HISTORIA DE LOS VIRUS INFORMATICOS En 1949, el matemtico estadounidense de origen hngaro John von Neumann, en el Instituto de Estudios Avanzados

de Princeton (Nueva Jersey), plante la posibilidad terica de que un programa informtico se reprodujera. Esta teora se comprob experimentalmente en la dcada de 1950 en los Laboratorios Bell, donde se desarroll un juego llamado Corre Wars en el que los jugadores creaban minsculos programas informticos que atacaban y borraban el sistema del oponente e intentaban propagarse a travs de l. En 1983, el ingeniero elctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acu el trmino de "virus" para describir un programa informtico que se reproduce a s mismo. En 1985 aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora de grficos llamado EGABTR y un juego llamado NUKE-LA. Pronto les sigui un sinnmero de virus cada vez ms complejos. El virus llamado Brain apareci en 1986, y en 1987 se haba extendido por todo el mundo. En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruz Estados Unidos de un da para otro a travs de una red informtica. El virus Dark Avenger, el primer infector rpido, apareci en 1989, seguido por el primer virus polimrfico en 1990. En 1995 se cre el primer virus de lenguaje de macros, WinWord Concept. Actualmente, con la adopcin de Internet en todas la universidades, empresas, y en muchos hogares, el contagio por virus comienza a ser algo muy habitual. Con la consecuencia que la mayora de los virus que se transmiten hoy en da son gusanos que a su vez llevan algn virus de otro tipo, y que gracias al correo electrnico se propagan fcilmente por Internet. Un virus informtico es una amenaza programada, es decir, es un pequeo programa escrito intencionadamente para instalarse en el ordenador de un usuario sin el conocimiento o el permiso de este. Decimos que es un programa parsito porque el programa ataca a los archivos o al sector de "arranque" y se replica a s mismo para continuar su propagacin. Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daos que pueden afectar a los sistemas. No obstante, absolutamente todos cumplen el mismo objetivo: PROPAGARSE. En un virus informtico, podemos distinguir 3 mdulos: Mdulo de reproduccin - Es el encargado de manejar las rutinas de "parasitacin" de entidades ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse de forma oculta intentando pasar desapercibido ante el usuario. Pudiendo, de esta forma, tomar control del sistema e infectar otras entidades permitiendo la posibilidad de traslado de un ordenador a otro a travs de algunos de estos archivos. Mdulo de ataque - Este mdulo es optativo. En caso de estar presente es el encargado de manejar las rutinas de dao adicional del virus. Por ejemplo, algunos virus, adems de los procesos dainos que realizan, poseen un mdulo de ataque que por ejemplo se activa un determinado da. La activacin de este mdulo, implica la ejecucin de una rutina que implica daos dispares en nuestro ordenador.

Mdulo de defensa - Este mdulo, como su nombre indica tiene la misin de proteger al virus. Su presencia en la estructura del virus es optativa, al igual que el mdulo de ataque. Sus rutinas apuntan a evitar todo aquello que provoque la eliminacin del virus y retardar, en todo lo posible, su deteccin. Ejemplos de virus y sus acciones Happy99: Programa enviado por mail, abre una ventana con fuegos artificiales. Manipula la conectividad con Internet. Melissa: Macro virus de Word. Se enva a s mismo por mail. Daa todos los archivos .doc. Chernbil (W95.CIH): Borra el primer Mb del HD, donde se encuentra la FAT. Obliga a formatear el HD. Adems intenta rescribir el BIOS de la PC lo que obliga a cambiar el mother. Se activa el 26 de abril. Michel ngelo: Virus de boot sector. Se activa el 6 de marzo. Sobre escribe la FAT, dejando el disco inutilizable. WinWord.Concept: Macro virus que infecta la plantilla Normal.dot. Hace aparecer mensajes en la pantalla y mal funcionamiento del Word. Formato: Troyano que infecta el Word, al abrir un archivo infectado formatea el disco rgido. Back Orifice2000 (BO2K): Funcionalmente es un virus y sirve para el robo de informacin. Permite tomar control remoto de la PC o del servidor infectado, con la posibilidad de robar informacin y alterar datos. VBS/Bubbleboy: Troyano que se ejecuta sin necesidad de abrir un attachment, y se activa inmediatamente despus de que el usuario abra el mail. No genera problemas serios. Sircam, Badtrans.b, Platan. Por qu se hace un virus? Un virus es un ataque intencionado que puede tener muy diversas motivaciones. Entre ellas podemos citar las siguientes: Deseo de ser admirado, aunque sea ocultamente. Este tipo de autor se siente satisfecho por el hecho de ver su marca personal en la extensin del virus creado. Deseo de experimentacin. De hecho, los hackers pueden ser considerados como personas interesadas en conocer, experimentar y explotar todas las caractersticas ofrecidas por los ordenadores. Deseo de producir dao a una entidad o persona especfica. Por ejemplo a una empresa de la que ha sido despedido o a los ordenadores que utilizan una herramienta antivirus en particular. Motivaciones polticas o terroristas. Se pueden crear ciertos virus con intencin de infectar instalaciones de ciertos pases o de activarse en das significativos. Como medio de propaganda o difusin de sus quejas o ideas radicales. Clasificacin de los Virus Informticos Tipos de Virus Informticos segn su destino de infeccin Infectores de archivos ejecutables Afectan archivos de extensin EXE, COM, BAT, SYS, PIF, DLL, DRV Infectores directos El programa infectado tiene que estar ejecutndose para que el virus pueda funcionar (seguir infectando y ejecutar sus acciones destructivas) Infectores del sector de arranque (boot) Tanto los discos rgidos como los disquetes contienen un Sector de Arranque, el cual contiene informacin especfica relativa al formato del disco y los datos almacenados en l. Adems, contiene un pequeo programa llamado Boot Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y ejecutar en el disco los archivos del sistema operativo. Este programa es el que muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de no encontrar los archivos del sistema operativo. Este es el programa afectado por los virus

