You are on page 1of 108

Como atacan los virus

informticos. Mtodos de
infeccin
Comentarios (5)
Los virus son cada vez ms sofisticados y actualmente
basta con copiar un archivo para que todo el sistema se
infecte. Los virus permanecen en la memoria de la computadora
y comienzan a infectar todo lo que pasa por la computadora.
En la actualidad, y debido a la vulnerabilidad de los sistemas
informticos al estar permanentemente expuestos por el uso
frecuente de Internet, circulan diferentes tipos de virus que se
modifican y evolucionan con el fin de lograr sus objetivos.

Cul es el fin de los virus informticos? Perjudicar al usuario,

ya sea hurtando informacin sensible que le pertenece, o


bien poniendo en riesgo el funcionamiento de sus equipos.
Es por ello que existe una infinidad de tipos de virus, entre los
que se destacan algunos de ellos ya sea por su masiva circulacin o
bien por el dao que provocan. Cada uno de estos virus ha sido
creado en base a funcionar bajo una determinada metodologa,
para lograr el resultado esperado por sus creadores.
En el siguiente informe especial, te contamos algunos detalles
del mtodo de trabajo que poseen los virus informticos
ms conocidos y difundidos en la actualidad, con el fin de que
puedas conocer ms en profundidad su funcionamiento, su
modo de infeccin y sus objetivos, y de esta manera estar
mejor preparado ante una posible infeccin de tu PC.

Virus de tipo residente


Como su nombre lo indica, esta clase de virus poseen la
particularidad de poder ocultarse en sectores de
la memoria RAM del equipo y residir all, controlando cualquier
operacin de entrada o salida de datos que lleve a cabo el sistema
operativo.
Su principal misin es la de infectar todos los archivos y
programas que puedan ser llamados para su ejecucin, ya
sea para su copia, borrado o toda otra operacin que pueda ser
realizada con ellos.
Mientras permanecen ocultos en la RAM de nuestra

computadora, yacen latentes a la espera de cualquier evento


que haya sido programado por su desarrollador para
comenzar con su ataque.
Esta reaccin puede ser desencadenada, por ejemplo, al haberse
cumplido un lapso de tiempo en una fecha u hora prevista.

Virus de tipo de accin directa


La caracterstica fundamental que define a los virus de tipo de
Accin Directa es que no necesitan permanecer residentes en la
memoria RAM de la computadora, ya quesu mtodo para
comenzar con su ataque es esperar que se cumpla una
determinada condicin para activarse y poder replicarse y
realizar la tarea para la cual fueron concebidos.
Para poder lograr su infeccin, esta clase de virus realiza una
bsqueda de todos los archivos existentes en su directorio. Adems
poseen la particularidad de buscar en los directorios que se listan
en la lnea PATH de la configuracin del sistema.
Este tipo de virus poseen la particularidad de, tras una infeccin
de archivos, estos ficheros pueden ser por completo
restaurados, volviendo al estado anterior a su infeccin.

Virus de sobreescritura
Los virus del tipo de sobreescritura poseen la habilidad de destruir
todo o parte del contenido de un archivo infectado por
l, ya que cuando un fichero es infectado por el virus, este escribe
datos dentro del mismo, dejando a este archivo total o
parcialmente intil.
Una caracterstica que define a este tipo de virus informtico, es
que los archivos no aumentarn de tamao en caso de una
infeccin, esto es debido a que el virus oculta su cdigo
reemplazando parte del cdigo propio del archivo infectado.
Este es uno de los virus ms perjudiciales que circulan en la
actualidad.Lamentablemente una de las pocas formas que
existen de erradicar el virus, es eliminado el archivo infectado, con
la consiguiente prdida de los datos escritos en l.

Virus de tipo de boot o arranque


Como todos sabemos el sector de arranque o tambin conocido
por MBR (Master Boot Record), es una zona del disco rgido donde

reside el programa de inicio del sistema operativo.


La clase de virus que ataca el sector de arranque no infectarn
archivos, sino que su misin principal es replicarse en
cualquier otro disco rgido que se encuentre a su alcance.
Se trata de un virus del tipo residente, ya que cuando el mismo se
encuentra activo en la memoria, uno de los aspectos ms
importantes al momento de determinar su existencia, es el notorio
decaimiento de las cifras que arroja cualquier conteo de
lamemoria libre del sistema.
Sin embargo, el cdigo del virus no incorpora ninguna clase
de rutina perjudicial,salvo la propia replicacin del mismo.

Virus de tipo de macro

El principal motivo de creacin de estos virus es la de


poder infectar a todos aquellos archivos que tengan la
posibilidad de ejecutar macros.
Estas macros son pequeas aplicaciones destinadas a
facilitar la tarea del usuariomediante la automatizacin de
ciertas y complejas operaciones que de otro modo seran
demasiado tediosas de llevar a cabo.
Estos micro-programas, al contener cdigo ejecutable,
tambin son propensos, obviamente, a contener virus.
El mtodo de infeccin del cual hacen uso los virus de esta ndole es
simple, una vez cargado el archivo, estas macros se
cargarn en memoria y el cdigo se ejecutar
producindose de esta forma la infeccin.
Cabe destacar que gran parte de estas aplicaciones cuentan
con una proteccin incorporada para esta clase de
amenazas, si bien no siempre es efectiva. Adems lo cierto es que
la mayora de estos virus no puede atacar a todas las aplicaciones
por igual, debido a que su cdigo est escrito para atacar a un
programa en particular.
Los ejemplos ms importantes de esta clase de ficheros son los
documentos generados por Microsoft Word, cuya extensin es
doc, como as tambin los archivos de Microsoft Excel, cuyas
hojas de clculo poseen la extensin xls, los ficheros de Access con
extensin MDB, las presentaciones de Microsoft PowerPoint, y
algunos ficheros realizados por CorelDraw entre otros.

Virus de tipo de enlace


Este tipo de virus tiene la facultad de modificar las
direcciones especficas de ubicacin de programas y
archivos para comenzar su infeccin, es decir, los lugares en
donde el sistema operativo buscar estos programas o archivos
para su ejecucin.
El mtodo de infeccin utilizado por este virus, como mencionamos,
es alterar la ubicacin de un determinado programa o
archivo.
Al momento de que el sistema operativo o el usuario del mismo
necesite ejecutar este programa o fichero infectado, lo que en
realidad sucede es la ejecucin del cdigo malicioso que
porta el virus, producindose de este modo la infeccin de
cualquier programa con extensin exe o com.
Cabe destacar que cuando se produce una infeccin por virus de
tipo de enlace, resulta prcticamente imposible la localizacin de
los programas que han sido reemplazados por el accionar de los
mismos.

Virus de tipo de encriptacin


Los desarrolladores de esta peculiar clase de virus utilizan el
mtodo de cifrado por encriptacin para lograr el objetivo
de no ser descubiertos por las exploraciones que realizan las
aplicaciones antivirus.

Si bien no se trata estrictamente de un tipo de virus, es una


denominacin que se le otorga a cierta clase de tcnica utilizada
para el ocultamiento de los mismos.
Esta denominacin tambin es extensible a virus de otras
categoras, tales como los virus de tipo polifrmico.
Los virus de tipo de encriptacin, tienen la capacidad de
autoencriptarse, ocultndose de este modo a los intentos de los
programas antivirus cuando realizan sus rutinas de escaneo del
sistema.
Para cumplir con la misin encomendada por su programador, el
virus de encriptacin se autodesencriptar y una vez
finalizada su tarea volver a su anterior estado, es decir, se
encriptar a s mismo.
Para acometer con su infeccin, los virus encriptados incorporan a
su cdigo los algoritmos necesarios para su cifrado y descifrado,
debido a que el cifrado es una tcnica que necesita de una clave
para encriptarlo y desencriptarlo, la cual obviamente no posee el
usuario que ha sido infectado.
Cabe destacar que esta clase de virus slo pueden ser
descubiertos por los programas antivirus cuando se
encuentran en ejecucin.

Virus polimrficos
Los virus polimrficos, una tcnica muy sofisticada y que demanda
mucho conocimiento por parte del desarrollador, son aquellos
que poseen la habilidad de encriptarse de un modo
diferente y variable con cada nueva infeccin que realizan.
Su principal caracterstica consiste en que con cada replicacin,
utilizan diferentes claves y algoritmos de encriptacin, de
modo que las cadenas que componen su cdigo, una especie de
firma para los sistemas antivirus, varan de tal forma que nunca
lograrn concordar con las firmas existentes en las bases de datos
que utilizan estos antivirus para su deteccin.
Debido a la utilizacin de esta complicada tcnica, estos virus son
capaces de generar gran cantidad de copias de s mismos,
pero nunca iguales.

Virus de tipo multipartite

Podemos considerar, debido a los estudios y trabajos realizados por


expertos en informtica en todo el mundo, que este tipo de virus
es actualmente uno de los ms perjudiciales que cualquier
usuario, tanto experto como novato, puede encontrar.
Estos virus deben su peligrosidad al hecho de que pueden realizar,
mediante la utilizacin conjunta de diferentes tcnicas y mtodos
de ataque, mltiples y variadas infecciones.
El objetivo principal de su existencia, es la posibilidad de destruir
con su cdigo a todos aquellos archivos y programas
ejecutables que tenga la posibilidad de infectar.
Entre los blancos preferidos de esta clase de virus podemos
citar archivos, programas y aplicaciones, las macros que incorporan
suites de ofimtica comoMicrosoft Office, discos rgidos,
unidades de almacenamiento extrables tales como
diskettes, pendrives y memorias de todo tipo.
Cabe destacar que tras el ataque de un virus de tipo multipartite,
los datos que contienen los elementos infectados sern imposibles
de recuperar.
Adems de todos estos tipos de virus, existen en la actualidad
otros que si bien no son considerados virus informticos, lo
cierto es que actan de manera similar para lograr resultados
parecidos. Para conocer ms informacin al respecto, te invitamos a
leer el artculo titulado "Virus informticos no considerados
como tal".

Estrategias de infeccion usadas por los virus

Aunque se pueden considerar diversas variantes es factible agruparlas en 5


categorias principales:
Aadidura o empalme
Por este metodo el codigo del virus se agrega al final del archivo ejecutable a
infectar, modificando las estructuras de arranque del archivo anfitrion de manera
que el control del programa pase primero al virus cuando se quiera ejecutar el
archivo. Este cambio de secuencia permite al virus realizar sus tareas especificas
y luego pasar el control al programa para que este se ejecute normalmente.
La principal desventaja de este metodo es que el tamao del archivo infectado es
mayor al original, lo que permite una facil deteccion.
Insercion
Los virus que utilizan el metodo de insercion buscan alojarse en zonas de codigo
no utilizadas o en segmentos de datos dentro de los archivos que contagian, de
esta manera la longitud total del archivo infectado no varia.
Este metodo, parecido al de empalme, exige mayores tecnicas de programacion
de los virus para poder detectar las zonas posibles de contagio dentro de un
ejecutable, por lo que generalmente no es muy utilizada por los programadores de
virus informaticos.
Reorientacion
Este metodo es una variante interesante del anterior. Bajo este esquema se
introducen centrales viricas (los codigos principales del virus) en zonas fisicas
del disco rigido marcadas como defectuosas o en archivos ocultos del sistema.
Estos codigos virales, al ejecutarse, implantan pequeos trozos de codigo en los
archivos ejecutables que infectan, que luego actuan como llamadores de las
centrales viricas.
La principal ventaja de este metodo es que el cuerpo del virus, al no estar inserto
en el archivo infectado sino en otro sitio oculto, puede tener un tamao bastante
grande, aumentando asi su funcionalidad.
La desventaja mas fuerte es que la eliminacion de este tipo de infecciones es
bastante sencilla. Basta con borrar archivos ocultos sospechosos o reescribir las
zonas del disco marcadas como defectuosas.

