Instituto Universitario Tecnológico

Monseñor Arias Blanco

Virus y Antivirus

Autor: Andrés Alejandro Rolas Díaz

Valencia 28 de noviembre del 2008

 Virus informático

Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento

de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente,

reemplazan archivos ejecutables por otros infectados con el código de este. Los virus

pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque

también existen otros más "benignos", que solo se caracterizan por ser molestos.

Los virus informáticos tienen, básicamente, la función de propagarse, no se replican a sí

mismos por que no tienen esa facultad como el gusano informático, depende de un software

para propagarse, son muy dañinos y algunos contienen además una carga dañina (payload)

con distintos objetivos, desde una simple broma hasta realizar daños importantes en los

sistemas, o bloquear las redes informáticas generando tráfico inútil.

El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un

programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del

usuario. El código del virus queda residente (alojado) en la memoria RAM de la

computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El

virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de

manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se

añade el código del virus al del programa infectado y se graba en disco, con lo cual el

proceso de replicado se completa.

 Historia

El primer virus que atacó a una máquina IBM Serie 360 (y reconocido como tal), fue

llamado Creeper, creado en 1972 por Robert Frankie Morrillo. Este programa emitía

periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (Soy una

enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa

antivirus denominado Reaper (segadora).

Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde

antes. Sus inicios fueron en los laboratorios de Bell Computer. Cuatro programadores (H.

Douglas Mellory, Robert Morris, Victor Vysottsky y Ken Thompson) desarrollaron un

juego llamado Star Wars, el cual consistía en ocupar toda la memoria RAM del equipo

contrario en el menor tiempo posible.

Después de 1984, los virus han tenido una gran expansión, desde los que atacan los sectores

de arranque de disquetes hasta los que se adjuntan en un correo electrónico.

Virus informáticos y Sistemas Operativos

Los virus informáticos afectan en mayor o menor medida a casi todos los sistemas más

conocidos y usados en la actualidad.

Las mayores incidencias se dan en el sistema operativo Windows debido, entre otras

causas, a:
 • Su gran popularidad, como sistema operativo, entre los ordenadores personales,

PCs. Se estima que, en el 2007, un 90% de ellos usa Windows. Esta popularidad

basada en la facilidad de uso sin conocimiento previo alguno, facilita la

vulnerabilidad del sistema para el desarrollo de los virus, y así atacar sus puntos

débiles, que por lo general son abundantes.

• Falta de seguridad en esta plataforma, situación a la que Microsoft está dando en los

últimos años mayor prioridad e importancia que en el pasado). Al ser un sistema

muy permisivo con la instalación de programas ajenos a éste, sin requerir ninguna

autentificación por parte del usuario o pedirle algún permiso especial para ello (en

los Windows basados en NT se ha mejorado, en parte, este problema).

• Software como Internet Explorer y Outlook Express, desarrollados por Microsoft e

incluidos en forma predeterminada en las últimas versiones de Windows, son

conocidos por ser vulnerables a los virus ya que éstos aprovechan la ventaja de que

dichos programas están fuertemente integrados en el sistema operativo dando

acceso completo, y prácticamente sin restricciones, a los archivos del sistema.

• La escasa formación de un número importante de usuarios de este sistema, lo que

provoca que no se tomen medidas preventivas por parte de estos, ya que este

sistema está dirigido de manera mayoritaria a los usuarios no expertos en

Informática. Esta situación es aprovechada constantemente por los programadores

de virus.

En otros sistemas operativos como Mac OS X, Linux y otros basados en Unix las

incidencias y ataques son prácticamente inexistentes. Esto se debe principalmente a:

 • Tradicionalmente los programadores y usuarios de sistemas basados en Unix/BSD

han considerado la seguridad como una prioridad por lo que hay mayores medidas

frente a virus tales como la necesidad de autenticación por parte del usuario como

administrador o root para poder instalar cualquier programa adicional al sistema.

