Captulo 17 Los virus informticos

ndice Captulo 16 Captulo 18 Publicaciones Saulo.Net

17-1 Introduccin: Los virus informticos

Los virus informticos son programas diseados para causar de forma intencionada dao a nuestro sistema. Los virus poseen una gran facilidad para reproducirse dentro de los discos. Debemos prestar mucha atencin al concepto de virus = programa: un virus es un programa, es software. Este concepto implica lo siguiente:

Ha sido diseado por una persona. Por tanto, un virus no nace de la nada: ha sido programado con antelacin. Se transmite por las mismas vas que el software normal: discos, va mdem o a travs de una red de ordenadores. No puede estropear los componentes fsicos del ordenador, el hardware. Solamente puede estropear los datos grabados en los discos, no al disco como tal. Un virus se elimina con un programa denominado anti-virus. En el mejor de los casos se puede eliminar el virus sin afectar a los datos. De lo contrario, cuando no se pueda separar el virus de nuestros datos, habr que sacrificar nuestros trabajos para eliminar el virus.

ndice Arriba Publicaciones Saulo.Net

17-2 Motivos para fabricar un virus

Los motivos que pueden llevar a un programador a crear un virus informtico pueden ser diferentes:

Deseo de demostrarse a s mismo que es capaz de hacerlo. Deseo de producir un dao a una entidad o a una persona especfica. Por ejemplo, una persona puede vengarse de aquella empresa que le despide introduciendo un virus en sus sistemas. Intereses econmicos: crear el virus, extender la infeccin a empresas importantes y luego, venderles el anti-virus que lo elimina.

ndice Arriba Publicaciones Saulo.Net

17-3 Clasificacin de los virus

Se pueden clasificar en dos tipos principales: a) aquellos que residen en el sector de arranque de un disco y b) aquellos que residen en un fichero ejecutable (EXE o COM).

En ambos tipos, el objetivo principal es reproducirse de la forma ms rpida posible sin que se note (estado de latencia). Cuando el virus considera que se ha extendido lo suficiente pasa al estado de activacin. Los efectos del programa en este periodo son tan variados como alcance la imaginacin de los autores: unos destruyen datos difcilmente recuperables y otros se limitan a mostrar mensajes inofensivos en la pantalla.

Virus de sector de arranque

Estos virus se instalan en memoria cada vez que arrancamos con el disco que lo contiene. Si un virus infecta el sector de arranque de un disco duro, cada vez que arranquemos el ordenador (con el disco duro) el virus se acomodar en la memoria, actuando como filtro entre el sistema operativo y nosotros. En esta ventajosa posicin, el virus podra empezar a destruir datos, pero es poco probable. Si lo hiciera, el usuario se dara cuenta y pondra remedio: el principal objetivo del virus no se alcanzara. Lo ms normal es que busque nuevas vctimas antes de pasar al estado de activacin. Estos virus suelen interferir los servicios del sistema relacionados con los discos. Cuando se introduce un disquete, el virus lo detecta, comprueba que est sin infectar y si se dan las condiciones propicias (por ejemplo, que el disco est sin proteger), infecta su sector de arranque. El virus debe realizar todas estas acciones de forma oculta al usuario. Si ste advirtiera alguna irregularidad en el funcionamiento del sistema tomara medidas para eliminar el virus, impidiendo su objetivo principal: la reproduccin. Cuando el virus considere que ha infectado suficientes disquetes, pasar al estado de activacin, destruyendo -generalmente- los datos del disco duro.

Virus de fichero
El cdigo de estos virus se aade o se superpone a un fichero ejecutable (un procesador de textos, el command.com... ) y entran en funcionamiento nicamente al ejecutar el fichero infectado. Lgicamente, los ficheros estn para ser ejecutados, por lo que tarde o temprano lo cargaremos, entrando en funcionamiento el programa intruso. Los virus de fichero residentes se cargan en memoria cuando ejecutamos el programa. A partir de este momento, el virus tratar de infectar otros ficheros ejecutables (COM o EXE). Como la memoria RAM es temporal, al apagar el ordenador se borrar el virus de la memoria. Los virus de fichero de accin directa no se cargan en memoria, solamente funcionan el cargarse un fichero infectado. En estos casos, el virus se aade en alguna posicin al fichero sano. Cuando ejecutemos el fichero (ahora infectado), primero toma el control el virus, acta y luego da paso al verdadero fichero. En el escaso tiempo que acta, el virus