Polimorfismo
Este es el metodo mas avanzado de contagio logrado por los programadores de
virus.
La tecnica basica usada es la de insersion del codigo viral en un archivo
ejecutable, pero para evitar el aumento de tamao del archivo infectado, el virus
compacta parte de su codigo y del codigo del archivo anfitrion de manera que la
suma de ambos sea igual al tamao original del archivo. Al ejecutar el programa
infectado actua primero el codigo del virus descompactando en memoria las
porciones previamente compactadas.
Una variante mejorada de esta tecnica permite a los virus usar metodos de
encriptacion dinamicos para disfrazar el codigo del virus y evitar ser detectados
por los antivirus.
Sustitucion
El metodo de sustitucion, usado con variantes por los camaleones y los caballos
de troya, es quizas el metodo mas tosco. Consiste en sustituir el codigo completo
del archivo original por el codigo del virus. Al ejecutar el programa infectado el
unico que actua es el virus, que cumple con sus tareas de contagiar otros archivos
y luego termina la ejecucion del programa reportando algun tipo de error.
Esta tecnica tiene sus ventajas, ya que en cada infectacion virica se eliminan
archivos de programas validos, los cuales son reemplazados por nuevas copias
del virus.
http://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Comoatacan-los-virus.php
http://penta.ufrgs.br/gereseg/unlp/t1aestra.htm

-Infeccin y propagacin

El ciclo de los virus informtico es muy similar al de los biolgicos (de ah su

1.
Infeccin: Al ejecutar un archivo infectado (el cdigo del virus se ha i
en el archivo anteriormente) comienza la fase de infeccin, duplicndose e
implantndose en otros archivos ejecutables. Comienza la "invasin" del sist
informtico. La vctima, an no es consciente de la existencia del virus ya qu
permanece oculto y sin causar daos apreciables.

2.
Expansin: El virus pasar a otros ordenadores, a travs de redes info
disquetes y CDs que contengan archivos infectados, software en Internet, ar
adjuntos a mensaje electrnico, etc.

3.
Explosin: Si el virus no ha sido detectado y destruido por algn prog
antivirus, en un momento determinado o bajo determinadas circunstancias, t
control del ordenador infectado, ejecutando la accin para la que fue program
este momento, debido a los trgicos efectos que pueden llegar a ocasionar, s
evidente su existencia, acabando con informacin vital contenida en el sistem
informtico.
Mtodos de propagacin de los virus informticos

La principal forma que tienen los virus de propagarse es mediante el interca


descarga de ficheros. El contagio puede realizarse a travs de dos medios:

Internet: en la actualidad es el mtodo ms utilizado para la propagacin d


stos suelen entrar a travs del correo electrnico o de las descargas de fich
procedentes de pginas web.

Las unidades de disco: son otro mtodo para que un virus se transmita por
ellas se guardan ficheros (adjuntos, comprimidos o descargados), programas
las unidades ms utilizadas estn CDs, DVDs, disquetes o discos extrables.

La propagacin de un virus se lleva a cabo mediante una orden de accin. s


ser dada por el creador del virus o provocada por el usuario involuntariamen

La forma ms comn en que se transmiten los virus es por transferencia de a


descarga o ejecucin de archivos adjuntos a correos. Tambien usted puede e
con un virus simplemente visitando ciertos tipos de pginas web que utilizan
componente llamado ActiveX o Java Applet. Adems, usted puede ser infecta
virus simplemente leyendo un e-mail dentro de ciertos tipos de programas d
como Outlook o Outlook Express.

Existen varios mtodos utilizados por los virus informticos para propagase,
se explican a continuacin:
1.- Aadidura o empalme

Un virus usa el sistema de infeccin por aadidura cuando agrega el c


vrico al final de los archivos ejecutables. Los archivos ejecutables anfitrione
modificados para que, cuando se ejecuten, el control del programa se pase p
cdigo vrico aadido. Esto permite que el virus ejecute sus tareas especfica
entregue el control al programa. Esto genera un incremento en el tamao de
que permite su fcil deteccin.
2.- Insercin

Un virus usa el sistema de infeccin por insercin cuando copia su c


directamente dentro de archivos ejecutables, en vez de aadirse al final de l

anfitriones. Copian su cdigo de programa dentro de un cdigo no utilizado o


sectores marcados como daados dentro del archivo por el sistema operativo
evita que el tamao del archivo vare. Para esto se requieren tcnicas muy a
de programacin, por lo que no es muy utilizado este mtodo.
3.- Reorientacin

Es una variante del anterior. Se introduce el cdigo principal del virus


fsicas del disco rgido que se marcan como defectuosas y en los archivos se
pequeos trozos de cdigo que llaman al cdigo principal al ejecutarse el arc
principal ventaja es que al no importar el tamao del archivo el cuerpo del vi
ser bastante importante y poseer mucha funcionalidad. Su eliminacin es ba
sencilla, ya que basta con reescribir los sectores marcados como defectuoso
4.- Polimorfismo

Este es el mtodo mas avanzado de contagio. La tcnica consiste en i


cdigo del virus en un archivo ejecutable, pero para evitar el aumento de tam
archivo infectado, el virus compacta parte de su cdigo y del cdigo del arch
anfitrin, de manera que la suma de ambos sea igual al tamao original del a
ejecutarse el programa infectado, acta primero el cdigo del virus descomp
memoria las porciones necesarias. Una variante de esta tcnica permite usar
de encriptacin dinmicos para evitar ser detectados por los antivirus.
5.- Sustitucin

Es el mtodo mas tosco. Consiste en sustituir el cdigo original del ar


el del virus. Al ejecutar el archivo deseado, lo nico que se ejecuta es el viru
disimular este proceder reporta algn tipo de error con el archivo de forma q
creamos que el problema es del archivo.

https://sites.google.com/site/compusebastian/unidad-iv---virus-informatico/infeccion-y-propagacion

Clases

Tipos de Vrus Informticos

Todos los virus tienen en comn una caracterstica, y es que crean efectos perniciosos. A conti
presentamos la clasificacin de los virus informticos, basada en el dao que causan y efectos
provocan.

Caballo de Troya:

Es un programa daino que se oculta en otro programa legtimo, y que produce sus efectos perniciosos al eje
ltimo. En este caso, no es capaz de infectar otros archivos o soportes, y slo se ejecuta una vez, aunque es s
mayora de las ocasiones, para causar su efecto destructivo.
Gusano o Worm:

Es un programa cuya nica finalidad es la de ir consumiendo la memoria del sistema, se copia asi mismo suc
hasta que desborda la RAM, siendo sta su nica accin maligna.
Virus de macros:

Un macro es una secuencia de ordenes de teclado y mouse asignadas a una sola tecla, smbolo o comando. S
cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plan

contienen, hacindose pasar por una macro y actuaran hasta que el archivo se abra o utilice.
Virus de sobreescritura:
Sobrescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.
Virus de Programa:

Comnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos pri
atacados ms frecuentemente por que se utilizan mas.
Virus de Boot:

Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y el sector de arranque mae
Boot Record) de los discos duros; tambin pueden infectar las tablas de particiones de los discos.
Virus Residentes:

Se colocan automticamente en la memoria de la computadora y desde ella esperan la ejecucin de algn pro
utilizacin de algn archivo.
Virus de enlace o directorio:

Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y com
no es posible localizarlos y trabajar con ellos.
Virus mutantes o polimrficos:

Son virus que mutan, es decir cambian ciertas partes de su cdigo fuente haciendo uso de procesos de encrip
misma tecnologa que utilizan los antivirus. Debido a estas mutaciones, cada generacin de virus es diferente
anterior, dificultando as su deteccin y eliminacin.
Virus falso o Hoax:

Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes distribuidas a travs del co
y las redes. Estos mensajes normalmente informan acerca de peligros de infeccin de virus, los cuales mayor
falsos y cuyo nico objetivo es sobrecargar el flujo de informacin a travs de las redes y el correo electrnic
mundo.
Virus Mltiples:

Son virus que infectan archivos ejecutables y sectores de booteo simultneamente, combinando en ellos la ac
virus de programa y de los virus de sector de arranque.

Para obtener informacin de antivirus para eliminar los diferentes tipo de virus presentados anteriormente vi

antivirus

-Concepto

Un virus informtico es un malware que tiene por objeto alterar el normal


funcionamiento de la computadora, sin el permiso o el conocimiento del usua
virus, habitualmente, reemplazan archivos ejecutables por otros infectados c
cdigo de este. Los virus pueden destruir, de manera intencionada, los datos
almacenados en un computadora, aunque tambin existen otros ms inofens
solo se caracterizan por ser molestos.

Los virus informticos tienen, bsicamente, la funcin de propagarse a travs


software, no se replican a s mismos porque no tienen esa facultad como el g
informtico, son muy nocivos y algunos contienen adems una carga daina
con distintos objetivos, desde una simple broma hasta realizar daos importa
sistemas, o bloquear las redes informticas generando trfico intil.

El funcionamiento de un virus informtico es conceptualmente simple. Se eje


programa que est infectado, en la mayora de las ocasiones, por desconocim
usuario. El cdigo del virus queda residente (alojado) en la memoria RAM de
computadora, aun cuando el programa que lo contena haya terminado de ej
El virus toma entonces el control de los servicios bsicos del sistema operativ

infectando, de manera posterior, archivos ejecutables que sean llamados par


ejecucin. Finalmente se aade el cdigo del virus al programa infectado y se
el disco, con lo cual el proceso de replicado se completa.

-Correccin y prevencin

(Formas de Prevencin y Eliminacin del Virus)

Copias de seguridad:

Realice copias de seguridad de sus datos. stas pueden realizarlas en el soporte que d
disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del orde
protegido de campos magnticos, calor, polvo y personas no autorizadas.

Copias de programas originales:

No instale los programas desde los disquetes originales. Haga copia de los discos y uti
realizar las instalaciones.

No acepte copias de origen dudoso:

Evite utilizar copias de origen dudoso, la mayora de las infecciones provocadas por vir
a discos de origen desconocido.

Utilice contraseas:

Ponga una clave de acceso a su computadora para que slo usted pueda acceder a ell

Anti-virus:

Tenga siempre instalado un anti-virus en su computadora, como medida general analic


discos que desee instalar. Si detecta algn virus elimine la instalacin lo antes posible.

Actualice peridicamente su anti-virus:

Un anti-virus que no est actualizado puede ser completamente intil. Todos los anti-v
existentes en el mercado permanecen residentes en la computadora pata controlar tod
operaciones de ejecucin y transferencia de ficheros analizando cada fichero para dete
tiene virus, mientras el usuario realiza otras tareas.

-Deteccin
Cmo s si mi computadora est infectada?

