido en ms
creativos e ingeniosos, sino que continuarn apareciendo nuevas Tcnicas de
Programacin, aprovechando de la facilidad de propagacin de sus especies virales,
a causa del auge de Internet.

Algunas tcnicas y estrategias de programacin de virus:

INFECTOR RAPIDO
Un virus infector rpido es aquel que cuando est activo en la memoria infecta no
solamente a los programas cuando son ejecutados sino a aquellos que son
simplemente abiertos para ser ledos. Como resultado de esto sucede que al ejecutar
un explorador (scanner) o un verificador de la integridad (integrity checker), por
ejemplo, puede dar como resultado que todos o por lo menos gran parte de los
programas sean infectados.

26
 Virus Informticos
Esta tcnica usa la funcin 3dh de la interrupcin 21h para abrir un archivo
ejecutable en forma muy rpida, empezando preferentemente con el
COMMAND.COM y ubicndose en clusters vacos detrs de un comando interno,
por ejemplo DIR, de tal modo que no solamente no incrementa el tamao del archivo
infectado sino que adems su presencia es inadvertible.

Puede darse el caso adems, de que cuando se ejecuta un archivo EXE o COM ste
no es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son
alterados. Si bajo esta tcnica se ha decidido atacar a las reas del sistema el cdigo
viral reemplaza a los 512 bytes del sector de arranque y enva el sector original a
otra posicin en el disco, pero a su vez emular al verdadero, y al ser un "clon" de
boot le le ser muy fcil infectar a la FAT y al Master Boot Record o a la Tabla de
Particiones, imposibilitando el acceso al disco.

INFECTOR LENTO
El trmino de infector lento se refiere a un virus que solamente infecta a los archivos
en la medida que stos son ejecutados, modificados o creados, pero con una
salvedad: puede emplear tambin parte de la tcnica del infector rpido pero sin la
instruccin de alteracin o dao inmediato al abrirse un archivo. Con la interrupcin
1Ch del TIMER su autor programa una fecha, la misma que puede ser especfica o
aleatoria (ramdom) para manifestarse.

Mientras tanto el virus permanece inactivo y encriptado en el archivo o rea afectada

esperando su tiempo de activacin. Los virus del tipo "inyector lento" suelen emplear
rutinas de anti-deteccin sumamente eficientes, algunas de las cuales inhabilitan a
las vacunas de los antivirus ms conocidos.

Existen muchsimos software Utilitarios u otras herramientas Tools), que se obtienen

en forma gratuita por Internet, que muestran las interrupciones que usan las vacunas
al cargarse en memoria. Una vez conocidos estos IRQ's resultar muy fcil para un
desarrollador de virus encontrar la forma de deshabilitar o saltear el control de ciertas
vacunas.

ESTRATEGIA PARSE
Esta tcnica consiste en instruir al virus para que infecte ocasionalmente, por
ejemplo, cada 10 veces que se ejecute un programa. Otras veces, infecta
nicamente a los archivos de menor extensin y al infectarlos en forma ocasional se
minimiza la posibilidad de descubrirlo fcilmente.

Por otro lado, el contador de ejecuciones de los archivos infectados con virus que emplea
esta modalidad, tiene por lo general ms de una rutina de auto encriptamiento.

27
 Virus Informticos
La tcnica "parce" no es tan comnmente usada, pero sus efectos y estragos son muy
lamentables.

MODALIDAD COMPANION (acompaante)

Modalidad Companion (acompaante) es aquella por la cual el virus en lugar de
modificar un archivo existente, al infectarlo crea un nuevo archivo del mismo nombre,
el cual es inadvertido por el usuario. Resulta poco menos que imposible que alguien
recuerde el nombre de todos los archivos de los sub-directorios de su disco duro.

Cuando un programa es ejecutado, por ejemplo WP.EXE, ste invoca al conocido

procesador de textos, pero el virus ya ha creado un falso WP.COM, de tal modo que
ste es ejecutado en primer lugar, por ser un archivo COM de una sola imagen
(mximo 64k) y puede arrastrar el cdigo viral sin que el usuario se percate. Y as
continuar hacindolo. Ms an, los verificadores de integridad (integrity checkers)
fallarn en la accin de detectar este tipo de virus ya que stos utilitarios solo buscan
los archivos existentes.

Debido a que sta no es una tcnica frecuentemente empleada, algunos

investigadores de virus denominan a los virus ANEXADOS, como virus
COMPANION, que a nuestro criterio no es su exacto concepto y clasificacin.

ESTILO ARMORED
Tambin conocido como virus blindado, es una forma muy peculiar de
programacin, donde el autor programa una serie de rutinas que usa como cubiertas
o escudos (shells), en el archivo que contiene el virus, para que ste no pueda ser
fcilmente "rastreado" y mucho menos desensamblado.

Pueden ser una o ms rutinas de encriptamiento, sobrepuestas unas sobre otras. Se

les conoce tambin como "virus anti-debuggers". El Dark Avenger, producido en
Bulgaria en 1987 fu el primer virus que us conjuntamente las tecnologas
ARMORED y STEALTH. En Junio del 2000 se report el gusano VBS/Stages.SHS,
el primer virus oculto propagado masivamente a travs de mensajes de correo
electrnico en Internet.

TECNICA STEALTH
Un virus "stealth" es aquel que cuando est activado esconde las modificaciones
hechas a los archivos o al sector de arranque que estn infectados. Esta tcnica
hace uso de todos los medios posibles para que la presencia del virus pase
totalmente desapercibida, anulan efectos tales como el tamao de los archivos, los
cambios de la fecha, hora o atributo, hasta el decremento de la memoria RAM. Un
ejemplo simple lo constituye el primer virus (c) Brain que infectaba el sector de

28
 Virus Informticos
arranque, monitoreando los I/O (entrada y salida) y redireccionando cualquier intento
de leer este sector infectado.

Cuando un virus "Stealth" est activo en memoria cualquiera de estos cambios

pasarn desapercibidos al realizar un DIR, por ejemplo, ya que el virus habr tomado
control de todo el sistema. Para lograr este efecto, sus creadores usan la

interrupcin 21h funcin 57h.

Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de virus y

con la proteccin contra escritura, al efectuar la misma orden DIR se detectarn los
cambios causados a los archivos infectados. Un virus de boot programado con esta
tcnica reemplaza perfectamente al verdadero sector de arranque, que tiene apenas
512 bytes y al cual mueve hacia otro lugar del disco pero que con una instruccin de
salto vuelve otra vez a utilizarlo.

Hoy da es posible crear virus con la tcnica Stealth, en cualquier lenguaje de

programacin, adems del Assembler.

VIRUS POLIMORFICOS (mutantes)

Son quizs los ms difciles de detectar y en consecuencia de eliminar. Sus valores
en la programacin van cambiando secuencialmente cada vez que se
autoencriptan, de tal forma que sus cadenas no son las mismas. El virus polimrfico
produce varias, pero diferentes copias de s mismo, manteniendo operativo su micro
cdigo viral.

Un fcil mtodo de evadir a los detectores consiste en producir rutinas auto en cripta
doras pero con una "llave variable". La tcnica polimrfica o "mutante" es muy
sofisticada y demanda mucho conocimiento, ingenio y trabajo de programacin tal
como se puede apreciar en el cdigo fuente del virus DARK AVENGER.

Sin embargo existe uno de los ms ingeniosos generadores automticos de virus,

llamado "Mutation Engine" (distribuido gratuitamente en Internet), que emplea un
polimorfismo en la forma de mdulo objeto. Con este generador cualquier virus
puede convertirse en polimrfico al agregarle ciertas llamadas a su cdigo assembler
y "enlazndolas" al Mutation Engine, por medio de un generador de nmeros
aleatorios.

Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier rea
vital del sistema, especialmente el MBR, ya sea individualmente, en forma
combinada o en su totalidad. Este estilo de programacin tambin emplea el control
de memoria dinmica as como algoritmos de compresin y descompresin de datos.

29
 Virus Informticos
FUNCION DESACTIVADORA o TUNNELING
Un virus que emplea la tcnica del " tnel" intercepta los manipuladores de la
interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo
cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por
ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse,
habindose descubierto virus que usan originales artimaas para infectar a un
sistema sin ser descubiertos. Mencionaremos el caso particular del blgaro DARK
AVENGERD, el virus peruano ROGUE II y el chileno CPW Arica.

Todos ellos tienen rutinas que en forma muy rpida se superponen a los IRQ's
ocupados por las vacunas logrando desactivarlas para acceder directamente a los
servicios del DOS y del BIOS tomando absoluto control del sistema y sin restriccin
alguna.

Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de
Microsoft y otros antivirus son muy conocidas por los creadores de virus.

Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar
a algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus
suelen utilizar esta tcnica en su necesidad de "by-pasear" un virus nuevo y
desconocido que podra estar activo cuando se est explorando un sistema.

PROGRAMADORES DEL PPI

La mayora de virus "musicales" y los que afectan a los perifricos pertenecen a
esta categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya sea
una tarjeta de sonido, un mdem o CD-ROM por ejemplo, el software instalador de
cada uno de stos se encarga de programar automticamente el PPI (Interfase
Programable de Perifricos) definiendo un canal DMA (acceso directo a memoria) y
un IRQ (interrupt request), los cuales son asignados para ser usados
especficamente por cada perifrico, para evitar que tengan conflictos con otros ya
existentes.

Programar el PPI por medio del lenguaje assembler es relativamente fcil y si a esta
programacin se le incluye la funcin correspondiente al TIMER y caracteres de
sonido, se estar creando un virus "musical". Del mismo modo, pero con otras
instrucciones se podr afectar a las impresoras, tarjetas de sonido, de redes o
mdems, provocando diferentes efectos o manifestaciones.

Las tcnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se
pueden programar virus combinando cualquiera de las modalidades explicadas en
este mdulo.

30
 Virus Informticos
VIRUS ANEXADO
El virus anexado (attached) no es una tcnica de programacin de virus, es una nueva
modalidad de difundirlo.
Con el incremento del intercambio de informacin por correo electrnico, a causa de
la gran demanda de uso de los servicios de Internet, los desarrolladores de virus
han hallado una nueva forma de difundir sus creaciones. Ella consiste en enviar un
mesaje de correo con un archivo anexado o adjunto, el cual al ser abierto ejecuta el
virus con consecuencias de dao inmediato a los sistemas de los usuarios, que por
motivos de curiosidad cometan el error de abrir estos archivos.

Para lograr este propsito de despertar la curiosidad innata en el ser humano, los
autores de esta modalidad de difusin emplean argumentos en el cuerpo del
mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te adjunto una informacin
muy interesante que te va a convenir", etc., etc.

Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP,
ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o
archivos con extensin .SHS y si adems contienen instrucciones de auto-enviarse
a la Libreta de Direcciones del software de correo del usuario, su propagacin tendr
un efecto multiplicador.

Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orgen
totalmente desconocido se evite aperturar el archivo adjunto y se proceda a
eliminarlo, asi como tambin el mensaje de orgen.

El virus Melissa, difundido en Marzo de 1999, as como el virus Papa son muestras
de esta modalidad de difusin y recientemente el ExploreZip, el LoveLetter y el
VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas
en todo el mundo.

VIRUS EN JAVA
En 1991 Sun Microsystems, empez a desarrollar un proyecto de lenguaje, con el
cdigo GREEN, bajo la direccin de James Goslin, inicialmente con el propsito de
administrar y controlar interactivamente los dispositivos conectados a las redes.
Surgieron algunas situaciones frustrantes, pero por suerte, en pocos aos se
empez a popularizar Internet.

Entonces el proyecto se convirti en un intento de resolver simultneamente, todos

los problemas que se le planteaban a los desarrolladores de software por la
diversidad de arquitecturas incompatibles, los sistemas operativos y lenguajes de
programacin y la dificultad de crear aplicaciones distribuidas en Internet.

31
 Virus Informticos
Java fu inicialemente desarrollado en C++, pero paulatinamente se fu
independizando, escribiendo su propio lenguaje denominado Oak, que finalmente
termin convirtindose en Java. En 23 de Mayo de 1995 fu lanzado al mercado el
HotJava Browser, y ese mismo ao Netscape decidi habilitar a Java en su versin
2.0 de 1996. Es a partir de esa oportunidad que Java empez a popularirase en todo
el mundo.