deber intentar infectar todos los ficheros que tenga a su alcance lo ms rpidamente posible. Si el usuario observara demora, el intruso se delatara a s mismo. Los virus de fichero de sobrescritura superponen su propio cdigo sobre el del programa sano. Cuando indicamos a ms-dos que ejecute un fichero con virus de este tipo, el virus se carga en la memoria y muestra en pantalla un mensaje de error para intentar engaar al usuario. El fichero primitivo ya no existe y por tanto no puede funcionar. Cuando observamos que cada vez menos programas arrancan, es seal inequvoca de un desastre, pero quizs sea ya demasiado tarde para poner remedio.

ndice Arriba Publicaciones Saulo.Net

17-4 Medidas para evitar el contagio

No utilizar software ilegal o de procedencia dudosa. Revisar todos los disquetes que entren de fuera con un buen anti-virus, como el suministrado por ms-dos: Msav. Realizar copias de seguridad de nuestros trabajos en el disco duro de forma peridica. Los programas deberamos tenerlos en disquetes, por consiguiente slo tenemos que preocuparnos de los datos fruto de nuestro trabajo. ms-dos posee una inmejorable herramienta para realizar copias de seguridad: Msbackup. Proteger todos los disquetes contra escritura. Una disquetera no puede escribir en un disquete protegido. Ningn programa, virus incluidos, es capaz de grabar informacin en un disquete protegido: la disquetera posee unos mecanismos fsicos que lo impiden. Si estamos conectados a un servicio electrnico (como Compuserve o Microsoft Network) o a una red de ordenadores (Internet), guardar las mximas precauciones: utilizar un anti-virus transparente al usuario, pero que nos protega de virus constantemente. El ms-dos posee un anti-virus de este tipo: Vsafe. Utilizar un anti-virus de forma regular en el disco duro (Msav). La mayora de los virus destruyen la estructura del disco. Podemos utilizar el programa Chkdsk o Scandisk para comprobar que el disco duro est en perfectas condiciones. Si uno de estos programas encuentra infinitos errores en el disco, no los arregle, ataque primero la raz del problema -el virus-. Y una vez saneado el disco, intente utilizar estas herramientas por si consiguen recuperar algo.

ndice Arriba Publicaciones Saulo.Net

17-5 Sntomas generales de la presencia de un virus

Los siguientes sntomas pueden aparecer cuando el virus se encuentra todava en estado de latencia:

El ordenador trabaja ms lento. Los virus para realizar su trabajo necesitan analizar cada accin del sistema operativo y seleccionar en cules puede actuar y en cules no. Aumenta el tamao de los ficheros. Los virus de fichero (menos los de sobrescritura) necesitan aadir su cdigo al del propio programa. La fecha o la hora del fichero ha variado. Algunos virus modifican estos parmetros para conocer si un fichero ha sido infectado por ellos mismos y evitar un doble contagio. Suelen utilizar cdigos especiales: segundos por encima de sesenta, aos por encima del 2100, etc... La memoria parece menor al utilizar la orden Mem. Los virus engaan al sistema operativo para impedir ser detectados en memoria. Si tenemos 640K de memoria convencional, una cifra inferior puede indicar presencia de virus. Algunos programas no funcionan. Puede ocurrir si el virus ha sobrescrito la informacin de los ficheros ejecutables. Hay menos espacio libre en disco que antes. El virus se ha instalado en el disco ocupando espacio.

Alguno o varios de los siguientes sntomas aparecen cuando el virus est ejerciendo su accin destructora:

Desaparicin misteriosa de ficheros. El virus ha borrado algunos ficheros o ha modificado la FAT. En algunos ficheros aparece informacin de otros. El virus ha modificado la FAT. Los programas Chkdsk o Scandisk detectan estas anomalas. Errores de lectura en el disco. Suelen aparecer cuando ha sido daada la estructura del disco. El sistema operativo no entiende la informacin del disco y muestra errores. El sistema no arranca. El virus ha estropeado el sector de arranque del disco duro, slo podemos arrancar con un disquete en la unidad A:. La informacin puede estar disponible todava o quizs no y el disco duro est totalmente inaccesible.