de sector de arranque. La computadora se infecta con un virus de sector de arranque al intentar bootear desde un disquete infectado. En este momento el virus se ejecuta e infecta el sector de arranque del disco rgido, infectando luego cada disquete utilizado en el PC. Es importante destacar que como cada disco posee un sector de arranque, es posible infectar el PC con un disquete que contenga solo datos..... Virus Multi Particin Bajo este nombre se engloban los virus que utilizan los dos mtodos anteriores. Es decir, pueden simultneamente infectar archivos, sectores boot de arranque y tablas FAT. Infectores residentes en memoria El programa infectado no necesita estar ejecutndose, el virus se aloja en la memoria y permanece residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destruccin Macrovirus Son los virus ms populares de la actualidad. No se transmiten a travs de archivos ejecutables, sino a travs de los documentos de las aplicaciones que poseen algn tipo de lenguaje de macros. Entre ellas encontramos todas las pertenecientes al paquete Office (Word, Excel, Power Point, Access) y tambin el Corel Draw, o AutoCAD. Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el control y se copia a la plantilla base de nuevos documentos, de forma que sean infectados todos los archivos que se abran o creen en el futuro. Los lenguajes de macros como el Visual Basic For Applications son muy poderosos y poseen capacidades como para cambiar la configuracin del sistema operativo, borrar archivos, enviar e-mails, etc. De Actives Agents y Java Applets En 1997, aparecen los Java applets y Actives controls. Estos pequeos programas se graban en el disco rgido del usuario cuando est conectado a Internet y se ejecutan cuando la pgina web sobre la que se navega lo requiere, siendo una forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus desarrollados con Java applets y Actives controls acceden al disco rgido a travs de una conexin www de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, enven informacin a un sitio web, etc. De HTML Un mecanismo de infeccin ms eficiente que el de los Java applets y Actives controls apareci a fines de 1998 con los virus que incluyen su cdigo en archivos HTML. Con solo conectarse a Internet, cualquier archivo HTML de una pgina web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script. Atacan a usuarios de Win98, 2000 y de las ltimas versiones de Explorer. Esto se debe a que necesitan que el Windows Scripting Host se encuentre activo. Potencialmente pueden borrar o corromper archivos. Caballos de Troya Los troyanos son programas que imitan programas tiles o ejecutan algn tipo de accin aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el cdigo daino. Los troyanos no cumplen con la funcin de autorreproduccin, sino que generalmente son diseados de forma que por su contenido sea el mismo usuario el encargado de realizar la tarea de difusin del virus. (Generalmente son enviados por e-mail)