Las caractersticas ms importantes de Java son:

1. Es de arquitectura portable, neutral y robusta.

2. Es simple, orientada a objeto y muy verstil.
3. Es interpretado. El intrprete Java (system run-time) puede ejecu cdigo objeto.

Un Applet de Java es un programa dinmico e interactivo que puede ser ejecutado

dentro de un archivo HTML y mostrado por un navegador con capacidad Java. Un
programa Java puede ser ejecutado por s mismo. En todos los casos, bajo una
jerarqua de Clase, Sub-Clase o Super Clase.

Con todas estas caractersticas de un poderoso lenguaje, los creadores de virus

pensaron tambin en Java, como un medio para producir especies virales. Debido a
ciertas restricciones definidas en las propiedades de seguridad, tanto de los sistemas
operativos, as como de los navegadores, hasta la fecha existen solamente 2 virus
de Java notables:

Java.Beanhive
La tecnologa empleada en este virus tiene varias ventajas. La forma multi-
componente de infeccin permite al virus esconder su cdigo en los archivos
infectados: su longitud crece en muy pequeos valores y despus de una ligera
observacin el cdigo insertado pareciera no ser daino.

La combinacin del llamado starter-main tambin le permite a su autor, "actualizar"

el virus con nuevas versiones al reemplazar el cdigo principal en su servidor. Cabe
mencionar que este virus o cualquier virus de Java se puede propagar y reproducir
en condiciones limitadas. La proteccin estndar de seguridad de los navegadores
cancela cualquier intento de acceder a las unidades de disco o recoger (download)
archivos como una aplicacin Java, an en modo remoto.

Consecuentemente el virus puede ser propagado nicamente cuando es ejecutado en un

archivo de disco, como una aplicacin Java, al usar el Java machine.

32
 Virus Informticos
Detalles Tcnicos

El ejecutor del virus es un pequeo programa Java de apenas 40 lneas de cdigo,

que cuando toma el control de un sistema, se conecta al servidor WEB remoto, enva
(download) el cdigo del virus que es guardado en el archivo BeanHive.class y se
ejecuta como una sub-rutina. El cdigo viral est dividido en 6 partes y es
almacenado en 6 diferentes archivos Java:

BeanHive.class : bsqueda de archivos en un rbol de directorio

+--- e89a763c.class : analiza el formateo de archivo

|--- a98b34f2.class : acceso a las funciones del archivo

|--- be93a29f.class : preparacin para la infeccin (parte 1)

|--- c8f67b45.class : preparacin para la infeccin (parte 2)

+--- dc98e742.class : insertado del virus en el sistema infectado

Al infectar el virus, analiza los formatos internos de Java, escribe en el archivo el

cdigo de inicio como una sub-rutina "loadClass" y agrega al archivo constructor de
cdigos, la invocacin para su sub-rutina loadClass "BeanHive". El parmetro
enviado "BeanHive" apunta al nombre del archivo remoto en el servidor WEB y
empieza la infeccin con su cdigo viral.

33
 Virus Informticos
VIRUS EN VBS
Debido al auge de Internet los creadores de virus han encontrado una forma de
propagacin masiva y espectacular de sus creaciones a travs mensajes de correo
electrnico, que contienen archivos Visual Basic Scripts, anexados, los cuales
tienen la extensin .VBS

El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de

instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT y
2000 este tipo de archivos dej de ser empleado y fu reemplazado por los Visual
Basic Scripts.

Un Visual Basic Script es un conjunto de instrucciones lgicas, ordenadas

secuencialmente para realizar una determinada accin al iniciar un sistema
operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicacin,
almacenadas bajo un nombre de archivo y extensin adecuada.

Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo

Windows, Novell, etc. o por una aplicacin mIRC, pIRC, AutoCad, etc.

Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados

objetivos de dao y algunos simplemente usan las instrucciones Visual Basic Scripts,
como medios de propagacin. Asimismo, un VBS puede contener instrucciones que
afecten a los sistemas. Tambin es posible editar instrucciones en la Libreta de
Notas (NotePad) y guardar el archivo con la extensin .VBS.

Actualmente existen 2 medios de mayor difusin de virus en VBS:

1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas")

El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la

comunicacin entre usuarios de Internet en "tiempo real', haciendo uso de software
especiales, llamados "clientes IRC" (tales como el mIRC, PIRCH, Microsoft Chat).

Mediante un software de chat, el usuario puede conectarse a uno o mas canales

IRC, pero es necesario que primero se conecte a un servidor chat, el cual a su vez,
est conectado a otros servidores similares, los cuales conforman una red IRC. Los
programas "clientes IRC" facilitan al usuario las operaciones de conexin, haciendo
uso del comando /JOIN, para poder conectarse a uno o mas canales.

Las conversaciones pueden ser pblicas (todo el canal visualiza lo que el usuario
digita) o privadas (comunicacin entre 2 personas).

34
 Virus Informticos
Para "cargar" una sesin de chat los usuarios deben registrarse en un servidor chat,
elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado
"bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar
estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico
amigable.

Como atacan los gusanos (VBS/Worms)

Todos los gusanos del Chat, siguen el mismo principio de infeccin. Usando el
comando SEND file, envan automticamente una copia del SCRIPT.INI a todas las
personas conectadas al canal chat, adems de otras instrucciones dentro de un
Visual Basic Script.

Este script que contiene el cdigo viral sobrescribe al original, en el sistema remoto
del usuario, logrando infectarlo, as como a todos los usuarios conectados a la vez,
en ese mismo canal.

Este tipo de propagacin de archivos infectados, se debe a la vulnerabilidad de las

versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de
PIRCH98.

2. Re-envi de mensajes de la libreta de direcciones Microsot Outlook.

Office 95/97 y 2000, respectivamente, integran sus programas MS Word, Excel,
Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que
permiten invocar la ejecucin de determinadas instrucciones. En MS Word y Excel,
el usuario tiene acceso a un Editor de Visual Basic. Aunque tambin pueden editar
instrucciones y comandos con el NotePad y archivarlo con la extensin .VBS

Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for

Aplications, tienen un fcil y poderoso acceso a los recursos de otros usuarios de
MS Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es
controlado por las instrucciones del VBS y recibe la orden de re-enviar el mensaje
con el archivo anexado, en formato VBS, a todos los nombres de la libreta de
direcciones del sistema de usuario infectado.