Luego de abrir y ejecutar un programa o un adjunto infectado en su computadora, tal


cuenta de que ha introducido un virus hasta que note que algo no funciona correctame
Los siguientes son algunos indicadores de que su computadora puede estar infectada:

La PC funciona ms lenta de lo normal


La PC deja de responder o se congela con frecuencia
La PC se bloquea y se reinicia cada tantos minutos
La PC se reinicia sola y luego no funciona normalmente
Las aplicaciones de la PC no funcionan correctamente

No se puede acceder a los discos o a las unidades de disco


No puede imprimir correctamente
Aparecen mensajes de error poco usuales
Los mens y los cuadros de dilogo se ven distorsionados

Los anteriores son sntomas comunes de una infeccin, pero tambin pueden indicar problema
hardware o software que nada tienen que ver con un virus. A menos que ejecute la herramien
Microsoft para la eliminacin de programas malintencionados e instale programas estndar de
y que est al da el software antivirus en su computadora, no hay forma de saber con certeza
computadora est infectada con un virus o no.

Sugerencia Preste atencin a los mensajes que le advierten que ha enviado un correo
que contena un virus. Esto indica que el virus ha reconocido su direccin de correo ele
como remitente de correo electrnico infectado. Esto no significa necesariamente que
computadora est infectada con un virus. Algunos virus pueden falsificar direcciones d
electrnico. Asimismo, existe una categora de programas malintencionados llamada p
seguridad falsos que funcionan haciendo que aparezcan alertas de virus falsas en su c

-Origen y antecedentes

1939: El cientfico matemtico John Louis Von Neumann, escribi "T


organizacin de autmatas complejos", donde se mostraba que era p
desarrollar programas que tomasen el control de otros.

1949 1950s: En los laboratorios de la Bell Computer, subsidiaria


3 jvenes programadores: Robert Thomas Morris, Douglas McIlory y V
Vysottsky, desarrollaron inspirados en la teora de John Louis Von Neu
juego llamado CoreWar. Los contenedores del CoreWar ejecutaban
programas que iban poco a poco disminuyendo la memoria del comp
Ganara este juego el que consiguiera eliminarlos totalmente. El

conocimiento de la existencia de CoreWar era muy restringido.

1972: Aparece Creeper desarrollado por Robert Thomas Morris qu


a las conocidas IBM 360. Simplemente mostraba de forma peridica e
mensaje: "I'm a creeper... catch me if you can!" (soy una enredadera,
si pueden). Fue aqu donde podramos decir que apareci el primer an
conocido como Reaper (segadora) el cual eliminaba a Creeper.

1975: John Brunner concibe la idea de un gusano informtico que


las redes.

1984: Fred Cohen en su tesis acua el trmino virus informtico.


este ao donde se empez a conocer el verdadero peligro de los virus
los usuarios del BIX BBS, un foro de debates de la ahora revista BYTE,
de la presencia y propagacin de una serie de programas que haban
sus computadoras.

1986: Aparece lo que se conoce como el primer virus informtico, B


atribuido a los hermanos pakistanes.

1987:El gusano Christmas tree satura la red de IBM a nivel mundia

1988: Robert Tappan Morris, hijo de uno de los precursores de los v


difunde un virus a travs de ArpaNet, (precursora de Internet) infecta
6,000 servidores.

1989: El virus Dark Avenger tambin conocido como "vengador de


oscuridad", se propaga por Europa y Estados Unidos. Sobre dicho viru
escrito multitud de artculos e incluso un libro ya que se diferenciaba
dems en su ingeniosa programacin y su rpida infeccin.

1990: Mark Washburn crea 1260, el primer virus polimrfico, que


cada infeccin.

1992: Aparece el conocido virus Michelangelo sobre el cual se crea


alarma sobre sus daos y amplia propagacin, aunque finalmente fue
los ordenadores infectados

1994: Good Times, el primer virus broma.

1995: Aparece Concept con el cual comienzan los virus de macro. Y


este mismo ao cuando aparece el primer virus escrito especficamen
Windows 95.

1997: Comienza la difusin a travs de internet del virus macro qu


hojas de calculo, denominado Laroux.

1998: Aparecen un nuevo tipo de virus macro que ataca a las base
en MS-Access. Llega CIH o Chernobyl que sera el primer virus que re
afecta al hardware del ordenador.

1999: Cuando comienzan a propagarse por Internet los virus anexa


mensajes de correo como puede ser Melissa, BubbleBoy, etc. Este lti
(BubbleBoy) infectaba el ordenador con simplemente mostrar el men
HTML).

2000: Se conoce la existencia de VBS/Stages.SHS, primer virus ocu


del Shell de la extensin .SHS. Aparece el primer virus para Palm.

2001: El virus Nimda atac a millones de computadoras, a pocos d


ataque a las Torres Gemelas de la isla de Manhattan.

Actualmente: Existen multitud de tcnicas mucho ms sofisti


conocidas, lo que permite que se hagan mayor cantidad de v
diarios segn Panda Software) y sean ms complejos. De est
aparecen virus como MyDoom o Netsky. A pesar de esto no s
sofisticacin de los virus ha aumentado la infeccin de equip
tambin la Ingeniera Social y la, a veces increble, ingenui
usuarios y administradores que facilitan bastante la labor de
Aun con todos los avances que se estn haciendo en la actu
para mejorar la seguridad de los sistemas, no podemos decir
stos nos reporten la seguridad necesaria. Por ejemplo el lt
Sistema Operativo de Microsoft, MS , MicrosoftVista tambin
vulnerable a los virus informtico y exploits

LOS VIRUS INFORMTICOS


(IV): formas de infeccin
Posted on 16 diciembre, 2012

Una entrada ms dedicada a los


virus informticos, en esta ocasin vamos a plantear una pregunta
que nos hacemos todos, y por supuesto vamos a intentar contestarla
como siempre de la forma ms clara posible.
Internet lo tenemos en nuestras casas, en nuestro trabajo,
en nuestros centros culturales, pero tambin lo llevamos
siempre con nosotros, en nuestros bolsillos. En nuestros
dispositivos

mviles,

smartphones,

tablets

incluso

videoconsolas. Por ello debemos dar el tratamiento correcto a


todos nuestros dispositivos de conexin a la red, en cuanto a
las medidas de seguridad que tenemos que adoptar mientras
los utilizamos, con ello no solo cuidaremos de la salud de
nuestros equipos y dispositivos, tambin protegeremos la
nuestra, tanto nuestra salud econmica como la mental,
pudiendo evitar quebraderos de cabeza al sufrir las graves
consecuencias del robo de nuestros datos personales o que
nuestro

ordenador

se

haya

alistado

un

ejrcito

de

ordenadores zombies sin nosotros saberlo.


Los resultados de un informe sobre seguridad informtica en
Espaa, realizado por INTECO (ver informe), muestran que la
mayora de los internautas cuenta con un sistema antivirus en su
equipo, pero de este estudio se extrae tambin que, sin embargo,
uno de cada tres equipos conteniene algn tipo de malware del

considerado de riesgo alto. INTECO asegura que parte del problema


se produce porque muchos usuarios no toman en serio los
riesgos de seguridad existentes en la Red
Cmo llegan los virus a nuestros equipos y dispositivos?
La respuesta a esta pregunta ha sido muy variable puesto que ha
ido evolucionando con el tiempo.
Hace apenas unos aos, los virus informticos se difundan en
Internet adoptando la forma de un gusano, se propagaban de un
ordenador a otro. Hoy en da esto ha cambiado, no todos los
ordenadores estn conectados a Internet directamente, por lo que los
virus deben buscar otras formas para propagarse.
Vamos a partir de la base que tenemos la leccin aprendida, que
tenemos totalmente protegidos nuestros ordenadores, smartphones y
tablets. Ningn cibercriminal puede acceder a ellos porque hemos
puesto todas las medidas de seguridad posibles para evitar que
entren, estamos
verdadera

blindados!, nuestro

fortaleza,

nuestro

ordenador

router

una

es

una

muralla

infranqueable.
Lamentablemente esto no es as, y los cibercriminales lo
saben. Aprovechan nuestra mayor vulnerabilidad, que vosotros
sabis perfectamente cual es verdad?
Bueno pues si aparentemente hemos adoptado las medidas
de seguridad, Qu agujeros nos quedan por tapar?

Os lo explico, vamos a detallar a continuacin alguna de las


formas ms utilizadas por los cibercriminales para llegar al
corazn de nuestros equipos

Nosotros mismos instalamos el virus.


Efectivamente, esta es una de las formas de infectarnos ms
comn, y sobre todo ms sencilla de hacernos llegar cualquier tipo de
malware. Nuestra curiosidad y desconocimiento nos convierten en
vctimas potenciales. Podemos formar parte de un grupo de victimas
producto de la casualidad.
Recibimos un correo electrnico o un mensaje en cualquier
plataforma de mensajera instantnea o red social. Parece ser que
proviene de algn ciberconocido o de alguien que pudiera
interesarnos entablar una ciberamistad.
Este mensaje se acompaa de un archivo adjunto o de un enlace a
una pgina web (link), como estamos confiados de que el mensaje
nos llega desde un buen ciberamigo, no dudamos en ejecutar el
programa o en acceder al enlace que nos propone instalar un
maravilloso programa, visualizar una divertidsima presentacin, una
increble imagen o simplemente leer un inslito documento en
cualquier formato (pdf, Word, etc).

Cuando ejecutamos estos adjuntos, en el mejor de los casos,


accederemos y disfrutaremos de todo lo que nos proponen, pero
adems, si

el

mensaje

parte

de

un

ciberdelincuente,

estaremos ejecutando cualquier tipo de programa informtico


malicioso malware que se integrar en nuestros equipos, y
habremos sido nosotros mismos quien de forma voluntaria lo
hayamos instalado, incluso obviando cualquier mensaje que
nos pueda llegar indicndonos ESTS SEGURO DE QUERER
CONTINUAR?,

ESTAR

SEGURO

DE

QUERER

INSTALAR?,

ESTAS SEGURO DE?, nuestra respuesta va a ser siempre


SI. Es nuestro ciberamigo, no nos querr fastidiar, verdad? .
Los malditos pendrives

Nos han prestado un pendrive o cualquier otro soporte informtico,


con ese programa informtico que tanto necesitamos, o con la msica
que tanto deseamos escuchar.
Nos hemos encontrado uno de estos dispositivos en la calle, o
incluso en nuestro trabajo, justo al lado de nuestra mesa, y adems
es un pendrive de 32Gb, que suerte!
Por supuesto lo primero que hacemos, en ambos casos, es
conectarlo
PERDIDOS!.

al

USB

de

nuestros

equipos,

YA

ESTAMOS

Efectivamente con este tipo de dispositivos, que no nos ofrecen ni


la ms mnima confianza de que puedan estar completamente
limpios, el solo hecho de pincharlos en nuestros equipos ser
nuestra perdicin.

Los

cibercriminales

utilizan

tcnicas

de

camuflaje

de

sus

herramientas maliciosas que las hacen invisibles a simple vista,


incluso haciendo que se ejecuten de forma automtica en el
momento de ser insertados en cualquier dispositivo.
Para muestra un botn, y no solo el peligro est en nosotros, en los
usuarios bsicos, podis ver un claro ejemplo en el clebre virus
Stuxnet, un gusano informtico que fue el culpable del dolor de
cabeza de ms de un gobierno. (Ya hablaremos en otra entrada del
concepto de ciberguerra).
Nuestro ordenador est protegido, pero la red a la que lo
conectamos tambin lo est?Estamos seguros de que todos
los equipos que puedan estar ligados directamente al nuestro
por medio de una red lo estn tambin?