ndice Arriba Publicaciones Saulo.Net

17-6 Los anti-virus

Son programas diseados para detectar y eliminar virus conocidos y desconocidos. Los fabricantes de los programas anti-virus poseen todo un catlogo con el nombre de los virus conocidos, cmo identificarlos y como eliminarlos. El proceso seguido por los programas anti-virus suele ser el siguiente: analizar la memoria, el sector de arranque y luego, cada uno de los ficheros ejecutables del disco. Para buscar los virus de fichero, acostumbran a analizar cada fichero buscando unas cadenas de caracteres especficas que identifican a cada virus. El problema se complica cuando los virus utilizan tcnicas de polimorfismo, es decir, ir adoptando formas diferentes en cada infeccin.

Los anti-virus disponen de mltiples formas de deteccin. Sin embargo, se pueden agrupar en dos grandes grupos: a) tcnicas para detectar los virus conocidos y b) tcnicas inteligentes que detectan virus desconocidos. Lgicamente, en estos casos, el programa detectar un posible virus pero no podr ni asegurarlo ni decirnos su nombre. No todos los anti-virus son capaces de detectar virus desconocidos. Es tambin muy importante que los anti-virus no slo detecten correctamente el nombre del virus sino que la limpieza sea la mejor posible. Esta claro que siempre se puede eliminar un virus si formateamos el disco infectado a bajo nivel. Por esta razn slo se justifica un programa anti-virus si es capaz de apartar los datos vlidos del intruso y eliminar a ste ltimo. Pero ni el mejor anti-virus es capaz de detectarlos a todos, ni todos los virus se pueden limpiar sin afectar a los datos. Otro grupo de anti-virus son los residentes en memoria. Se suelen cargar en la memoria al arrancar el ordenador y revisan algunas acciones del sistema operativo para comprobar que no hay movimiento de virus. Poseen la ventaja de estar siempre alerta y la desventaja de ocupar memoria. Recuerde, en todo momento, que la mejor medida para evitar la prdida de datos es realizar de forma peridica copias de seguridad. A partir de la versin 6.0, ms-dos lleva incorporadas dos herramientas anti-virus llamadas Msav (Microsoft anti-virus) y Vsafe.

Msav detecta y limpia virus en la memoria, sector de arranque del disco y ficheros del disco. Vsafe es un anti-virus residente en memoria que, entre otras funciones, nos da mensajes de aviso si se intenta formatear el disco duro o si se va a modificar el sector de arranque del disco duro. Si Vsafe detecta algn virus, hay que utilizar Msav para limpiarlo.

A continuacin se describe la utilizacin de cada una de estas herramientas. ndice Arriba Publicaciones Saulo.Net

17-7 MSAV
Para detectar la presencia de virus en un disco escribimos MSAV a continuacin del smbolo del sistema. Aparecer un interface grfico basado en mens. En todo momento puede pulsar F1 para acceder a una completa ayuda sensible al contexto. Nota: Si desea que MSAV revise la memoria y el disco cada vez que arranca el ordenador, debe introducir la lnea MSAV /P al final del AUTOEXEC.BAT. Si utiliza unidades de red, agregue adems el parmetro /L para limitar el examen a las unidades locales.

Despus de cargar el programa, aparece el llamado Men rpido que posee 5 botones con diversas funciones. Para realizar un chequeo de un disco, primero elegimos la unidad (F2), luego establecemos las opciones (F8) y posteriormente elegimos entre detectar simplemente (F4) o detectar y limpiar (F5). Para salir pulsamos F3. Observe la ltima lnea de la pantalla que contiene un esquema del cometido de cada tecla de funcin. Nos damos cuenta que todas las opciones del men rpido se encuentran representadas tambin mediante una tecla de funcin. En estos casos podemos elegir el botn oportuno con las teclas del cursor o pulsar la tecla de funcin asociada. Vamos a describir todo lo que se puede hacer desde el men rpido. Ayuda (F1) Ofrece informacin de ayuda. Al salir de la ayuda regresamos al mismo punto desde donde la pedimos. Cuando tenga dudas sobre lo que est haciendo en ese momento, pulse F1 y aparecer una ayuda especfica. Con las teclas de funcin puede acceder a un ndice de contenidos y a un glosario de trminos, entre otras informaciones de ayuda. Pulse F3 o Esc para salir de la ayuda. Seleccionar nueva unidad (F2) En la pantalla se muestra la unidad para explorar. Para cambiarla, pulse F2 o seleccione el tercer botn. Salir (F3) Termina la ejecucin de Msav. Aparece una pantalla de despedida. Si activamos la casilla "Guardar configuracin", se graban las opciones elegidas para la siguiente vez. Detectar (F4) Detecta virus en la unidad elegida. Detectar y limpiar (F5) Detecta y limpia virus en la unidad elegida. Borrar (F7) Borra los ficheros con los totales de verificacin creados por Msav. Estos ficheros los utiliza el anti-virus para guardar algunos datos de cada fichero ejecutable (tamao, atributos, fecha...) y comprobar si estos datos han variado. Estos ficheros llamados CHKLIST.MS se crean en todos los directorios del disco.