Tipos de Virus Informticos segn sus acciones y/o modo de activacin Bombas Se denominan as a los virus que ejecutan su accin daina como si fuesen una bomba. Esto significa que se activan segundos despus de verse el sistema infectado o despus de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condicin lgica del equipo. (Bombas lgicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lgicas son los virus que se activan cuando al disco rgido solo le queda el 10% sin uso, una secuencia de teclas o comandos, etc. Ejemplos de este tipo de programas son virus como Viernes 13 o el virus Miguel ngel Camaleones Son una variedad de virus similares a los caballos de Troya que actan como otros programas parecidos, en los que el usuario confa, mientras que en realidad estn haciendo algn tipo de dao. Cuando estn correctamente programados, los camaleones pueden realizar todas las funciones de los programas legtimos a los que sustituyen (actan como programas de demostracin de productos, los cuales son simulaciones de programas reales). Reproductores Los reproductores (tambin conocidos como conejos-rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema. La nica funcin de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propsito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal. Gusanos (Worms) Los gusanos utilizan las redes de comunicaciones para expandirse de sistema en sistema. Es decir, una vez que un gusano entra a un sistema examina las tablas de ruta, correo u otra informacin sobre otros sistemas, a fin de copiarse en todos aquellos sistemas sobre los cuales encontr informacin. Este mtodo de propagacin presenta un crecimiento exponencial con lo que puede infectar en muy corto tiempo a una red completa. Existen bsicamente 3 mtodos de propagacin en los gusanos: 1 - Correo electrnico - El gusano enva una copia de s mismo a todos los usuarios que aparecen en las libretas de direcciones que encuentra en el ordenador dnde se ha instalado. 2 - Mecanismos basados en RPC (Remote Procedure Call) - El gusano ejecuta una copia de s mismo en todos los sistemas que aparecen en la tabla de rutas(rcopy y rexecute). 3 - Mecanismos basados en RLOGIN - El gusano se conecta como usuario en otros sistemas y una vez en ellos, se copia y ejecuta de un sistema a otro. Backdoors Son tambin conocidos como herramientas de administracin remotas ocultas. Son programas que permiten controlar remotamente el PC infectado. Generalmente son distribuidos como troyanos.

Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningn tipo de mensaje o consulta al usuario. Incluso no se le v en la lista de programas activos. Los Backdoors permiten al autor tomar total control del PC infectado y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario, etc.... Tcnicas de programacin Apoyados en la capacidad de evolucin dada por sus programadores, los nuevos virus nacen con el conocimiento de las tcnicas utilizadas por las herramientas antivirus actuales y sabiendo cuales son sus puntos dbiles. En base a ello utilizan tcnicas cada vez ms complejas para ocultarse y evitar ser detectados. Algunos de los mtodos de ocultacin ms utilizados son los siguientes: Stealth (Ocultamiento) El ocultamiento o stealth consiste en esconder los signos visibles de la infeccin que puedan delatar la presencia del virus en el sistema. Se trata de evitar todos los sntomas que indican la presencia de un virus. El signo fundamental de infeccin es no obstante la modificacin del fichero infectado. Una tcnica de camuflaje usada por un virus residente puede ser la siguiente: - Interceptar el servicio de lectura de ficheros. - Cuando un programa desea analizar un fichero infectado, se le devuelve el contenido original del mismo antes de la infeccin. Tunneling (Sobrepasamiento) El sobrepasamiento o tunneling consiste en acceder directamente a los servicios del sistema a travs de sus direcciones originales, sin pasar por el control de otros programas residentes, incluyendo el propio sistema operativo o cualquier buscador o vacuna residente. Requiere una programacin compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instruccin se produce la interrupcin 1. Se coloca una ISR (Interrupt Service Routine) para dicha interrupcin y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quera hasta recorrer toda la cadena de ISRs que haya colocado el parche al final de la cadena. Armouring o antidebuggers Un debugger es un programa que permite descompilar programas ejecutables y mostrar parte de su cdigo en lenguaje original. Algunos virus utilizan diversas tcnicas para evitar ser desensamblados y as impedir su anlisis para la fabricacin del antivirus correspondiente. Polimorfismo o auto mutacin Es una tcnica que consiste en cambiar el mtodo de encriptacin de generacin en generacin, es decir, que entre distintos ejemplares del mismo virus no existen coincidencias ni siquiera en la parte del virus que se encarga del descifrado del resto del virus. Esto obliga a los antivirus a usar tcnicas heursticas ya que como el virus cambia en cada infeccin es imposible localizarlo buscndolo por cadenas de cdigo. Esto se consigue utilizando un algoritmo de encriptacin que pone las cosas muy difciles a los antivirus. No obstante no se puede codificar todo el cdigo del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte ms vulnerable al antivirus. La forma ms utilizada para la codificacin es la operacin lgica XOR. Esto es debido que esta operacin es reversible 7 XOR 9 = 14 14 XOR 9 = 7