Podemos tener todas las medidas de


seguridad adoptadas, pero si conectamos nuestro equipo en una red
infectada, ya sea domestica a travs de nuestro propio router, al
que a su vez se conectan otros dispositivos de nuestros familiares, o
amigos de lo ajeno que se conectan al router aprovechando alguna
vulnerabilidad de la contrasea wifi. O incluso a una red corporativa
de trabajo, en la que conectamos nuestro equipo, y en la misma se
encuentra otro dispositivo infectado y transmitiendo a todos y de
forma automtica el residente.
Imaginaros que nos conectamos a una wifi gratuita o que algn
alma caritativa nos ofrece, os imaginais lo que puede pasar? (ver
entrada Precauciones al utilizar una WIFI gratuita)
La exploitacin de los EXPLOITS

Ya os expliqu en una entrada que era un exploit (ver entrada


completa), un programa o cdigo malicioso que

explota

una vulnerabilidad o deficiencia de un sistema operativo,


navegador, o cualquier otro programa, en beneficio de quien
lanz este tipo de ataque.
Normalmente aprovechan las vulnerabilidades de los navegadores
web

(Internet

Explorer,

Chrome,

Firefox,

etc.)

pero

tambin

aprovechan las de las plataformas de gestin de correo electrnico o


de mensajera instantnea, tengamos en cuenta que este tipo
servicios

estn

alojados

en

pginas

web,

por

lo

que

los

cibercriminales intentan potenciar sus actividades alrededor de ellas.


Simplemente navegando por pginas webs infectadas

Los cibercriminales utilizan, de forma


cada

vez

ms

generalizada,

la

infeccin

mediante

la

propia

navegacin web.
Aunque os parezca complicado de entender el funcionamiento es
muy simple, solo tienen que atraernos hasta su pgina web
dedicada exclusivamente para su maldad. O en otros casos se
limitan en infectar sitios web, poco protegidos, para hacernos llegar
hasta ellos y transferirnos su regalito
Un claro ejemplo de este tipo de infeccin es el conocido como
Virus de la Polica del que tanto se ha hablado en este blog (ver
todas las entradas sobre el RANSOMWARE), y que todava sigue
cambiando de disfraz para llegar al internauta menos protegido y
menos informado.

Infectados mediante una vulnerabilidad DA CERO (ZERO


DAY)

La perfeccin no existe y menos en seguridad en la red, teniendo


en cuenta que siempre podemos estar expuestos a un DA CERO
(ZERO

DAY),

que

es

como

se

denomina

a cualquier

amenaza desde que el malware nace hasta que se incorpora


a las bases de datos de los Antivirus, o dicho de otra forma que
es como se denomina a las vulnerabilidades que

tienen los

programas, y que en el momento de ser descubiertas, no tienen


parche o solucin por parte del fabricante.
Este es el espacio de tiempo crtico para nuestra seguridad en la
red pero como siempre podemos mitigar el peligro empleando la
lgica para no facilitar la labor de los malos malotes.

Incluso pudiendo ser instalados directamente en Fbrica

No hace mucho, el equipo de lucha contra la cibercriminalidad de la


propia compaa Microsoft detect que en ciertas cadenas de
produccin instalaban sistemas operativos infectados y preparados
para convertir los ordenadores en soldados.
Soldados

de

ejrcitos

de

ordenadores

zombies,

que

sin

conocimiento del usuario se encuentran preparados para servir de


plataforma para la comisin de cualquier tipo de actividad delictiva,
enmascarando la verdadera identidad del autor real del ciberdelito
e incriminando directamente al sorprendido usuario que no tiene
conocimiento de nada.
Y cmo lo evitamos?

Esto s que os resultar novedoso, no recuerdo haberlo


dicho en ninguna ocasin, y tampoco recuerdo haberlo ledo
en ningn artculo, por muy tcnico que parezca, y escrito
por los GRANDES, por los que saben realmente de todo esto.
(Es ahora cuando me crece la nariz, firmado: Pinocho).
Siempre

os

lo

digo, debemos

informarnos

debemos

educarnos sobre todos los peligros que pudieran afectarnos en la


red. Debemos

informar,

debemos

educar

todo

nuestro

crculo que no se encuentre informado, concienciando de las


amenazas a las que se pueden enfrentar en la red ensendoles a
evitarlas.
Tenemos que concienciarnos, que como en la vida real, lo
barato sale caro, y que en muchas ocasiones ese programa de origen
desconocido posiblemente no sea lo que realmente pensamos que es,
como ejemplo esos sistemas operativos descargados de fuentes
raras, esos archivos compartidos en redes de intercambio P2P
(emule, Ares, etc).
Y ademas

Debemos tener al da nuestros equipos y sistemas


operativos, no hace falta ser ingeniero informtico para
hacerlo,

Es

totalmente

necesario

disponer

de

un

programa

antivirus, gratuito o de pago, pero siempre con un origen


de confianza. Que podamos actualizarlo continuamente y
tenga

capacidad

para

analizar

todos

nuestros

despositivos y vas de entrada de cualquier tipo de


malware.

Adems disponer

de

antimalware, antispyware que

otros

programas

detecten

los

comportamientos rutinarios de un virus, que al no estar


fichado no lo detecta nuestro antivirus.

Debemos

tener

desactivado,

SIEMPRE,

todas

las

funciones de arranque automtico (CD, DVD, USB, etc),


siendo nosotros mismos quien decidamos cuando y como
arrancarlos, y siempre tras haberlos analizado y estando
completamente seguros de su no infeccin.

Podemos utilizar soluciones antivirus para que nos


analicen de forma automatizada nuestros dispositivos
extraibles. Algunas de ellas son gratuitas.

No

descuidarnos

mediante

descargas

la

en

hora

de

internet

compartir

(P2P)

por

archivos,
soportes

informticos (discos duros externos, pendrives, tarjetas de


memoria, etc) y realizar un escaneo siempre de todos los que
vayamos a utilizar en nuestro

equipo

y no hayan sido

controlados previamente por nosotros, no confiando en los


correos electrnicos desconocidos y con archivos adjuntos
ejecutables.

Los mensajes de nuestros contactos en mensajera


instantnea tambin nos pueden traer links a malware al
estar el remitente infectado

Evitar el usuario Administrador para el uso general del


sistema, ya que no suele ser necesario.

Prestar atencin cuando se navega por Internet,


evitando aceptar la descarga de archivos de origen
dudoso o que ofrecen soluciones de seguridad falsas.

Ya toca decirlo verdad?


Siempre tenis que emplear la lgica y recordar que
vosotros mismos sois vuestra peor vulnerabilidad, pero
tambin sois vuestro mejor antivirus.
- See more at:
http://elblogdeangelucho.com/elblogdeangelucho/blog/2012/12/16/los-virusinformaticos-iv-formas-de-infeccion/#sthash.L7jzpmTO.dpuf

ESTRATEGIAS DE INFECCIN
Debido a la gran capacidad de evolucin que se les otorga, los nuevos
virus nacen con el conocimiento de las tcnicas utilizadas por las
herramientas antivirus actuales y sabiendo cules son sus puntos dbiles.
En base a ello utilizan tcnicas cada vez ms complejas para ocultarse y
evitar ser detectados. Algunas de las estrategias ms utilizadas son las
siguientes:
Aadidura o empalme: por este mtodo el cdigo del virus se agrega al final
del archivo ejecutable a infectar, modificando las estructuras de arranque del
archivo anfitrin de manera que el control del programa pase primero al virus
cuando se quiera ejecutar el archivo. Este cambio de secuencia permite al virus
realizar sus tareas especificas y luego pasar el control al programa para que este
se ejecute normalmente. La principal desventaja de este mtodo es que el tamao
del archivo infectado es mayor al original, lo que permite una fcil deteccin.
Insercin: los virus que utilizan este mtodo buscan alojarse en zonas
de cdigo no utilizadas o en segmentos de datos dentro de los archivos que
contagian, de esta manera la longitud total del archivo infectado no
aumenta. Este mtodo, parecido al de empalme, exige mayores tcnicas de
programacin de los virus para poder detectar las zonas posibles de

insercin dentro de un ejecutable, por lo que generalmente no es muy


utilizada por los programadores de virus informticos.
Reorientacin: este mtodo es una variante interesante del anterior.
Bajo el mismo esquema se introduce el cdigo principal del virus en zonas
fsicas del disco duro marcadas como defectuosas o en archivos ocultos
del sistema. Estos cdigos vrales, al ejecutarse, implantan pequeos
trozos de cdigo en los archivos ejecutables que infectan, que luego sern
los que realicen las llamadas al cdigo prioncipal. La principal ventaja de
este mtodo es que el cuerpo del virus, al no estar inserto en el archivo
infectado sino en otro sitio oculto, puede tener un tamao bastante grande,
aumentando as su funcionalidad. La desventaja mas fuerte es que la
eliminacin de este tipo de infecciones es bastante sencilla. Basta con
borrar archivos ocultos sospechosos o reescribir las zonas del disco
marcadas como defectuosas.
Autoencriptacin: este es el mtodo mas avanzado de contagio logrado
por los programadores de virus. La tcnica bsica usada es la de insercin
del cdigo viral en un archivo ejecutable, pero para evitar el aumento de
tamao del archivo infectado, el virus compacta parte de su cdigo y del
cdigo del archivo a infectar de manera que la suma de ambos sea igual al
tamao original del archivo. Al ejecutar el programa infectado acta
primero el cdigo del virus descompactando en memoria las porciones
previamente compactadas.
La forma de actuar es sencilla: los programas antivirus se encargan de
buscar determinadas cadenas de caracteres (lo que se denomina la firma
del virus) propias de cada uno de los posibles virus. stos, por su parte,
mediante la tcnica de autoencriptacin, pueden infectar de forma
diferente en cada ocasin. Esto significa que el virus utilizar una cadena
concreta para realizar una infeccin, mientras que en la siguiente infeccin
utilizar otra distinta, dificultando as la tarea del antivirus. Por otro lado,
el virus codifica o cifra sus cadenas para que al antivirus le sea difcil
encontrarlo. Es decir, mediante una clave de cifrado y una serie de
operaciones matemticas, el virus se puede codificar a s mismo, por lo
que dificulta su decodificacin para su anlisis y/o deteccin. Adems, el
virus tambin puede descifrarse a s mismo cuando le sea necesario para
actuar. Generalmente, utilizan la misma clave para el cifrado que para el