Opciones (F8) Establece las opciones para la deteccin de virus. Cada una de las opciones se explica ms abajo. Lista (F9) Visualizar la lista de todos los virus conocidos por Msav. Si tenemos inters en un virus determinado podemos seleccionarlo para obtener informacin del virus. Esta informacin nos dice el tipo del virus, sus caractersticas y efectos secundarios. Al final de la lista se encuentra el total de virus detectados por Msav.

Opciones de Msav
Si pulsamos F8 o seleccionamos el botn "Opciones" del Men rpido accedemos a un cuadro de dilogo denominado "Definicin de opciones":

A continuacin se describe cada casilla de verificacin. Verificar integridad Si est activada verifica la integridad de cada fichero, es decir, comprueba que no haya ninguna modificacin desde la ltima ejecucin de Msav. Si est activada pueden aparecer falsas alarmas. Por ejemplo, si cambiamos el fichero CONFIG.SYS, Msav lo detecta y nos avisa. Si al explorar el disco, Msav muestra cambios en un fichero que nosotros no hemos variado, puede ser sntoma de virus. Utiliza los ficheros CHKLIST.MS de cada directorio. Es recomendable tenerla activada. Crear nuevos totales de verificacin Si est activada, se actualizan los ficheros CHKLIST.MS de cada directorio con los nuevos valores. Se recomienda activarla. Crear totales en disquete Si estn activadas la casilla anterior y sta, actualiza los ficheros CHKLIST.MS de los disquetes. Se recomienda tenerla desactivada. Desactivar sonido de alarma Cuando Msav detecta un posible virus hace sonar un aviso por el altavoz del ordenador. Para evitar el sonido, activamos esta casilla. Crear copia Con esta casilla activada, Msav crea una copia del fichero infectado antes de limpiarlo. El fichero infectado quedar con extensin VIR y el sano con el nombre original. Es recomendable tenerla desactivada. Crear informe Crea un fichero en el directorio raz de la unidad con el resultado de la exploracin llamado CPAV.RPT. Mensaje-gua de deteccin Muestra un cuadro de dilogo al detectar un posible virus. Los tres mensajes ms usuales se describen ms adelante. Si est desactivada, Msav no

pide confirmacin. En este ltimo caso conviene crear un informe para saber el resultado del anlisis. Es recomendable tenerla activada. Anti Stealth Si se activa a la vez que "Verificar integridad", Msav desarrolla una rutinas a bajo nivel capaces de detectar virus desconocidos o virus camuflados fenmeno stealth-. Debido al bajo rendimiento de esta opcin, se recomienda desactivarla. Verificar todos los archivos Si la casilla est activada se chequean todos los ficheros del disco, sino slo los ficheros con extensiones EXE, COM, OVL, OVR, SYS, BIN, APP y CMD. Como los virus suelen afectar solamente a ficheros ejecutables, se recomienda desactivarla.

Cuadros de dilogo durante la exploracin

Cuadro de dilogo "Error de verificacin".

Muestra que un fichero ejecutable ha cambiado. Si aparece este mensaje debemos hacer memoria y saber si lo hemos modificado nosotros _falsa alarma_. Si fue as pulsamos "Actualizar", si tenemos dudas podemos pulsar "Continuar". Actualizar Para que tenga efecto debe estar activada la opcin Crear nuevos totales de verificacin. Despus de pulsar ste botn, Msav tomar como correcta la nueva informacin del fichero y no volver a detenerse en l. Reparar Deja al fichero modificado como estaba en un principio. Continuar Ignora el error y sigue adelante. Detener Ignora el error y detiene la exploracin.