En este caso la clave es el nmero 9, pero utilizando una clave distinta en cada infeccin se obtiene una codificacin tambin distinta. Otra forma tambin muy utilizada consiste en sumar un nmero fijo a cada byte del cdigo vrico. Preparacin y prevencin Los usuarios pueden prepararse frente a una infeccin viral creando regularmente copias de seguridad del software original legtimo y de los ficheros de datos, para poder recuperar el sistema informtico en caso necesario. Hoy en da casi todo el mundo posee una grabadora de CD's, por lo que hacerse una copia de seguridad del software del sistema operativo es muy sencillo y barato, adems al no poder volverse a escribir en el disco, ningn virus podr sobrescribir en l. Las infecciones virales pueden prevenirse obteniendo los programas de fuentes legtimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible. Deteccin de virus Para detectar la presencia de un virus pueden emplearse varios tipos de programas antivricos. Los programas de rastreo pueden reconocer las caractersticas del cdigo informtico de un virus y buscar estas caractersticas en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados peridicamente para resultar eficaces. Algunos programas de rastreo buscan caractersticas habituales de los programas virales; suelen ser menos fiables. Contencin y recuperacin Una vez detectada una infeccin viral, sta puede contenerse aislando inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y empleando slo discos protegidos contra escritura. Para que un sistema informtico se recupere de una infeccin viral, primero hay que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a veces los resultados no son satisfactorios. Se obtienen resultados ms fiables desconectando la computadora infectada, arrancndola de nuevo desde un disco flexible protegido contra escritura, borrando los ficheros infectados y sustituyndolos por copias de seguridad de ficheros legtimos y borrando los virus que pueda haber en el sector de arranque inicial. Tambin gracias a Internet es posible intercambiar informacin y conversar en tiempo real sobre temas muy diversos mediante los grupos de noticias y los chats, respectivamente. ltimamente, con motivo de las Navidades empiezan a circular e-mails y pequeas aplicaciones grficas en forma de felicitaciones de Pascua o del nuevo ao que, tras un inocente aspecto, pueden contener virus que aprovechan stos das para infectar los equipos de los usuarios desprevenidos. A pesar de no tratarse de una artimaa novedosa, lo cierto es que todos los aos hay usuarios que caen en las "triquiuelas" de cdigos maliciosos "camuflados" en e-mails con textos llenos de buenos deseos. Un claro ejemplo lo constituye el gusano Win32/SKA, ms conocido como Happy99, que intenta engaar al usuario hacindole creer que el mensaje que ha recibido es una felicitacin por el nuevo ao. Otros ejemplos de la amenaza encubierta a la que nos referimos son los virus W32/Navidad.B, VBS/HappyTime, y el descubierto recientemente W32/Reezak.A que es un gusano que utiliza como reclamo una felicitacin navidea, por lo que en Navidades puede llegar a provocar muchas incidencias entre todos los usuarios. Este gusano llega incluido en un fichero denominado Christmas.exe adjunto a un mensaje de correo electrnico en cuyo asunto de mensaje se indica un "Feliz ao nuevo". Pero las posibilidades reales de infectarse navegando son limitadas. Estos virus nicamente podran contagiar a los ficheros HTML que estn en el mismo ordenador, nunca a un ordenador remoto. Aqu hay que comentar la Navegacin OFF-LINE, que consiste en dejar un ordenador bajndose informacin y guardndola en cach, para que en un determinado momento los usuarios puedan ir viendo las pginas web en local, con el consiguiente ahorro de tiempo en las conexiones. Al estar todas las pginas en local, si una de ellas tuviera un virus HTML, podra infectar a las dems.

En numerosas ocasiones, los programas de correo electrnico se ven obligados a enviar los mensajes en formato HTML para permitir su lectura en otros sistemas que utilizan formatos de texto no compatibles con los del programa que los gener. Al tener una pgina HTML en el ordenador, puede resultar infectada, con el consiguiente peligro de reenviar una infeccin tras leer el correo electrnico.