descifrado. Sin embargo, tienen un inconveniente considerable: los virus


que utilizan este tipo de tcnicas, emplean siempre la misma rutina o
algoritmo de encriptacin, con lo que "facilita" su deteccin(no se debe
confundir el autocifrado(diferente en cada ocasin), con la rutina de
encriptacin(siempre la misma)).
Dentro de los virus de autoencriptacin, encontramos los virus
polimrficos. stos, basndose en la tcnica de autoencriptacin, se
codifican o cifran, de manera diferente en cada infeccin que realizan (su
firma variar de una infeccin a otra). Si slo fuese as estaramos
hablando de virus que utilizan la autoencriptacin, pero adicionalmente
dichos virus cifrarn tambin el modo (rutina o algotirmo) mediante el
cual realizan el cifrado de su firma. Todo esto hace posible que un virus
polimrfico sea capaz de crear ejemplares de s mismo diferentes, de una
infeccin a la siguiente, cambiando de "forma" en cada una de ellas. Las
operaciones de cifrado se realizan generalmente mediante operaciones
XOR (OR-Exclusive), donde a XOR b = a'b+ab'(b y no a, o a y no b).
En este apartado vamos a incluir tambin otro tipo de estrategia,
el sobrepasamiento o tunneling: se trata de una tcnica especialmente
diseada para imposibilitar la proteccin antivirus en cualquier momento.
Mientras el anlisis permanente, o residente, del programa antivirus que se
encuentre instalado intenta realizar detecciones, el virus acta en su contra.
Todas las operaciones que se realizan sobre cualquiera de los archivos son
inspeccionadas por el antivirus mediante la interceptacin de las acciones
que el sistema operativo lleva a cabo para hacerlas posible. De la misma
manera, el virus interceptar estas peticiones o servicios del sistema
operativo, obteniendo las direcciones de memoria en las que se
encuentran. As el antivirus no detectar la presencia del virus. No
obstante, existen tcnicas antivirus alternativas que permiten la deteccin
de virus que realicen este tipo de operaciones.
El sistema de tunneling es bastante complicado, ya que hay que colocar
el microprocesador en el modo paso a paso y trabajar con interrupciones.
Adems, este tipo de virus es capaz de obtener la direccin de memoria en
la que originalmente se encuentran los servicios del sistema operativo.
Esto le permite utilizar este tipo de servicios sin interceptar los utilizados
por otros programas. Se incluyen en este apartado porque tambin se

autocifran para evitar ser detectados. En un principio, los antivirus tratarn


de localizar a los virus buscando su firma. Si el virus est codificado y
adems esta codificacin se hace de forma diferente en cada una de las
infecciones(polimorfismo), resultar muy difcil su deteccin.
Sin embargo, y esto se hace extensivo a todos los virus que utilizan la
autoencriptacin, el virus no puede codificarse completamente a s mismo,
ya que necesita contar con una parte (no cifrada) que le permita realizar su
propia decodificacin. Esto es utilizado por los programas antivirus para
realizar la deteccin de los virus polimrficos. Para ello el antivirus
intentar localizar la rutina o algoritmo que permite al virus decodificarse
automticamente.
Sustitucin: el mtodo de sustitucin, usado con variantes por los
camaleones y los caballos de troya, es quizs el mtodo mas tosco.
Consiste en sustituir el cdigo completo del archivo original por el cdigo
del virus. Al ejecutar el programa infectado el nico que acta es el virus,
que cumple con sus tareas de contagiar otros archivos y luego termina la
ejecucin del programa reportando algn tipo de error. Esta tcnica tiene
sus ventajas, ya que en cada infectacin virica se eliminan archivos de
programas vlidos, los cuales son reemplazados por nuevas copias del
virus. Sus inconvenientes son bastante claros: es muy fcil de detectar
porque elimina el cdigo inicial del archivo, y cuando se intenta ejecutar
ste, produce algn tipo de error.
Ocultamiento (Stealth): esta estrategia consiste en que el virus, despus de su
actuacin, elimina las posibles huellas que haya podido dejar, evitando as
levantar alguna sospecha sobre la infeccin que ya ha tenido lugar. Los virus
residentes son los que ms la utilizan, aunque no es exclusivamente este tipo de
virus quienes la aplican, otros tipos de virus tambin la utilizan. Por otra parte,
las tcnicas de ocultamiento o stealth pueden ser varias, el trmino ocultamiento
no se refiere a una sola forma de realizar esta prctica. No obstante, los
programas antivirus, tambin utilizan tcnicas especiales anti-ocultamiento para
realizar las detecciones de estos tipos de virus.
Cuando un virus infecta un determinado archivo, suele dejar signos
evidentes de su actuacin, como los siguientes:
aumento de tamao en el fichero infectado

modificacin de la fecha y hora de creacin en el fichero infectado


secciones marcadas como defectuosas
disminucin de la capacidad en la memoria
etc.
El virus se encargar de que cada una de estas pistas no puedan ser
visualizadas. Para ello vigilar peticiones de informacin que requiere el
sistema operativo acerca de estas caractersticas, interceptndolas y
ofreciendo un informacin falseada e irreal. Los virus que utilizan tcnicas
de ocultamientosuelen realizar ciertas acciones para que no se aprecien sus
efectos. Entre alguna de stas, podemos destacar las siguientes:
Los archivos infectados aumentarn de tamao cuando se produce la
infeccin, ya que el virus se introduce dentro del mismo. Sin embargo, este
tipo de virus impide que se muestre el nuevo tamao del archivo, para no
levantar sospechas.
Cuando infectan a un archivo, no modifican su fecha, ni su hora. Es decir,
no permiten que el fichero tenga la fecha y hora de la ltima modificacin
(las del momento en el que se produjo la infeccin).
Si se colocan en memoria, lo suelen hacer por encima de los primeros 640
Kbytes.
Si son virus capaces de escribir en secciones protegidas de un disco (donde
no se permite la escritura), evitan la aparicin de errores de escritura.
Armouring: mediante esta tcnica el virus impide ser examinado. Para
conocer ms datos sobre cada uno de ellos, stos son abiertos como
ficheros que son, utilizando programas especiales (Debugger) que
permiten descubrir cada una de las lneas del cdigo (lenguaje de
programacin en el que estn escritos). Pues bien, en un virus que utilice
la tcnica de armouring no se podr leer el cdigo. En resumidas cuentas,
el virus impide que se pueda estudiar su cdigo, haciendo imposible su
desensamblado o traceado. De ah el nombre de armouring (acorazado,
con armadura,...). De todas formas, existen programas antivirus que
utilizan tcnicas heursticas para detectar a este tipo de virus.
Como inconveniente, cabe destacar que resultar bastante sospechoso el

no poder leer el cdigo del fichero al utilizar los programas


correspondientes.
Dos Casos Relevantes

Primer caso en corte (Martes, septiembre 6, 1988)


Donald Gene Burleson fue acusado por la compaa con la cual trabajaba de
haber borrado miles de rcords de la compaa con un virus. Burleson, de 40
aos de edad, programador de profesin, fue acusado por la compaa de
seguros USPA & IRA, ubicada en Forth Worth, Texas, de haber entrado
ilegalmente a sus oficinas y plantar un virus en el sistema de computadoras
de la compaa. El propsito: que borrara cada mes los rcords de
comisiones de ventas. Esto ocasion que los cheques de pagos se atrasaran
por ms de un mes. El virus (tipo bomba de tiempo) se activ el da 21 de
septiembre de 1985, dos das despus que Burleson fuera despedido. Antes de
que fuera descubierto, el virus haba borrado 160,000 rcords. Burleson fue
hallado culpable y se enfrentara a una pena mxima de 10 aos de crcel y
$5,000.00 de multa. Fue condenado a siete aos de libertad condicional. La
compa1a radic una demanda civil en su contra.
Burleson perdi el caso.Fue condenado a siete aos de libertad condicional.
La compaa radic una demanda civil en su contra y la gan. Se le adjudic
a dicha compaa la cantidad de $11,800.00.

El caso Morris

En noviembre de 1988, el estudiante graduado, Richard Tappam Morris Jr.,


de 23 aos de edad, de la Escuela Graduada de Ciencias de Computadoras de
la Universidad de Cornell, en Ittaca, Nueva York, introdujo un gusano, a
travs de la red de computadoras Internet. Esta es una red nacional de
computadoras, basada en el sistema operativo UNIX, usada para
investigacin y el Departamento de la Defensa. Alrededor de 6,200
computadoras haban sido infectadas antes de que el gusano fuera aislado y
destruido. El gusano no fue diseado para destruir informacin, si no para
que se replicara hasta que el sistema infectado se quedara sin memoria
disponible, afectando de esa forma el funcionamiento normal del sistema.
Inicialmente se dijo que los daos ocasionados por ese gusano fueron por $96
millones, por el tiempo en que no se pudieron usar las computadoras
infectadas. Posteriormente Morris fue suspendido por un perodo
determinado de tiempo de la Universidad de Cornell. La razn: por haber
violado el Cdigo de Integridad Acadmica de la escuela de licenciados de
esa universidad. Adems, un jurado de acusacin federal lo acus por haber
emitido un programa que paraliz temporalmente la red informtica. De ser
convicto, se enfrentara a una sentencia mxima de cinco aos de crcel en
una prisin federal y a una multa de $250,000.00.
Medidas de Proteccin
Aunque no hay manera de protegerse completamente de los ataques de virus,
s se recomiendan algunas medidas de seguridad.

1. Hacer una copia (backup) de los discos originales del sistema


operativo de la computadora y protegerlos para lectura
solamente; guardar los discos originales.
2. No trabajar con los discos originales de los programas obtenidos.
Al obtener un programa en discos originales squele copia. Use
la copia para evitar que los discos originales se daen.
3. De ser posible, proteja todos sus archivos ejecutables para
lectura solamente.

4. Evite usar cualquier programa de origen desconocido en su


computadora. Pueden estar contaminado.
5. Realice un mantenimiento regular en contra de virus con todos
los archivos. Puede hacer uso de un programa antivirus.
6. Evite en lo mximo que otras personas usen su computadora
personal. La mquinas ms propensas a ataques de los virus son
las que tienen varios usuarios.
7. Regularmente guarde copias (backups) de sus archivos
importantes en discos floppies o disquetes. As puede reemplazar
los archivos infectados o destruidos. No estara dems que
guardase copias impresas de sus documentos ms importantes.
8. Est alerta de todos los programas que provengan de algn BBS
(Bulletin Board System); i.e., servicio de cartelera electrnica) si
usted desconoce cun confiable es el BBS de dnde proceden esos
programas. Debera cotejarlos con un programa antivirus antes
de utilizarlos.
Las siguientes son algunas recomendaciones en caso de infeccin:

1. Salve (guarde) inmediatamente, de ser indispensable, lo que


est trabajando y apague la computadora. Los virus no atacan
mientras la computadora est apagada.
2. Desarrolle un plan de ataque:
3. Utilice programas antivirus. Estos programas buscarn y
removern los virus para los cuales fueron programados detectar
y destruir.
4. De ser necesario, busque ayuda profesional.

http://www.tochtli.fisica.uson.mx/antivirus/casos.htm

http://www.spi1.nisu.org/recop/al01/javizq/estrategias.html

1.
Virus informticos
2.

Especies de Virus

3.

Formas de Contagio

4.

Formas de Prevencin y Eliminacin del Virus

5.

Efectos de los Virus en las Computadoras

6.

Conclusiones

7.

Bibliografa

8.