Cuadro de dilogo "Virus de sector de inicializacin localizado".

Msav ha detectado un virus en el sector de arranque de un disco. Nos ofrece tres botones: Limpiar Limpia el virus del sector de arranque. Se recomienda. Continuar Ignora el virus y sigue adelante. Detener Ignora el virus y detiene la exploracin.

Cuadro de dilogo "Virus localizado".

Msav ha detectado la presencia de un virus. Muestra el nombre del virus y en qu fichero ha sido encontrado. Ofrece cuatro botones: Limpiar Limpiar el virus del fichero. Se recomienda. Continuar Ignora el virus y sigue adelante Detener Ignora el virus y detiene la exploracin Borrar Borra el fichero completo.

Crear un disquete de arranque

Suponga que su disco duro no arranca por culpa de un virus. La nica alternativa que tiene es usar un disquete de arranque. Para crear un disco de arranque y copiarle el antivirus, hacemos lo siguiente: 1. Formatear un disquete nuevo en la unidad A:
C:\>format a: /s

2. Copiarle los ficheros del anti-virus de Microsoft:

C:\>copy c:\dos\msav*.* a:\

3. Proteger el disquete contra escritura, pegarle una pegatina que lo identifique y guardarlo en lugar seguro. Si ocurre lo peor, introduzca el disquete anterior en la unidad A: y encienda el ordenador. Cuando se cargue ms-dos, teclee MSAV C:

ndice Arriba Publicaciones Saulo.Net

17-8 VSAFE
Esta herramienta comprueba continuamente el ordenador para detectar la presencia de virus. Vsafe es un programa residente en memoria que controla todas las acciones del sistema operativo. Si Vsafe detecta algo inusual interfiere lo que estemos haciendo y pregunta qu hacer. Nota: Para utilizar Vsafe en el entorno Windows, debe cargar Vsafe desde el ms-dos, ejecutar Windows y luego, cargar el programa MWAVTSR.EXE. Cuando escribamos Vsafe a continuacin del smbolo del sistema, ste quedar cargado en memoria hasta que lo desactivemos.

Nota: Si deseamos que Vsafe se cargue cada vez que arranque el ordenador debemos introducir la lnea VSAFE al final del AUTOEXEC.BAT Para ver o seleccionar la manera en que Vsafe va a inspeccionar nuestro equipo pulsamos Alt+V en cualquier momento. Un cuadro de dilogo aparecer en la pantalla:

Observamos 8 opciones de aviso: 1. Avisa si se intenta formatear el disco duro. Por defecto est activada. 2. Avisa si un programa cualquiera intenta permanecer en memoria. Por defecto est desactivada. 3. Avisa si se intenta escribir en un disco. Por defecto est desactivada. 4. Comprueba los ficheros ejecutables que ms-dos utilice en cada momento en busca de virus. Por defecto est activada. 5. Comprueba el sector de arranque de todos los discos. Por defecto est activada. 6. Avisa si se intenta cambiar el sector de arranque de un disco duro o su tabla de particiones. Por defecto est activada. 7. Avisa si se intenta cambiar el sector de arranque de un disquete. Por defecto est desactivada. 8. Avisa si se est modificando un fichero ejecutable. Por defecto est desactivada. Si Vsafe detecta algo inusual, toma el control del ordenador y muestra un mensaje en pantalla titulado "Advertencia de Vsafe". A continuacin indica el motivo de la interrupcin y presenta 3 botones: Continuar Ignora la advertencia y permite al programa continuar. Debemos pulsarlo si nosotros mismos hemos provocado la situacin. Por ejemplo, si modificamos la etiqueta del disco duro, estamos modificando tambin el sector de arranque, por lo que Vsafe mostrar su advertencia. Detener Impide al programa continuar. Debemos pulsarlo si sospechamos la presencia de un virus. Iniciar Reinicia el ordenador. Se perder el trabajo que estemos realizando.

ndice Arriba Captulo 18 Publicaciones Saulo.Net