Estas infecciones tambin se reproducen entre todos los usuarios de una red, una
vez que uno de sus usuarios ha sido infectado.

35
 Virus Informticos

VIRUS EN .SHS
La ltima modalidad de propagacin masiva de virus, a travs de Internet ha surgido
a partir de la creacin de un gusano denominado VBS/Stages.SHS, el mismo que ya
tiene algunas variantes,

VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaa a los
usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS),
pero con la extensin .SHS

Los archivos con extensin .SHS (Shell Scraps), son ejecutables de WINDOWS
RUNDLL32, tambin conocidos como Scrap Object Files (Archivos Objeto Basura).

Un archivo copiado dentro de un documento abierto de Microsoft Office, y luego

copiado y empastado sobre el Windows Desktop crea un archivo "Scrap" con la
extensin .SHS. Los archivos Scrap fueron creados desde la primera versin de
Windows 95, para permitir que los textos y grficos puedan ser arrastrados y
colocados (drag and drop) dentro de las aplicaciones de Microsoft Office.

Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensin y
ejecutar el programa que contiene en forma oculta, al hacerle un doble click.
Cuando es distribuido a travs del correo electrnico, transferido como mensaje
dentro de la Red u otro medio basado en la Web, la extensin .SHS se hace visible,
pero una vez que es grabado al disco duro, desaparecer otra vez.

Al tener estas caractersticas, puede ocultar archivos ejecutables, mayormente usados

como troyanos en Windows 95/98, Millenium, Windows 2000 y NT.

Con esta nueva modalidad de propagacin se facilita e incrementa el factor de riesgo

de infeccin de virus entre los usuarios de Internet, quienes a su vez infectarn a los
que se conecten sus estaciones de trabajo, dentro de redes locales o Intranets.

36
 Virus Informticos
SINTOMAS DE UN EQUIPO INFECTADO

Del procedimiento de Deteccin

ElProcedimiento de Deteccin de los virus informticos debe garantizar que la posible

existencia de un virus en un medio magntico u ptico no ingrese directamente al Sistema.

Para ello, el programa de deteccin de virus debe ser instalado en la memoria, a fin
de que permanentemente se controle cualquier medio de almacenamiento que sea
utilizado con el equipo de cmputo.

Se consideran medios de infeccin por virus a los siguientes :

De un diskette infectado proveniente de una fuente exterior al equipo de cmputo.

A travs de la adquisicin o movimiento de mquinas infectadas en el centro de cmputo.

A travs de los diferentes tipos de comunicacin entre equipos de cmputo.

Cuando un Sistema Operativo est infectado, se presenta cualquiera de los

siguientes sntomas: o El cargado de los programas toma ms tiempo de lo
normal. O Demora excesiva en los accesos al disco, cuando se efectan
operaciones sencillas de escritura. o Se producen inusuales mensajes de errores.
Se encienden las luces de acceso a los dispositivos, cuando no son requeridos
en ese momento. O Disposicin de menos memoria de lo normal.
Desaparecen programas o archivos misteriosamente. o Se reduce
repentinamente el espacio del disco. o Los archivos ejecutables cambian de
tamao.
Aparecen, inexplicablemente, algunos archivos escondidos.
Aparece en la pantalla una serie de caracteres especiales sin ninguna explicacin
lgica.
Algunos comandos no pueden ser ejecutados, principalmente los archivos con
extensin .COM y .EXE.
A veces infectan primero el COMMAND.COM, pero como su funcin es la de
seguir infectando ste continuar operando. o La razn por la que ciertos
ejecutables no pueden ser activados se debe a que simplemente el virus puede
haberlos borrado. o Al prender el equipo no se puede accesar al disco duro, esto
es debido a que el virus ya malogr el comando COMMAND.COM y se muestra
el siguiente mensaje :
<>"bad or missing command

37
 Virus Informticos
Los archivos ejecutables de los gestores de bases de datos como dBase, Clipper,
FoxPro, etc., estn operativos, sin embargo la estructura de los archivos DBF
estn averiados o cambiados. Lo mismo puede ocurrir con las hojas de clculo
como Lotus 1-2-3, Q-Pro, Excel, etc.
El sistema empieza a colgarse. Puede ser un virus con la orden de provocar
reseteos aleatorios. o Cierto perifricos tales como : la impresora, mdem, tarjeta
de sonido, entre otros no funcionan. o El sistema no carga normalmente o se
interrumpe en los procesos.
Los archivos ejecutables seguirn existiendo pero como el cdigo del virus est
presente en la mayora de los casos aumentar el tamao de los archivos
infectados.
La pantalla muestra smbolos ASCII muy raros comnmente conocidos como
basura, se escuchan sonidos intermitentes, se producen bloqueos de ciertas
teclas.

38
 Virus Informticos

. DAOS DE LOS VIRUS.

Definiremos dao como accin una indeseada, y los clasificaremos segn la cantidad
de tiempo necesaria para reparar dichos daos. Existen seis categoras de daos
hechos por los virus, de acuerdo a la gravedad.

o DAOS TRIVIALES.

Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da
18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse
del virus implica, generalmente, segundos o minutos.

o DAOS MENORES.
Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los
viernes 13, todos los programas que uno trate de usar despus de que el virus haya
infectado la memoria residente. En el peor de los casos, tendremos que reinstalar
los programas perdidos. Esto nos llevar alrededor de 30 minutos.

o DAOS MODERADOS.

Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicacin de Archivos), o sobrescribe el disco rgido. En
este caso, sabremos inmediatamente qu es lo que est sucediendo, y podremos
reinstalar el sistema operativo y utilizar el ltimo backup. Esto quizs nos lleve una
hora.

o DAOS MAYORES.

Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasar

desapercibidos, pueden lograr que ni an restaurando un backup volvamos al ltimo
estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta
archivos y acumula la cantidad de infecciones que realiz. Cuando este contador
llega a
16, elige un sector del disco al azar y en l escribe la frase: "Eddie lives somewhere
in time" (Eddie vive en algn lugar del tiempo).

Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el
da en que detectemos la presencia del virus y queramos restaurar el ltimo backup
notaremos que tambin l contiene sectores con la frase, y tambin los backups
anteriores a ese.