Anexos

INTRODUCCIN
Hoy resulta muy difcil imaginar un mundo sin computadoras. La idea de una sociedad totalmente
informatizada, que muchos consideraban una mera fantasa, se ha transformado en pocos aos en
realidad, al mismo tiempo que la tecnologa ha avanzado y ha podido ser aplicada a diversos
mbitos de la ciencia y de la vida cotidiana. Introducir una tarjeta magntica en un cajero
automtico y conseguir que ste nos de dinero resulta un buen ejemplo para ilustrar esta compleja
dependencia a la que nos hemos acostumbrado.
En el ao 1981, se fabric la primera computadora personal, lo que supuso el inicio de
una revolucin tecnolgica cuya magnitud slo puede compararse a la invencin de la rueda o de
la mquina a vapor.
Sin embargo, en el ao 1983, un estudiante de la Universidad de California del Sur identificado con
el nombre de Fred Cohen, present un experimento sobre seguridad informtica. Este personaje
fue el iventor del primer virus informtico.
A partir de ese momento, comenz el dolor de cabeza para cualquier sistema.
VIRUS INFORMTICOS
Un virus es un programa o secuencia de instrucciones que un ordenador es capaz de interpretar y
ejecutar, todo virus ha de ser programado y realizado por expertos informticos.
Su misin principal es introducirse, lo ms discretamente posible en un sistema informtico y
permanecer en un estado de latencia hasta que se cumple la condicin necesaria para activarse.
Las posibles vas de transmisin de los virus son: los discos, el cable de una red y el cable
telefnico.
Lo primero que hace un virus tpico, cuando se ejecuta el programa infectado, es situar su
propio cdigo en una parte de la memoria permaneciendo residente en ella. Todo lo que ocurra a

partir de este momento depende enteramente de la especie a la que pertenezca el virus en


cuestin.
Generalmente los virus disponen de una rutina destructiva que se activar si se cumple una
determinada condicin. Por ejemplo el virus "880" se activa el da 11 de junio mostrando unos
mensajes en la pantalla y sobre-escribiendo archivos ejecutables.
Los virus ms simples se autorreplican en los ficheros ejecutables disponibles en los
diferentes discos duros del sistema, incrementando ligeramente el tamao de los mismos
(incremento correspondiente al tamao real del virus). stos ficheros ejecutables incluyen cualquier
fichero cuya extensin sea exe .com .ovl .sys o .bin.
Otro tipo de virus son los llamados virus de Boot. Estos utilizaban los sectores de arranque y la
tabla de particiones para ejecutarse y tomar el control cada vez que el ordenador arranque desde
un disco contaminado.
Especies de Virus
La clasificacin correcta de los virus siempre resulta variada segn a quien se le pregunte.
Podemos agruparlos por la entidad que parasitan (sectores de arranque o archivos ejecutables),
por su grado de dispersin a escala mundial, por su comportamiento, por su agresividad, por
sus tcnicas de ataque o por como se oculta, etc. Nuestra clasificacin muestra como acta cada
uno de los diferentes tipos segn su comportamiento. En algunos casos un virus puede incluirse en
ms de un tipo (un multipartito resulta ser sigiloso).
Caballos de Troya: Los caballos de troya no llegan a ser realmente virus porque no tienen
la capacidad de autoreproducirse. Se esconden dentro del cdigo de archivos ejecutables y no
ejecutables pasando inadvertidos por los controles de muchos antivirus. Posee subrutinas que
permitirn que se ejecute en el momento oportuno. Existen diferentes caballos de troya que se
centrarn en distintos puntos de ataque. Su objetivo ser el de robar las contraseas que el usuario
tenga en sus archivos o las contraseas para el acceso a redes, incluyendo a Internet. Despus de
que el virus obtenga la contrasea que deseaba, la enviar por correo electrnico a
la direccin que tenga registrada como la de la persona que lo envi a realizar esa tarea. Hoy en
da se usan estos mtodos para el robo de contraseas para el acceso a Internet de usuarios
hogareos. Un caballo de troya que infecta la red de una empresa representa un gran riesgo para
la seguridad, ya que est facilitando enormemente el acceso de los intrusos. Muchos caballos de
troya utilizados para espionaje industrial estn programados para autodestruirse una vez que
cumplan el objetivo para el que fueron programados, destruyendo toda la evidencia.

Camaleones: Son una variedad de similar a los Caballos de Troya, pero actan como
otros programas comerciales, en los que el usuario confa, mientras que en realidad estn
haciendo algn tipo de dao. Cuando estn correctamente programados, los camaleones pueden
realizar todas las funciones de los programas legtimos a los que sustituyen (actan como
programas de demostracin de productos, los cuales son simulaciones de programas reales).
Un software camalen podra, por ejemplo, emular un programa de acceso a sistemas remotos
(rlogin, telnet) realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta
a los usuarios) va almacenando en algn archivo los diferentes logins y passwords para que
posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camalen.

Virus polimorfos o mutantes: Los virus polimorfos poseen la capacidad de encriptar el


cuerpo del virus para que no pueda ser detectado fcilmente por un antivirus. Solo deja disponibles
unas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse. Una vez
desencriptado el virus intentar alojarse en algn archivo de la computadora.

En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo
desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el virus
presente su caracterstica de cambio de formas debe poseer algunas rutinas especiales. Si
mantuviera siempre su estructura, est encriptado o no, cualquier antivirus podra reconocer ese
patrn.
Para eso incluye un generador de cdigos al que se conoce como engine o motor de mutacin.
Este engine utiliza un generador numrico aleatorio que, combinado con un algoritmo matemtico,
modifica la firma del virus. Gracias a este engine de mutacin el virus podr crear una rutina de
desencripcin que ser diferente cada vez que se ejecute.
Los mtodos bsicos de deteccin no pueden dar con este tipo de virus. Muchas veces para virus
polimorfos particulares existen programas que se dedican especialmente a localizarlos y
eliminarlos. Algunos softwares que se pueden baja gratuitamente de Internet se dedican solamente
a erradicar los ltimos virus que han aparecido y que tambin son los ms peligrosos. No los
fabrican empresas comerciales sinogrupos de hackers que quieren protegerse de otros grupos
opuestos. En este ambiente el presentar este tipo de soluciones es muchas veces una forma de
demostrar quien es superior o quien domina mejor las tcnicas de programacin.
Las ltimas versiones de los programas antivirus ya cuentan con detectores de este tipo de virus.
Virus sigiloso o stealth: El virus sigiloso posee un mdulo de defensa bastante
sofisticado. Este intentar permanecer oculto tapando todas las modificaciones que haga y
observando cmo el sistema operativo trabaja con los archivos y con el sector de booteo.
Subvirtiendo algunas lneas de cdigo el virus logra apuntar el flujo de ejecucin hacia donde se
encuentra la zona que infectada.
Es difcil que un antivirus se de cuenta de estas modificaciones por lo que ser imperativo que el
virus se encuentre ejecutndose en memoria en el momento justo en que el antivirus corre. Los
antivirus de hoy en da cuentan con la tcnica de verificacin de integridad para detectar los
cambios realizados en las entidades ejecutables.
El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector de arranque de
los disquetes e intercepta cualquier operacin de entrada / salida que se intente hacer a esa zona.
Una vez hecho esto rediriga la operacin a otra zona del disquete donde haba copiado
previamente el verdadero sector de booteo.
Este tipo de virus tambin tiene la capacidad de engaar al sistema operativo. Un virus se adiciona
a un archivo y en consecuencia, el tamao de este aumenta. Est es una clara seal de que un
virus lo infect. La tcnica stealth de ocultamiento de tamao captura las interrupciones del sistema
operativo que solicitan ver los atributos del archivo y, el virus le devuelve la informacin que posea
el archivo antes de ser infectado y no las reales. Algo similar pasa con la tcnica stealth de lectura.
Cuando el SO solicita leer una posicin del archivo, el virus devuelve los valores que debera tener
ah y no los que tiene actualmente.
Este tipo de virus es muy fcil de vencer. La mayora de los programas antivirus estndar los
detectan y eliminan.
Virus lentos: Los virus de tipo lento hacen honor a su nombre infectando solamente los
archivos que el usuario hace ejecutar por el SO, simplemente siguen la corriente y aprovechan
cada una de las cosas que se ejecutan. Por ejemplo, un virus lento nicamente podr infectar el
sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo
en dicho sector. De los archivos que pretende infectar realiza una copia que infecta, dejando al
original intacto.

Su eliminacin resulta bastante complicada. Cuando el verificador de integridad encuentra nuevos


archivos avisa al usuario, que por lo general no presta demasiada atencin y decide agregarlo
al registro del verificador. As, esa tcnica resultara intil.
La mayora de las herramientas creadas para luchar contra este tipo de virus son programas
residentes en memoria que vigilan constantemente la creacin de cualquier archivo y validan cada
uno de los pasos que se dan en dicho proceso. Otro mtodo es el que se conoce como Decoy
launching. Se crean varios archivos .EXE y .COM cuyo contenido conoce el antivirus. Los ejecuta y
revisa para ver si se han modificado sin su conocimiento.
Retro-virus o Virus antivirus: Un retro-virus intenta como mtodo de defensa atacar
directamente al programa antivirus incluido en la computadora. Para los programadores de virus
esta no es una informacin difcil de obtener ya que pueden conseguir cualquier copia de antivirus
que hay en el mercado. Con un poco de tiempo pueden descubrir cules son los puntos dbiles del
programa y buscar una buena forma de aprovecharse de ello. Generalmente los retro-virus buscan
el archivo de definicin de virus y lo eliminan, imposibilitando al antivirus la identificacin de sus
enemigos. Suelen hacer lo mismo con el registro del comprobador de integridad.
Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse o inician una
rutina destructiva antes de que el antivirus logre encontrarlos. Algunos incluso modifican el entorno
de tal manera que termina por afectar el funcionamiento del antivirus.
Virus multipartitos: Los virus multipartitos atacan a los sectores de arranque y a los
ficheros ejecutables. Su nombre est dado porque infectan las computadoras de varias formas. No
se limitan a infectar un tipo de archivo ni una zona de la unidad de disco rgido. Cuando se ejecuta
una aplicacin infectada con uno de estos virus, ste infecta el sector de arranque. La prxima vez
que arranque la computadora, el virus atacar a cualquier programa que se ejecute.

Virus voraces: Estos virus alteran el contenido de los archivos de forma indiscriminada.
Generalmente uno de estos virus sustituir el programa ejecutable por su propio cdigo. Son muy
peligrosos porque se dedican a destruir completamente los datos que puedan encontrar.

Bombas de tiempo: Son virus convencionales y pueden tener una o ms de las


caractersticas de los dems tipos de virus pero la diferencia est dada por el trigger de su mdulo
de ataque que se disparar en una fecha determinada. No siempre pretenden crear un dao
especfico. Por lo general muestran mensajes en la pantalla en alguna fecha que representa un
evento importante para el programador. El virus Michel Angelo s causa un dao grande eliminando
toda la informacin de la tabla de particiones el da 6 de marzo.

Conejo: Cuando los ordenadores de tipo medio estaban extendidos especialmente en


ambientes universitarios, funcionaban como multiusuario, mltiples usuarios se conectaban
simultneamente a ellos mediante terminales con un nivel de prioridad. El ordenador ejecutaba los
programas de cada usuario dependiendo de su prioridad y tiempo de espera. Si se estaba
ejecutando un programa y llegaba otro de prioridad superior, atenda al recin llegado y al acabar
continuaba con lo que hacia con anterioridad. Como por regla general, los estudiantes tenan
prioridad mnima, a alguno de ellos se le ocurri la idea de crear este virus. El programa se
colocaba en la cola de espera y cuando llegaba su turno se ejecutaba haciendo una copia de s
mismo, agregndola tambin en la cola de espera. Los procesos a ser ejecutados iban
multiplicndose hasta consumir toda la memoria de la computadora central interrumpiendo todos
los procesamientos.

Macro-virus: Los macro-virus representan una de las amenazas ms importantes para


una red. Actualmente son los virus que ms se estn extendiendo a travs de Internet.
Representan una amenaza tanto para las redes informticas como para los ordenadores
independientes. Su mximo peligro est en que son completamente independientes del sistema
operativo o de la plataforma. Es ms, ni siquiera son programas ejecutables.