• Los directorios o carpetas que contienen los archivos vitales del sistema operativo

cuentan con permisos especiales de acceso, por lo que no cualquier usuario o

programa puede acceder fácilmente a ellos para modificarlos o borrarlos. Existe una

jerarquía de permisos y accesos para los usuarios.

• Relacionado al punto anterior, a diferencia de los usuarios de Windows, la mayoría

de los usuarios de sistemas basados en Unix no pueden normalmente iniciar

sesiones como usuarios Administradores o root, excepto para instalar o configurar

software, dando como resultado que, incluso si un usuario no administrador ejecuta

un virus o algún software malicioso, éste no dañaría completamente el sistema

operativo ya que Unix limita el entorno de ejecución a un espacio o directorio

reservado llamado comúnmente home.

• Estos sistemas, a diferencia de Windows, son usados para tareas más complejas

como servidores que por lo general están fuertemente protegidos, razón que los hace

menos atractivos para un desarrollo de virus o software malicioso.

Características

Dado que una característica de los virus es el consumo de recursos, los virus ocasionan

problemas tales como: pérdida de productividad, cortes en los sistemas de información o

daños a nivel de datos.

Otra de las características es la posibilidad que tienen de ir replicándose. Las redes en la

actualidad ayudan a dicha propagación cuando éstas no tienen la seguridad adecuada.

Otros daños que los virus producen a los sistemas informáticos son la pérdida de

información, horas de parada productiva, tiempo de reinstalación, etc.

Hay que tener en cuenta que cada virus plantea una situación diferente.

Métodos de contagio

Existen dos grandes clases de contagio. En la primera, el usuario, en un momento dado,

ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda, el programa

malicioso actúa replicándose a través de las redes. En este caso se habla de gusanos.

En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie

de comportamientos anómalos o imprevistos. Dichos comportamientos pueden dar una

pista del problema y permitir la recuperación del mismo.

Dentro de las contaminaciones más frecuentes por interacción del usuario están las

siguientes:

• Mensajes que ejecutan automáticamente programas (como el programa de correo

que abre directamente un archivo adjunto).

• Ingeniería social, mensajes como ejecute este programa y gane un premio.

• Entrada de información en discos de otros usuarios infectados.

• Instalación de software pirata o de baja calidad.

En el sistema Windows puede darse el caso de que el ordenador pueda infectarse sin ningún

tipo de intervención del usuario (versiones Windows 2000, XP y Server 2003) por virus

como Blaster, Sasser y sus variantes, por el simple hecho de estar, la máquina conectada a

una red o a Internet. Este tipo de virus aprovechan una vulnerabilidad de desbordamiento

de búfer y puertos de red para infiltrarse y contagiar el equipo, causar inestabilidad en el

sistema, mostrar mensajes de error y hasta reinicios involuntarios, reenviarse a otras

máquinas mediante la red local o Internet, entre otros daños. En las últimas versiones de

Windows 2000, XP y Server 2003 se ha corregido este problema en su mayoría. De manera

frecuente, el usuario deberá descargar actualizaciones y parches de seguridad.

Métodos de protección

Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los

denominados pasivos o activos:

Pasivos

• Evitar introducir a tu equipo medios de almacenamiento removibles que consideres

que pudieran estar infectados con algún virus.

• No instalar software "pirata".

• Evitar descargar software de Internet.

• No abrir mensajes provenientes de una dirección electrónica desconocida.

• Generalmente, suelen enviar "fotos" por la web, que dicen llamarse "mifoto.jpg",

tienen un ícono cuadrado blanco, con una línea azul en la parte superior. En
 realidad, no estamos en presencia de una foto, sino de una aplicación Windows

(*.exe). Su verdadero nombre es "mifoto.jpg.exe", pero la parte final "*.exe" no la

vemos porque Windows tiene deshabilitada (por defecto) la visualización de las

extensiones registradas, es por eso que solo vemos "mifoto.jpg" y no

"mifoto.jpg.exe". Cuando la intentamos abrir (con doble click) en realidad estamos

ejecutando el código de la misma, que corre bajo MS-DOS.