39
 Virus Informticos
Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados
con posterioridad a ese backup.

o DAOS SEVEROS.

Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales
y progresivos. No sabemos cundo los datos son correctos o han cambiado, pues
no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos
buscar la frase Eddie lives ...).

o DAOS ILIMITADOS.

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros,

obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar
que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario
con los privilegios mximos, fijando el nombre del usuario y la clave. El dao es
entonces realizado por la tercera persona, quien ingresar al sistema y hara lo que
quisiera.

LOS MACRO VIRUS

los macro virus, son las especies virales que rompieron los esquemas de
programacin y ejecucin de los virus tradicionales
Los macro virus son una nueva familia de virus que infectan documentos y hojas de
clculo. Fueron reportados a partir de 1995, cambiando el concepto que los virus tan
slo podan infectar o propagarse a travs de archivos ejecutables.

Los daos que ocasionan estos virus depende de sus autores siendo capaz desde
cambiar la configuracin del Windows, borrar archivos de nuestro disco duro, enviar
por correo cualquier archivo que no nos demos cuenta, mandar a imprimir
documentos inesperadamente, guardar los documentos como plantillas, entre otros.
Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.

CARACTERISTICAS DE LOS MACRO VIRUS :

Los macro virus tienen 2 caractersticas bsicas :

Infectan nicamente documentos de MS-Word o Ami Pro y hojas de clculo

Excel.
Poseen la capacidad de infectar y propagarse por s mismos.

40
 Virus Informticos
Los macro virus, no pueden grabar los documentos infectados en ningn otro formato
que no sean las plantillas, el archivo es convertido a plantilla y tiende a no permitir
grabar el archivo o documento en ningn otro directorio, usando el comando SAVE
AS. Estos son algunos de los virus ms conocidos que afectan a las macros :

CAP : Es un conjunto de diez macros encriptados (el usuario infectado no

puede verlos ni editarlos), muestra el siguiente texto en la pantalla :

C.A.P : Un virus social...Y ahora digital...

"j4cKy Qw3rTy" (jqw3rty@hotmail.com)
Venezuela, Maracay, Dic 1996

PD : Que haces gochito ? Nunca sers

Simn Bolvar...Bolsa !
Cuando infecta el Word, el virus modifica cinco mens existentes, re
direccionndolos al cdigo del virus. Los problemas que crea son diferentes,
dependiendo del tipo de instalacin y el lenguaje del Word que este en uso. Al
infectar los documentos, borra todos los macros preexistentes, pero no tiene un
efecto destructivo en s mismo. Oculta en el men de Herramientas la opcin Macros.

WM.CONCEPT : Es un macro virus MS-Word que usa cinco macros para

infectar, y propagarse. Los macros se llaman :

AAAZAO, AAAZFS, AutoOpen, FileSavesAs, Payload.

WAZZU : Es un macro virus que infecta documentos de

Microsoft Word para Windows, solo contiene la macro Autoopen. Cuando un
documento es

abierto el virus genera un nmero aleatorio mayor a 0 y menor a 1. Si este nmero

es menor que 0.2, el virus mueve la palabra a otro lugar al azar, dentro del mismo
documento, si el nmero es menor que 0.25, el virus insertar la palabra: "wazzu"

MDMA : Es un virus que borra archivos especficos de Windows 95, haciendo

uso de la macro AutoClose, o el FORMAT.C, el virus dentro de la macro AutoOpen
ordena formatear el disco duro.
XM.LAROUX :Es el primer macro virus funcional en
EXCEL, descubierto en julio de 1996. El cdigo del macro consiste de dos macros
llamados : Auto_Open y Check_Files. Los macros son almacenados en una hoja
de datos escondida, llamada Laroux.

41
 Virus Informticos
XM.SOFA : Descubierto en diciembre de 1996, se propaga por medio de un
archivo llamado BOOK.XLT. Este virus contiene cuatro macros :

Auto_Open, Auto_Range, Current_Open y Auto_Close.

Cuando se abre un archivo infectado, el virus toma el control y cambia el ttulo arriba
de la ventana a Microsofa Excel en lugar de Microsoft Excel.

METODO DE INFECCION Y EFECTOS DE LOS MACRO VIRUS

INFECCIN
Cuando un documento es abierto por primera vez, la aplicacin (Word, Excel, etc.)
buscan la presencia del macro AutoOpen, si lo encuentra y la variable global
DisableAutoMacros no est seleccionada, entonces Word o Excel automticamente
ejecutan el macro AutoOpen (sin notificar nada al usuario). Al igual sucede cuando
se cierra la aplicacin, se ejecuta la macro AutoClose si est presente.

En Word, los macros son guardados en archivos denominados "plantillas", as que

durante una infeccin, los macro virus son capaces de convertir los documentos a
plantillas y copiarse en ellos.

Al momento de ser infectado, los datos son mezclados con cdigo ejecutable, que
normalmente estn escondidos a la vista del usuario. Entonces cuando se vea el
documento, este estar infectado, se podr trabajar normalmente pero la plantilla
con virus seguir infectando documentos y las macros que utilice.

Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se
graban automticamente al final de cada sesin de trabajo.

EFECTOS

Una vez que se infecta un documento u hoja de clculo, los macro virus son capaces
de aduearse de las funciones de la aplicacin, evitando por ejemplo, que el usuario
guarde la informacin que ha estado escribiendo por minutos u horas, no se puede
mandar a imprimir, entre otros.

En el caso de Word los macro virus se instalan en la plantilla Normal.dot, que es la

que el usuario utiliza para crear archivos nuevos. Cuando abramos un archivo o lo
guardemos, estaremos infectando los documentos. En Excel ocurre algo similar con
el archivo Personal.XLS. En el men de la Barra de Herramientas desaparece la
opcin Macros.

42
 Virus Informticos
Los macros virus ms conocidos actualmente son de documentos de Microsoft Word.

Los macros son un conjunto de instrucciones y comandos. El lenguaje de macros,

es una herramienta poderosa, nos permite ejecutar tareas como por ejemplo:

copiar archivos, ejecutar programas, cambiar archivos, etc.

ELIMINACION DE UN MACRO VIRUS MANUALMENTE.