Los macro-virus son pequeos programas escritos en el lenguaje propio (conocido


como lenguaje script o macro-lenguaje) propio de un programa. As nos podemos encontrar con
macro-virus para editores de texto, hojas de clculo y utilidades especializadas en la manipulacin
de imgenes.
Formas de Contagio
Los principales mtodos de contagio son la lnea telefnica y el intercambio de software no
adquirido legalmente.
Hay que tener en cuenta que Internet es una de las mayores fuentes de contagio, otra importante
fuente de contagio son las BBS (Bulletin Board System, Bases de datos remotas de libre acceso).
Los virus funcionan, se reproducen y liberan sus cargas activas slo cuando se ejecutan. Por eso,
si un ordenador est simplemente conectado a una red informtica infectada o se limita a cargar un
programa infectado, no se infectar necesariamente. Normalmente, un usuario no ejecuta
conscientemente un cdigo informtico potencialmente nocivo; sin embargo, los virus engaan
frecuentemente al sistema operativo de la computadora o al usuario informtico para que ejecute el
programa viral.
Algunos virus tienen la capacidad de adherirse a programas legtimos. Esta adhesin puede
producirse cuando se crea, abre o modifica el programa legtimo. Cuando se ejecuta dicho
programa, lo mismo ocurre con el virus. Los virus tambin pueden residir en las partes del disco
duro o flexible que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por lo
que dichos virus se ejecutan automticamente. En las redes informticas, algunos virus se ocultan
en el software que permite al usuario conectarse al sistema.
Formas de Prevencin y Eliminacin del Virus
Copias de seguridad:

Realice copias de seguridad de sus datos. stas pueden realizarlas en el soporte que desee,
disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y
protegido de campos magnticos, calor, polvo y personas no autorizadas.
Copias de programas originales:

No instale los programas desde los disquetes originales. Haga copia de los discos y utilcelos para
realizar las instalaciones.
No acepte copias de origen dudoso:

Evite utilizar copias de origen dudoso, la mayora de las infecciones provocadas por virus se deben
a discos de origen desconocido.
Utilice contraseas:

Ponga una clave de acceso a su computadora para que slo usted pueda acceder a ella.
Anti-virus:

Tenga siempre instalado un anti-virus en su computadora, como medida general analice todos los
discos que desee instalar. Si detecta algn virus elimine la instalacin lo antes posible.
Actualice peridicamente su anti-virus:

Un anti-virus que no est actualizado puede ser completamente intil. Todos los anti-virus
existentes en el mercado permanecen residentes en la computadora pata controlar todas
las operaciones de ejecucin y transferencia de ficheros analizando cada fichero para determinar si
tiene virus, mientras el usuario realiza otras tareas.
Efectos de los Virus en las Computadoras
Cualquier virus es perjudicial para un sistema. Como mnimo produce una reduccin de
la velocidad de proceso al ocupar parte de la memoria principal. Estos efectos se pueden
diferenciar en destructivos y no destructivos.
Efectos no destructivos:
Emisin de mensajes en pantalla:

Es uno de los efectos ms habituales de los virus. Simplemente causan la aparicin de pequeos
mensajes en la pantalla del sistema, en ocasiones se trata de mensajes humorsticos, de
Copyright, etc. Ejemplo:
Soupy: "Get ready.." cause THERES A VIRUS IN YOUR SOUP!
Casino: "DISK DESTROYER. A SOUVENIR FROM MALTA".
Borrado a cambio de la pantalla:

Tambin es muy frecuente la visualizacin en pantalla de algn efecto generalmente para llamar la
atencin del usuario. Los efectos usualmente se producen en modo texto. En ocasiones
la imagen se acompaa de efectos de sonido. Ejemplo:
Ambulance: Aparece una ambulancia movindose por la parte inferior de la pantalla al tiempo que
suena una sirena.
Walker: Aparece un mueco caminando de un lado a otro de la pantalla.
Efectos destructivos:
Desaparicin de ficheros:

Ciertos virus borran generalmente ficheros con extensin exe y com, por ejemplo una variante del
Jerusalem-B se dedica a borrar todos los ficheros que se ejecutan.
Formateo de discos duros:
El efecto ms destructivo de todos es el formateo del disco duro. Generalmente el formateo se
realiza sobre los primeros sectores del disco duro que es donde se encuentra la informacin
relativa a todo el resto del disco.
CONCLUSIONES
Un virus es un programa pensado para poder reproducirse y replicarse por s mismo,
introducindose en otros programas ejecutables o en zonas reservadas del disco o la memoria.
Sus efectos pueden no ser nocivos, pero en muchos casos hacen un dao importante en el
ordenador donde actan. Pueden permanecer inactivos sin causar daos tales como el formateo
de los discos, la destruccin de ficheros, etc.
Tener siempre a mano un disco de arranque limpio. Este disco de arranque se crea formateando un
disquete con FORMAT/S de forma que se incluyen ficheros de arranque IO.SYS, MSDOS.SYS y
COMMAND.COM. Este disco permitir arrancar el ordenador.

Algunas de las tcticas para combatirlos son:


Hacer regularmente copias de seguridad

Realizar peridicamente una defragmentacin del disco.

Utilizar las opciones anti-virus de la BIOS del ordenador.

Utilizar software legalmente

Utilizar un anti-virus

Tener una lista con la configuracin del equipo, es decir, los parmetros de todas
las tarjetas, discos y otros dispositivos.
Los temas de proteccin de los sistemas operativos son preocupantes por los siguientes motivos:
El ms evidente es la necesidad de prevenir la violacin intencionada y maliciosa de una restriccin
de acceso, por parte de un usuario del sistema. Sin embargo, es de importancia ms general la
necesidad de asegurar que cada componente de un programa nicamente utiliza los recursos del
mismo segn los criterios que establezca el sistema operativo.
Para construir un sistema de proteccin se tiene que definir; por un lado, la estrategia de proteccin
(de qu fallos hay que proteger al sistema) y por otro, los mecanismos de proteccin (cmo hacer
que se consiga la proteccin definida por la estrategia).
BIBLIOGRAFA
Enciclopedia Aula Siglo XXI. (2001). Curso de Orientacin Escolar. Grficas Reunidas S.A.
Espaa

Enciclopedia Britnica Balsa 2001.

Enciclopedia Encarta 2001. Microsoft Elsevier.


ANEXOS
Trayecto del Virus

Archivo Limpio y Archivo Infectado

Leer ms: http://www.monografias.com/trabajos12/virudos/virudos.shtml#ixzz3k7SRybkt

Sabe cmo utilizar los medios informticos


en forma segura? (1ra. parte)
13 de enero del 2008 Seguridad, Virus/Antivirus

En la actualidad son muchas las amenazas a las que los usuarios de sistemas
informticos estamos expuestos: virus, spam, hoaxes, phising, etc. Conoce
estos conceptos? Pues tratemos de enfocarlos de forma clara y rpida.
Iniciemos con lo que denominamos Virus Informtico, un trmino que se
conoce desde hace ms de 20 aos, pero que ha variado notablemente su
definicin con el tiempo. Los programas denominados virus informticos, en
contraposicin de los programas normales, son aquellos capaces de realizar
acciones dainas sin el consentimiento ni el conocimiento del usuario. Los
primeros virus se reproducan de equipo en equipo utilizando los disquetes, que
eran los medios disponibles en ese entonces, lo que reduca la velocidad de
contagio, pero al masificarse las redes e Internet en muchos hogares y
organizaciones, la velocidad en la que se propagan estos programas tuvieron
un incremento significativo. Si al principio se tardaba relativamente mucho
tiempo entre crear el virus y hacerlo llegar al usuario, en la actualidad puede
distribuirse un virus casi inmediatamente despus de su creacin. Actualmente

los virus informticos no son las nicas amenazas a las que se enfrenta el
usuario promedio. Aparece el trmino anglosajn Malware (Malicious Software)
que agrupa a todo componente posible que pueda daar de alguna manera
nuestro sistema informtico. Ahora no se hace distincin si el dao es
ocasionado sin intencin o de forma explcita. En el primer caso (sin intencin)
el malware infecta la mquina husped, consumiendo sus recursos sin realizar
ms acciones, pero tornando lento el sistema o tornndolo inestable. Explcito
es cuando realiza una accin daina premeditada por el programador del
malware, como borrar archivos o formatear el disco.
Origen del Malware
Inicialmente solo se identificaba un tipo de malware. Se lo llam virus
informtico debido a las semejanzas que estos programas presentaban con los
virus biolgicos. Nacieron como experimientos matemticos en laboratorios al
buscarse alternativas para tcnicas de vida artificial. Al principio solo podan
infectar archivos del sistema operativo DOS y mantenan una baja tasa de
reproduccin, sobre todo debido a los mtodos que utilizaban.
Pero ya con software y sistemas operativos ms avanzados, los virus tambin
evolucionaron hasta llegar a las formas de malware actuales, lo que hace
extensa su clasificacin.
Clasificacin del Malware
Aunque clasificar el malware puede resultar agotador y profundo, puede
resumirse en:

Virus informticos, los cuales a su vez se subclasifican en:


o

De programas ejecutables

Residentes en memoria

De sector de arranque

Macrovirus o virus de macro

De correo electrnico

Gusanos (worm)

Troyanos (trojan horse)

Exploits

Rootkits

Backdoors

Redes de Bots (zombies)

Keyloggers

Ransomware

Spam

Hoax

Scam

Phishing

Spyware

Adware

Virus Informticos
Aunque John von Neumann hacia 1950 estableci por primera vez la idea de
programas auto-replicantes dando origen a muchas investigaciones sobre
Inteligencia y Vida Artificial, fue recin en 1983 que Fred Cohen y Len Adleman
lo definen como virus y experimentan inicialmente sobre un sistema Unix.
Al presente, un Virus Informtico se lo considera al archivo o porcin de cdigo
ejecutable que puede reproducirse, auto-ejecutarse y ocultarse, un modelo
DAS que involucra ser Daino, Auto-replicante y Subrepticio (secretamente).
Estos programas malintencionados que modifican de alguna forma a otro
programa para lograr sus objetivos de reproduccin, funcionan de manera
general segn el siguiente esquema:

Como puede observarse, el usuario procede a la ejecucin de


ProgramaBueno.EXE en el que el virus est alojado. Al ejecutarse, el virus por
un breve perodo de tiempo toma el control del sistema, realiza las acciones
para las que se le cre y devuelve al sistema husped el control. En este
perodo el usuario nunca se entera de lo que ha realizado el virus en su
sistema.
Las principales semejanzas que pueden ser mencionadas entre un virus
biolgico y un virus informtico son las siguientes:

Ambos tienen la necesidad de un husped.

Inician sus actividades de manera oculta al husped.

Tanto

los

virus

biolgicos

como

los

informticos

carecen

de

metabolismo propio y hacen uso del husped.

Sus objetivos principales son la reproduccin y lograr modificar al


husped de alguna forma.

Como mencionamos, los virus informticos pueden clasificarse de manera muy


variada y utilizar ms de un tcnica de infeccin, llegando incluso a

combinarlas. Cabe recordar que actualmente los virus informticos son una
parte del denominado Software Malicioso o Malware (Malicious Software). Es un
error muy comn indicar que los gusanos y troyanos son tambin virus
informticos, porque debido a su forma de actuar y reproducirse no pueden ser
considerados como tales, sino como otro tipo malware. Por lo tanto, la
clasificacin de los virus informticos quedara con: virus de programas
ejecutables, virus residentes en memoria, virus de sector de arranque,
macrovirus y virus de correo electrnico.
A lo largo de estas semanas en estos artculos ilustraremos de la mejor manera
lo relacionado a las amenazas informticas (malware) y cmo puede usted
protegerse de ellas y eliminarlas en caso de que infecten sus sistemas.
http://blog.networkec.com/2008/01/13/%C2%BFsabe-como-utilizar-los-mediosinformaticos-en-forma-segura-1ra-parte/

Para otros usos de este trmino, vase Virus (desambiguacin).