Activos

• Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el ordenador

está conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de

correos o usando técnicas de firewall. En general, este sistema proporciona una

seguridad donde no se requiere la intervención del usuario, puede ser muy eficaz, y

permitir emplear únicamente recursos de forma más selectiva.

• Antivirus: los llamados programas antivirus tratan de descubrir las trazas que ha

dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos

contener o parar la contaminación. Tratan de tener controlado el sistema mientras

funciona parando las vías conocidas de infección y notificando al usuario de

posibles incidencias de seguridad.

 Antivirus

Los antivirus son programas cuya función es detectar y eliminar Virus informáticos y otros

programas maliciosos (a veces denominados malware).

Básicamente, un antivirus compara el código de cada archivo con una base de datos de los

códigos (también conocidos como firmas o vacunas) de los virus conocidos, por lo que es

importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado.

Actualmente a los antivirus se les ha agregado funciones avanzadas, como la búsqueda de

comportamientos típicos de virus (técnica conocida como Heurística) o la verificación

contra virus en redes de computadoras.

Normalmente un antivirus tiene un componente que se carga en memoria y permanece en

ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo

real. Es muy común que tengan componentes que revisen los adjuntos de los correos

electrónicos salientes y entrantes, así como los scripts y programas que pueden ejecutarse

en un navegador web (ActiveX, Java, JavaScript).

Los virus, gusanos, spyware,... son programas informáticos que se ejecutan normalmente

sin el consentimiento del legítimo propietario y que tienen la características de ejecutar

recursos, consumir memoria e incluso eliminar o destrozar la información.

Una característica adicional es la capacidad que tienen de propagarse. Otras características

son el robo de información, la pérdida de esta, la capacidad de suplantación, que hacen que

reviertan en pérdidas económicas y de imagen.

 ¿Como Funciona un antivirus?

Por lo general un antivirus detecta usando dos modalidades signature file release y sandbox.

Por lo general la analiza de signature file se usa el algoritmo heurístico. Es una tecnología

incluida en la mayoría de antivirus que se basa en la comparación de segmentos de código

Fuente de virus con los archivos en busca de similitudes

Es un buen método especialmente en el caso de las familias de virus es de lo más efectivo.

Todas estas variantes, virus. a, virus. b, virus. c, etc. La búsqueda heurística es capaz en

algunos casos de detectar estos nuevos virus.

Pero también hay desventajas. La primera y más importante es la grandísima carga de

sistema que conlleva tener un antivirus constantemente trabajando de forma heurística. Es

decir, comparar todos y cada uno de los archivos que se usan en el sistema con distintas

cadenas es un trabajo bastante pesado que repercute sobre el rendimiento general del

ordenador. Piensa que significa dos antivirus.

Otra de las desventajas es que puede llegar a ser demasiado heurístico y tomar archivos

normales como infectados, de aquí los conflictos que pueden aparecer entre dos programas,

a veces es posible que tu PC no tienen nada y los dos antivirus se "sospechen" uno al otro,

además al activar la casilla heurística para dejar analizando los archivos toma mucho

tiempo, a veces toda la noche.

Un antivirus basado en la tecnología sandbox se mantiene vigilante ante posibles

aplicaciones que puedan suponer un riesgo para el ordenador. Al detectar uno de estos
programas, bloquea las acciones sospechosas que ha detectado o incluso, si fuera necesario,

puede llegar a cerrarlo totalmente. En breve se anticipa a las infecciones, con lo cual es el

máximo exponente del famoso refrán: "Mas vale prevenir que curar"

Cada uno de ellas tiene ventajas y desventajas. La primera es mejor para virus conocidos y

familias de virus la segunda para virus nuevos y programas sospechosos, pero un buen

antivirus combina estas dos tecnologías.

Tipos de antivirus

Los programas antivirus pueden dividirse en 4 tipos:

• Detectores: Detectan la presencia de virus conocidos y avisan al usuario para que

tome medidas contra ellos. Este es el tipo de antivirus más simple.