El documento infectado se convierte en plantilla.
En el men de herramientas el virus oculta la opcin "Macros".
Para descubrirlo :
Se pulsa el botn
"Agregar".
Abrimos el men "Herramientas", hacemos click en la opcin Macros, luego
la opcin Normal.dot, ah observaremos las macros del virus.
Crear un nuevo directorio de archivos.
Abrir el documento infectado.
Seleccionar el documento y en el men "Edicin", darle la opcin copiar.
Abrir el Word Pad o el Write y en el men "Edicin" escoger la opcin "Pegar".
Guardar el documento en el directorio previamente creado.
Repetir todos los pasos anteriores con los documentos infectados.
Eliminar todos los documentos infectados.
Borrar la plantilla
"Normal.dot".

Men "Ver" se escoge la opcin "Barra de Herramientas"

Se pulsa el botn ."personalizar".
Se escoge la opcin,"Herramientas", despus "Men" y por ltimo "Lista de Macros"

Ranking de los VIRUS ms difundidos

1) VBS/LoveLetter: Este virus se distribuye a travs del e-mail, en un archivo
llamado LOVE-LETTER-FOR-YOU.TXT.vbs. El LoveLetter worm se activa
sobresescribiendo archivos de imgenes y msica en drives locales y de red,
especficamente archivos con extensin JPG, JPEG, MP3 y MP2

2) Win32/SKA: Este virus generalmente es enviado con el nombre

Happy99.exe. Este troyano se encarga de enviar una copia de si mismo a todas las
personas a las cuales se les enva un E-mail.

3) W97/Melissa: El virus se propaga tomando las primeras 50 direcciones del

Outlook Global Address Book del usuario

43
 Virus Informticos
4) Win32/Pretty Park: Este programa cuando corre se copia a si mismo al
FILES32.VXD, Y usa al VXD va el entorno para ejecutar algunos archivos
ejecutables. Esto hace que el virus se re-enva a si mismo a toda la libreta de
direcciones

5) W97M/Ethan.A: es un virus de macro de Word97, El virus se propaga a si

mismo por la Normal.dot. Hay 3 de 10 chances que el virus modifique las
propiedades del documento infectando de archivos infectados.

COMO PREVENIR LOS VIRUS INFORMATICOS

Control de la Informacin Ingresada.

No deben utilizarse diskettes usados, provenientes del exterior de la

Institucin.
Utilizar siempre software comercial original.
Mantener la proteccin de escritura en todos los discos de programas
originales y de las copias de seguridad
En especial de los discos del sistema operativo y de las herramientas antivirus.

Si por razones de trabajo fuera necesario la utilizacin de un medio magntico

u ptico venido del exterior, ste deber necesariamente pasar por los controles
siguientes :
Identificar el medio de almacenamiento que contiene la
informacin. Los medios magnticos u pticos de
almacenamiento (diskettes, cintas, cartuchos, discos u otros) que contienen
archivos de informacin, deben estar debidamente etiquetados, tanto interna
como externamente.
Chequear el medio magntico u ptico, mediante un procedimiento de
deteccin de virus, establecido por el organismo competente de la Institucin.
Registrar el medio magntico u ptico, su origen y la persona que lo porta.

Los medios de deteccin de virus deben ser actualizados mensualmente, de

acuerdo a las nuevas versiones de los detectores de virus que adquiera la
Institucin. Deber utilizarse programas antivirus originales.

Del Personal Usuario de las Computadoras:

El personal que tiene acceso a las computadoras en forma
monousuaria, deber encargarse de detectar y eliminar en los medios
magnticos u pticos, la infeccin o contagio con virus. A tal efecto, utilizar
los procedimientos establecidos por el rgano competente de la Institucin.

44
 Virus Informticos
Este personal es responsable del control de los medios magnticos u pticos
venidos del exterior as como de la posible introduccin de virus en el equipo
de computo.

Las computadoras conectadas a una Red, preferentemente, no

debern tener unidades de diskettes, a fin de prevenir la infeccin de virus
informticos. El uso de los diskettes deber ser efectuado por el administrador
de red.

Otras Medidas de Prevencin Contra Virus :

Semanalmente deber efectuarse un respaldo de toda la informacin
til que se encuentra almacenada en el disco duro.

Dicha actividad ser realizada por el responsable designado para este fin.

En caso de que se labore en red o en modo multiusuario, el

administrador de la red har un respaldo diario de la informacin til del disco.
Por ningn motivo debe usarse los servidores de red como estaciones
de trabajo.
Slo los archivos de datos y no los programas ejecutables debern ser
copiados de una computadora a otra.
Todo diskette debe, normalmente, estar protegido contra escritura para
evitar su posible infeccin al momento de la lectura.
El Sistema debe cargarse desde un diskette que sea original, o en su
defecto desde una copia, especialmente preparada y verificada para que no
contenga virus informticos.
Nunca se debe de ejecutar programas de origen desconocidos.
No se debe aadir archivos de datos o programas a diskettes que
contienen programas originales.
Efectuar peridicamente la depuracin de archivos en los discos duros
de la computadora.

45
 Virus Informticos

ANTIVIRUS
QU ES UN ANTIVIRUS?.
Los antivirus son programas que fueron creados en la dcada de los 80's con el objetivo de detectar
y eliminar virus informticos.

Con el paso del tiempo los sistemas operativos e internet han evolucionado, lo que ha hecho que
los antivirus se actualicen constantemente, convirtindose en programas avanzados que no slo
detectan los virus, sino que los bloquean, desinfectan archivos y previenen infecciones de los
mismos. Actualmente, los antivirus reconocen diferentes tipos de virus como malware, spyware,
gusanos, troyanos, rootkits, etc

No para toda enfermedad existe cura, como tampoco existe una forma de erradicar
todos y cada uno de los virus existentes.

Es importante aclarar que todo antivirus es un programa y que, como todo programa,
slo funcionar correctamente si es adecuado y est bien configurado. Adems, un
antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100%
de los casos, sino que nunca ser una proteccin total ni definitiva.
La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el
accionar de un virus informtico en una computadora.

Este es el aspecto ms importante de un antivirus, independientemente de las

prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la
posible presencia de un virus informtico, detener el trabajo y tomar las medidas
necesarias, es suficiente para acotar un buen porcentaje de los daos posibles.
Adicionalmente, un antivirus puede dar la opcin de erradicar un virus informtico de
una entidad infectada.