ANTIVIRUS HISTORIA
Definicin: Los antivirus son una herramienta simple cuyo objetivo es detectar y eliminar virus informticos. Nacieron durante la dcada de 1980. Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e internet, ha hecho que los antivirus hayan evolucionado hacia programas ms avanzados que no slo buscan detectar virus informticos, sino bloquearlos, desinfectarlos y prevenir una infeccin de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc Mtodos de contagio: Existen dos grandes grupos de propagacin: los virus cuya instalacin el usuario en un momento dado ejecuta o acepta de forma inadvertida, o los gusanos, con los que el programa malicioso acta replicndose a travs de las redes. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anmalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperacin del mismo. Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn las siguientes: Mensajes que ejecutan automticamente programas (como el programa de correo que abre directamente un archivo adjunto). Ingeniera social, mensajes como: Ejecute este programa y gane un premio. Entrada de informacin en discos de otros usuarios infectados. Instalacin de software que pueda contener uno o varios programas maliciosos. Unidades extrables de almacenamiento (USB). Seguridad y mtodos de proteccin: Existen numerosos medios para combatir el problema; sin embargo, a medida que nuevos programas y sistemas operativos se introducen en el mercado, ms difcil es tener controlados a todos y ms sencillo va a ser que a alguien se le ocurran nuevas formas de infectar sistemas. Ante este tipo de problemas, estn el software llamados antivirus. Estos antivirus tratan de descubrir las trazas que ha dejado un software malicioso para detectarlo o eliminarlo, y en algunos casos contener o parar la contaminacin (cuarentena). Los mtodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos. Tipos de vacunas: CA:Slo deteccin : Son vacunas que solo detectan archivos infectados sin embargo no pueden eliminarlos o desinfectarlos. CA: Deteccin y desinfeccin: son vacunas que detectan archivos infectados y que pueden desinfectarlos. CA: Deteccin y aborto de la accin: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus

CB: Comparacin por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si estn infectados. CB: Comparacin de signature de archivo: son vacunas que comparan las signaturas de los atributos guardados en tu equipo. CB:Por mtodos heursticos: son vacunas que usan mtodos heursticos para comparar archivos. CC: Invocado por el usuario: son vacunas que se activan instantneamente con el usuario. CC:Invocado por la actividad del sistema: son vacunas que se activan instantneamente por la actividad del sistema windows xp/vista. Consideraciones de la red: disponer de una visin clara del funcionamiento de la red permite poner puntos de verificacin filtrado y deteccin ah donde la incidencia es ms claramente identificable. sin perder de vista otros puntos de accin es conveniente: Mantener al mximo el nmero de recursos de red en modo de slo lectura. De esta forma se impide que computadoras infectadas los propaguen. Centralizar los datos. De forma que detectores de virus en modo batch puedan trabajar durante la noche. Tipos de Antivirus Los antivirus informticos son programas cuya finalidad consiste en la detectacin, bloqueo y/o eliminacin de un virus de las mismas caractersticas. Una forma de clasificar los antivirus es: ANTIVIRUS PREVENTORES: como su nombre lo indica, este tipo de antivirus se caracteriza por anticiparse a la infeccin, previnindola. De esta manera, permanecen en la memoria de la computadora, monitoreando ciertas acciones y funciones del sistema. ANTIVIRUS IDENTIFICADORES: esta clase de antivirus tiene la funcin de identificar determinados programas infecciosos que afectan al sistema. Los virus identificadores tambin rastrean secuencias de bytes de cdigos especficos vinculados con dichos virus. ANTIVIRUS DESCONTAMINADORES: comparte una serie de caractersticas con los identificadores. Sin embargo, su principal diferencia radica en el hecho de que el propsito de esta clase de antivirus es descontaminar un sistema que fue infectado, a travs de la eliminacin de programas malignos. El objetivo es retornar dicho sistema al estado en que se encontraba antes de ser atacado. Es por ello que debe contar con una exactitud en la deteccin de los programas malignos. Otra manera de clasificar a los antivirus es la que se detalla a continuacin: CORTAFUEGOS O FIREWALL: estos programas tienen la funcin de bloquear el acceso a un determinado sistema, actuando como muro defensivo. Tienen bajo su control el trfico de entrada y salida de una computadora, impidiendo la ejecucin de toda actividad dudosa. ANTIESPAS O ANTISPYWARE: esta clase de antivirus tiene el objetivo de descubrir y descartar aquellos programas espas que se ubican en la computadora de manera oculta. ANTIPOP-UPS: tiene como finalidad impedir que se ejecuten las ventanas pop-ups o emergentes, es decir a aquellas ventanas que surgen repentinamente sin que el usuario lo haya decidido, mientras navega por Internet.

ANTISPAM: se denomina spam a los mensajes basura, no deseados o que son enviados desde una direccin desconocida por el usuario. Los anti spam tienen el objetivo de detectar esta clase de mensajes y eliminarlos de forma automtica.