• Eliminadores/Reparadores: También conocidos como "mata-virus". Además de

detectar la presencia de un virus, pueden eliminarlo de los ficheros contaminados o

la zona de arranque del disco, dejando los programas ejecutables en su estado

original. Esto no siempre es posible, ya que algunos virus sobrescriben parte del

código original del programa infectado.

• Protectores: También conocidos como "programas preventivos" o

"inmunizadores". Se anticipan a la infección de cualquier virus, caballo de Troya o

acción voluntaria involuntaria de destrucción de datos (por ejemplo, un FORMAT

C:), permaneciendo residentes en la memoria del ordenador y vigilando las

operaciones de ejecución de programa, copia ficheros, formateado de discos, etc.

 Suelen ser programas muy seguros que generalmente pueden detectar nuevos virus

y evitar la acción de los caballos de Troya y bombas lógicas.

• Programas de Vacuna: Añaden código a un fichero ejecutable de modo que éste se

auto chequee al ejecutarse, o calculan y guardan una lista de sumas de control en

cierta parte del disco. Los programas de este tipo suelen presentar problemas de

compatibilidad.

Comparativa

Aquí dejamos una tabla con una comparación entre los distintos programas antivirus

encontrados en el mercado actualmente según la web de Virus Bulletin

(http://www.virusbtn.com)

Product malware adware / false scan proactive response malware adware /

on spyware positives speed detection times on spyware
demand on demand on
demand demand

AntiVir ++ ++ (4) + ++ + ++ 99.8% 99.0%

(Avira)

Avast! (Alwil) ++ ++ + + o o 99.3% 98.3%

AVG + - (4) + + o o 95.8% 87.0%

AVK 2008 (G ++ ++ o - + ++ 99.2% 99.1%

Data) (1)

AVK 2009 (G ++ ++ + + ++ ++ 99.8% 99.8%

Data) (2)

BitDefender + - + - ++ + 97.7% 87.8%

2008

BitDefender + - + o ++ + 97.6% 88.0%

2009

CA-AV (VET) -- -- ++ o - -- 65.5% 68.0%

 ClamAV - o - -- - ++ 88.5% 92.8%

Dr Web -- - o o + o 84.9% 89.6%

eScan + + o - + ++ 97.8% 97.4%

Fortinet-GW o -- o + ++ + 92.6% 81.9%

F-Prot (Frisk) o o + + o o 94.8% 92.6%

F-Secure ++ ++ + o ++ + 98.2% 98.4%

2008

F-Secure ++ ++ + + ++ ++ 99.2% 99.6%

2009

Ikarus ++ ++ o + + + 99.5% 98.6%

K7 o o o ++ - o 92.1% 94.0%
Computing

Kaspersky ++ ++ o o + ++ 98.4% 98.3%

McAfee o o ++ o + - 93.6% 94.5%

Microsoft + + ++ o - - 97.7% 97.1%

Nod32 (Eset) o o ++ ++ ++ + 94.4% 94.7%

Norman + + + o + o 96.3% 95.8%

Norton 2008 + o ++ + + o 97.8% 94.6%

(Symantec)

Norton 2009 ++ + ++ ++ + ++ 98.7% 95.4%

(Symantec)

Panda 2008 - o + + ++ o 86.4% 93.4%

Panda 2009 o + + + ++ + 91.8% 95.6%

Rising -- -- + o o o 83.4% 77.5%

Sophos + + + + ++ + 97.5% 95.0%

Trend Micro o - + + o + 91.3% 88.5%

TrustPort ++ ++ - -- ++ ++ 99.5% 98.4%

 VBA32 o - o o + o 90.5% 85.2%

VirusBuster - - + + o o 89.0% 85.8%

WebWasher- ++ ++ o ++ ++ ++ 99.7% 99.2%

GW (3)

ZoneAlarm + + o o + ++ 97.8% 97.7%