LOS ANTIVIRUS INFORMATICOS

Un antivirus es cualquier metodologa, programa o sistema para prevenir la
activacin de los virus, su propagacin y contagio dentro de un sistema y su
inmediata eliminacin y la reconstruccin de archivos o de reas afectadas por los
virus informticos.

Los antivirus permiten la deteccin y eliminacin de virus. Un virus es identificado

mediante una cadena del antivirus que busca, encuentra y elimina los distintos
virus informticos.

El software antivirus contrarresta de varias maneras los efectos de los virus

informticos para detectarlos. La mayora de las soluciones se basan en tres

46
 Virus Informticos
componentes para la deteccin: exploracin de acceso, exploracin requerida, y
suma de comprobacin.

La exploracin de acceso: Inicia automticamente una exploracin de virus, cuando

se accede a un archivo, es decir al introducir un disco, copiar archivos, ejecutar un
programa, etc.

La exploracin requerida: El usuario inicia la exploracin de virus. Las exploraciones

se pueden ejecutar inmediatamente, en un directorio o volumen determinado.

La suma de comprobacin o comprobacin de integridad : Mtodo por el que un

producto antivirus determina si se ha modificado un archivo.

Como el cdigo vrico se une fsicamente a otro archivo, se puede determinar tal
modificacin guardando la informacin del archivo antes de la infeccin.

La suma de comprobacin es generalmente exacta y no necesita actualizaciones.

Sin embargo la suma de comprobacin no proporciona ni el nombre, ni el tipo de
virus.

Los programas antivirus se componen fundamentalmente de dos partes : un

programa que rastrea (SCAN), si en los dispositivos de almacenamiento se
encuentra alojado algn virus, y otro programa que desinfecta (CLEAN) a la
computadora del virus detectado.

TIPOS DE ANTIVIRUS
Antivirus Detectores o Rastreadores : Son aquellos antivirus que usan
tcnicas de bsqueda y deteccin explorando o rastreando todo el sistema en
busca de un virus. Estos programas se utilizan para detectar virus que pueden
estar en la memoria, en el sector de arranque del disco duro, en la zona de
particin del disco y en algunos programas. Dependiendo de la forma de analizar
los archivos los podemos clasificar a su vez en antivirus de patrn y heurstico.
Antivirus de Patrn: Realizan el anlisis de los archivos por medio de la
bsqueda en el archivo de una cualidad particular de los virus. Existen antivirus
especficos para un determinado virus, conociendo su forma de atacar y actuar.
Antivirus Heurstico : Este antivirus busca situaciones sospechosas en los
programas, simulando la ejecucin y observando el comportamiento del
programa.
Limpiadores o Eliminadores: Una vez desactivada la estructura del virus
procede a eliminar o erradicar el virus de un archivo, del sector de arranque de un
disco, en la zona de particin de un disco y en algunos programas.

47
 Virus Informticos
Estos antivirus deben tener una base de datos con informacin de cada virus
para saber que mtodo de desinfeccin deben usar para eliminar el virus.

Dependiendo de los efectos de la especie viral proceder a reconstruir las partes

afectadas por el virus informtico.

Protectores o Inmunizadores: Es un programa para prevenir la

contaminacin de virus, estos programas no son muy usados porque utilizan
mucha memoria y disminuyen la velocidad de la ejecucin de algunos programas
y hasta del computador.
Residentes: Permanecen en memoria para el reconocimiento de un virus
desde que es ejecutado. Cada vez que cargamos un programa, el antivirus lo
analiza para verificar si el archivo esta infectado o no, con algn virus informtico.

TECNICAS DE LOS ANTIVIRUS

Escaneo de Firmas : La mayora de los programas antivirus utilizan esta

tcnica. Revisan los programas para localizar una secuencia de instrucciones que
son nicas de los virus.
Chequeo de Integridad: Utilizan el
Chequeo de Redundancia Cclica (CRC), es decir toman las instrucciones de un
programa como si fuesen datos y se hace un clculo, se graban en un archivo los
resultados, y luego se revisa si el programa fu modificado o alterado.
Monitoreo: Interceptan o bloquean instrucciones sospechosas o riesgosas,
por ejemplo cuando un programa pide cargarse en memoria y permanecer
residente, alterar el rea de arranque o modificar un archivo de algn programa.
Esta tcnica funciona residente en memoria supervisando continuamente cuando
se ejecuta un programa, entonces intercepta los llamados a funciones
sospechosas.
Anlisis Heurstico : Analiza cada programa sospechoso sin ejecutar sus
instrucciones, lo que hace es desensamblar el cdigo de mquina para saber que
hara el programa si se ejecuta. Avisa al usuario si el programa tiene instrucciones
para hacer algo raro en un programa normal, pero que es comn en los virus,
puede revisar varios o todos los programas de un disco, e indica que puede
suceder algo raro cuando se ejecute el programa.

ANTIVIRUS INTERNACIONALES
La primera generacin de antivirus eran vacunas TSR o eliminadores para cada
especie de virus. Entre ellos estaban el BBSTOP para el Bouncing Ball, BRSTOP
para el Brain, MBSTOP para el Marihuana, los cuales deban instalarse en el
Autoexec.bat para poder proteger el sistema contra estos virus. Cuando la

48
 Virus Informticos
programacin de virus aument se volvi imposible ubicar las diferentes vacunas
residentes en la memoria y ello motiv la generacin de los softwares antivirus.

Uno de los primeros programas antivirus fueron: FLU-SHOT, VPROTECT y

VIRUSCAN.

Actualmente existen muchos programas antivirus, con diversos estilos de

programacin nombres como el Dr. SOLOMONS Toolkit de Alan Solomon,
NORTON ANTIVIRUS de Symantec, CPAV de Central Point, F-PROT de Fridrik
Skulason, VIRUSSCAN de McAfee entre otros.

A continuacin algunos antivirus extranjeros y sus caractersticas:

TBAV : THUNDERBYTE ANTIVIRUS

El Thunderbyte Antivirus provee: Deteccin por firmas (TbScan), chequeo de

integridad por clculo (TbSetup y TbScan), bloqueo de instrucciones
sospechosas (TbMem, TbFile y TbDisk).

F-PROT ANTIVIRUS

Brinda deteccin de virus por firmas y deteccin heurstica de instrucciones sospechosas.

ANTIVIRUS ANYWARE

Proteccin permanente, reconoce y elimina ms de 11,400 virus, incluyendo los

macro virus. Detecta virus no conocidos mediante el mtodo heurstico, analiza
los archivos comprimidos.

VIRUSSCAN DE MCAFEE

Fcil de instalar no ocupa mucha memoria, tiene una grande base de datos,
incluyendo los virus macros, permanece en memoria, se actualiza constantemente
por Internet.

Entre otros antivirus extranjeros tenemos:

Cheyenne Antivirus
Forefront Antivirus
IBM Antivirus
Pc-Cillin II
Panda Software

49
 Virus Informticos

En razn de lo expresado pueden extraerse algunos conceptos que pueden

considerarse necesarios para tener en cuenta en materia de virus informticos:

No todo lo que afecte el normal funcionamiento de una computadora es un

virus.
TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
Es imprescindible contar con herramientas de deteccin y desinfeccin.
NINGN sistema de seguridad es 100% seguro.
Por eso todo usuario de computadoras debera tratar de implementar
estrategias de seguridad antivirus, no slo para proteger su propia informacin
sino para no convertirse en un agente de dispersin de algo que puede producir
daos graves e indiscriminados.

Para implementar tales estrategias deberan tenerse a mano los siguientes

elementos:

UN DISCO DE SISTEMA PROTEGIDO CONTRA

ESCRITURA Y LIBRE DE VIRUS: Un disco que contenga el sistema operativo
ejecutable (es decir, que la mquina pueda ser arrancada desde este disco) con
proteccin contra escritura y que contenga, por lo menos, los siguientes
comandos: FORMAT, FDISK, MEM y CHKDSK (o SCANDISK en versiones
recientes del MSDOS).
POR LO MENOS UN PROGRAMA ANTIVIRUS
ACTUALIZADO: Se puede considerar actualizado a un antivirus que no tiene
ms de tres meses desde su fecha de creacin (o de actualizacin del archivo de
strings). Es muy recomendable tener por lo menos dos antivirus.
UNA FUENTE DE INFORMACIN SOBRE VIRUS ESPECFICOS: Es decir,
algn programa, libro o archivo de texto que contenga la descripcin, sntomas y
caractersticas de por lo menos los cien virus ms comunes.
UN PROGRAMA DE RESPALDO DE REAS
CRTICAS: Algn programa que obtenga respaldo (backup) de los sectores de
arranque de los disquetes y sectores de arranque maestro (MBR, Master Boot
Record) de los discos rgidos. Muchos programas antivirus incluyen funciones de
este tipo.
LISTA DE LUGARES DNDE ACUDIR: Una buena precaucin es no esperar
a necesitar ayuda para comenzar a buscar quin puede ofrecerla, sino ir
elaborando una agenda de direcciones, telfonos y direcciones electrnicas de
las personas y lugares que puedan servirnos ms adelante.

Si se cuenta con un antivirus comercial o registrado, debern tenerse siempre a mano los
telfonos de soporte tcnico.

50
 Virus Informticos
UN SISTEMA DE PROTECCIN RESIDENTE: Muchos antivirus incluyen
programas residentes que previenen (en cierta medida), la intrusin de virus y
programas desconocidos a la computadora.
TENER RESPALDOS: Se deben tener respaldados en disco los archivos de
datos ms importantes, adems, se recomienda respaldar todos los archivos
ejecutables. Para archivos muy importantes, es bueno tener un respaldo doble,
por si uno de los discos de respaldo se daa. Los respaldos tambin pueden
hacerse en cinta (tape backup), aunque para el usuario normal es preferible
hacerlo en discos, por el costo que las unidades de cinta representan.
REVISAR TODOS LOS DISCOS NUEVOS ANTES
DE UTILIZARLOS: Cualquier disco que no haya sido previamente utilizado debe
ser revisado, inclusive los programas originales (pocas veces sucede que se
distribuyan discos de programas originales infectados, pero es factible) y los que
se distribuyen junto con revistas de computacin.
REVISAR TODOS LOS DISCOS QUE SE HAYAN
PRESTADO: Cualquier disco que se haya prestado a algn amigo o compaero
de trabajo, an aquellos que slo contengan archivos de datos, deben ser
revisados antes de usarse nuevamente.
REVISAR TODOS LOS PROGRAMAS QUE SE
OBTENGAN POR MDEM O REDES: Una de las grandes vas de contagio la
constituyen Internet y los BBS, sistemas en los cuales es comn la transferencia
de archivos, pero no siempre se sabe desde dnde se est recibiendo
informacin.
REVISAR PERIDICAMENTE LA COMPUTADORA: Se puede considerar
que una buena frecuencia de anlisis es, por lo menos, mensual.

51
 Virus Informticos

Tener instalado un software antivirus. Los ms confiables entre las opciones

gratuitas son AVG Anti-virus, ESET Nod32 y Avast.
. Mantenerlo actualizado diariamente. La mayora tienen la opcin para
configurar la actualizacin automtica, pero es recomendable chequear de
vez en cuando para asegurarse de que est actualizado.
Escanear regularmente todos los archivos de la computadora. Esto puede
llevar un rato largo, pero siempre es mejor estar seguros de que nuestra
computadora est libre de virus.
Si aparece identificado un virus, eliminarlo inmediatamente.
Una vez que eliminamos el virus, debemos comprobar que no quede ningn
virus. Para esto, debemos reiniciar la PC y volver a hacer el scan.
Es importante tambin escanear cualquier dispositivo de almacenamiento
que le conectemos a la PC, como un pendrive o disco externo que hayamos
usado en otra computadora.
Tambin es recomendable tener configurado el firewall, para bloquear el
acceso no autorizado de otros usuarios de Internet a tu red privada, y realizar
una navegacin segura en Internet.

Por ltimo, para mantener en buen estado a las computadoras, no te olvides

de los cuidados bsicos.

52
 Virus Informticos

http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico
http://www.monografias.com/trabajos15/virus-informatico/virus-informatico.shtml
http://www.alegsa.com.ar/Notas/270.php
http://www.alegsa.com.ar/Notas/70.php
http://www.monografias.com/trabajos12/virudos/virudos.shtml#conclu
escribd.com

53