Un virus informtico es un malware que tiene por objetivo alterar el normal


funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Los
virus, habitualmente, reemplazan archivos ejecutables por otros infectados con
el cdigo de este. Los virus pueden destruir, de manera intencionada,
los datosalmacenados en una computadora, aunque tambin existen otros ms
inofensivos, que solo se caracterizan por ser molestos.
Los virus informticos tienen, bsicamente, la funcin de propagarse a travs de
un software, son muy nocivos y algunos contienen adems una carga daina
(payload) con distintos objetivos, desde una simple broma hasta realizar daos
importantes en los sistemas, o bloquear las redes informticas generando trfico
intil.
El funcionamiento de un virus informtico es conceptualmente simple. Se ejecuta
un programa que est infectado, en la mayora de las ocasiones, por
desconocimiento del usuario. El cdigo del virus queda residente (alojado) en
la memoria RAM de la computadora, incluso cuando el programa que lo contena
haya terminado de ejecutarse. El virus toma entonces el control de los servicios

bsicos del sistema operativo, infectando, de manera posterior, archivos


ejecutables que sean llamados para su ejecucin. Finalmente se aade el cdigo
del virus al programa infectado y se graba en el disco, con lo cual el proceso de
replicado se completa.

El primer virus atac a una mquina IBM Serie 360 (y reconocido como tal). Fue
llamado Creeper, creado en 1972. Este programa emita peridicamente en la
pantalla el mensaje: I'm a creeper... catch me if you can! (Soy una
enredadera... agrrame si puedes!). Para eliminar este problema se cre el
primer programa antivirus denominado Reaper (cortadora).
Sin embargo, el trmino virus no se adoptara hasta 1984, pero stos ya existan
desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro
programadores (H. Douglas Mellory, Robert Morris, Victor Vysottsky y Ken
Thompson) desarrollaron un juego llamado Core War, el cual consista en ocupar
toda lamemoria RAM del equipo contrario en el menor tiempo posible.
Despus de 1984, los virus han tenido una gran expansin, desde los que atacan
los sectores de arranque de disquetes hasta los que se adjuntan en un correo
electrnico.
ndice
[ocultar]

1 Virus informticos y sistemas operativos


o

1.1 MS-Windows

1.2 Unix y derivados

2 Caractersticas

3 Mtodos de propagacin

4 Mtodos de proteccin
o

4.1 Activos

4.2 Pasivos

5 Tipos de virus

6 Acciones de los virus

7 Vase tambin

8 Enlaces externos

Virus informticos y sistemas operativos[editar]


Los virus informticos afectan en mayor o menor medida a casi todos los sistemas
ms conocidos y usados en la actualidad.
Cabe aclarar que un virus informtico mayoritariamente atacar slo el sistema
operativo para el que fue desarrollado, aunque ha habido algunos casos de virus
multiplataforma.

MS-Windows[editar]
Las mayores incidencias se dan en el sistema operativo Windows debido, entre
otras causas, a:

Su gran popularidad, como sistema operativo, entre los computadores


personales, PC. Se estima que, en 2007, un 90 % de ellos usaba Windows.
[cita requerida]

Esta popularidad basada en la facilidad de uso sin conocimiento previo

alguno, motiva a los creadores de software malicioso a desarrollar nuevos virus; y as,
al atacar sus puntos dbiles, aumentar el impacto que generan.

Falta de seguridad en esta plataforma (situacin a la que Microsoft est dando en


los ltimos aos mayor prioridad e importancia que en el pasado). Al ser un sistema
tradicionalmente muy permisivo con la instalacin de programas ajenos a ste, sin
requerir ninguna autentificacin por parte del usuario o pedirle algn permiso especial
para ello en los sistemas ms antiguos. A partir de la inclusin del Control de Cuentas
de Usuario en Windows Vista y en adelante (y siempre y cuando no se desactive) se
ha solucionado este problema, ya que se puede usar la configuracin clsica de Linux

de tener un usuario administrador protegido, pero a diario usar un Usuario estndar


sin permisos.

Software como Internet Explorer y Outlook Express, desarrollados por Microsoft e


incluidos de forma predeterminada en las ltimas versiones de Windows, son
conocidos por ser vulnerables a los virus ya que stos aprovechan la ventaja de que
dichos programas estn fuertemente integrados en el sistema operativo dando acceso
completo, y prcticamente sin restricciones, a los archivos del sistema. Un ejemplo
famoso de este tipo es el virus ILOVEYOU, creado en el ao 2000 y propagado a
travs de Outlook.

La escasa formacin de un nmero importante de usuarios de este sistema, lo que


provoca que no se tomen medidas preventivas por parte de estos, ya que este
sistema est dirigido de manera mayoritaria a los usuarios no expertos en informtica.
Esta situacin es aprovechada constantemente por los programadores de virus.

Unix y derivados[editar]
En este artculo se detectaron los siguientes problemas:

No tiene una redaccin neutral.


Carece de fuentes o referencias que aparezcan en una fuente
acreditada.

Por favor, edtalo para mejorarlo, o debate en la discusin acerca de estos


problemas.
Puedes avisar al redactor principal pegando lo siguiente en su pgina de discusin:
{{subst:Aviso PA|Virus informtico|noneutral|referencias}} ~~~~

En otros sistemas operativos como


las distribuciones GNU/Linux, BSD, OpenSolaris, Solaris, Mac OS X y otros
basados en Unix las incidencias y ataques son prcticamente inexistentes. Esto se
debe principalmente a:

Los usuarios de este tipo de Sistemas Operativos suelen poseer conocimientos


mucho mayores a los de los usuarios comunes de sistemas Windows por lo que estn
ms alerta y saben mejor qu evitar y qu es seguro.

Estos Sistemas Operativos cuentan con una cuota de uso mucho menor, por lo
que son menos interesantes a la hora de llevar a cabo ataques de pishing o similares
cuyo principal objetivo es el de robar informacin, por ejemplo para Data mining.

Tradicionalmente los programadores y usuarios de sistemas basados en Unix han


considerado la seguridad como una prioridad por lo que hay mayores medidas frente
a virus, tales como la necesidad de autenticacin por parte del usuario como
administrador o root para poder instalar cualquier programa adicional al sistema.

Los directorios o carpetas que contienen los archivos vitales del sistema operativo
cuentan con permisos especiales de acceso, por lo que no cualquier usuario o
programa puede acceder fcilmente a ellos para modificarlos o borrarlos. Existe una
jerarqua de permisos y accesos para los usuarios.

Relacionado al punto anterior, a diferencia de los usuarios de Windows, la mayora


de los usuarios de sistemas basados en Unix no pueden normalmente iniciar sesiones
como usuarios "administradores' o por el superusuario root, excepto para instalar o
configurar software, dando como resultado que, incluso si un usuario no administrador
ejecuta un virus o algn software malicioso, ste no daara completamente el
sistema operativo ya que Unix limita el entorno de ejecucin a un espacio o directorio
reservado llamado comnmente home. Aunque a partir de Windows Vista, se pueden
configurar las cuentas de usuario de forma similar.

Estos sistemas, a diferencia de Windows, son usados para tareas ms complejas


como servidores que por lo general estn fuertemente protegidos, razn que los hace
menos atractivos para un desarrollo de virus o software malicioso.

En el caso particular de las distribuciones basadas en GNU/Linux y gracias al


modelo colaborativo, las licencias libres y debido a que son ms populares que otros
sistemas Unix, la comunidad aporta constantemente y en un lapso de tiempo muy
corto actualizaciones que resuelven bugs y/o agujeros de seguridad que pudieran ser
aprovechados por algn malware.

Caractersticas[editar]
Dado que una caracterstica de los virus es el consumo de recursos, los virus
ocasionan problemas tales como: prdida de productividad, cortes en los sistemas
de informacin o daos a nivel de datos.
Una de las caractersticas es la posibilidad que tienen de diseminarse por medio
de replicas y copias. Las redes en la actualidad ayudan a dicha propagacin
cuando stas no tienen la seguridad adecuada.
Otros daos que los virus producen a los sistemas informticos son la prdida de
informacin, horas de parada productiva, tiempo de reinstalacin, etc.
Hay que tener en cuenta que cada virus plantea una situacin diferente.

Mtodos de propagacin[editar]
Existen dos grandes clases de contagio. En la primera, el usuario, en un momento
dado, ejecuta o acepta de forma inadvertida la instalacin del virus. En la segunda,
el programa malicioso acta replicndose a travs de las redes. En este caso se
habla de gusanos.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir
una serie de comportamientos anmalos o imprevistos. Dichos comportamientos
pueden dar una pista del problema y permitir la recuperacin del mismo.
Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn
las siguientes:

Mensajes que ejecutan automticamente programas (como el programa de correo


que abre directamente un archivo adjunto).

Ingeniera social, mensajes como ejecute este programa y gane un premio, o, ms


comnmente: Haz 2 clics y gana 2 tonos para mvil gratis..

Entrada de informacin en discos de otros usuarios infectados.

Instalacin de software modificado o de dudosa procedencia.

En el sistema Windows puede darse el caso de que la computadora pueda


infectarse sin ningn tipo de intervencin del usuario (versiones Windows 2000,
XP y Server 2003) por virus como Blaster, Sasser y sus variantes por el simple
hecho de estar la mquina conectada a una red o a Internet. Este tipo de virus
aprovechan una vulnerabilidad de desbordamiento de buffer y puertos de red para
infiltrarse y contagiar el equipo, causar inestabilidad en el sistema, mostrar
mensajes de error, reenviarse a otras mquinas mediante la red local o Internet y
hasta reiniciar el sistema, entre otros daos. En las ltimas versiones de Windows
2000, XP y Server 2003 se ha corregido este problema en su mayora.

Mtodos de proteccin[editar]
Los mtodos para disminuir o reducir los riesgos asociados a los virus pueden ser
los denominados activos o pasivos.

Activos[editar]

Antivirus: son programas que tratan de descubrir las trazas que ha dejado un
software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar
la contaminacin. Tratan de tener controlado el sistema mientras funciona parando las
vas conocidas de infeccin y notificando al usuario de posibles incidencias de
seguridad. Por ejemplo, al verse que se crea un archivo llamado Win32.EXE.vbs en la
carpeta C:\Windows\%System32%\ en segundo plano, ve que es comportamiento
sospechoso, salta y avisa al usuario.

Filtros de ficheros: consiste en generar filtros de ficheros dainos si el computador


est conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema
de correos o usando tcnicas de firewall. En general, este sistema proporciona una
seguridad donde no se requiere la intervencin del usuario, puede ser muy eficaz, y
permitir emplear nicamente recursos de forma ms selectiva.

Pasivos[editar]

Evitar introducir a tu equipo medios de almacenamiento extrables que consideres


que pudieran estar infectados con algn virus.

No instalar software "pirata", pues puede tener dudosa procedencia.

No abrir mensajes provenientes de una direccin electrnica desconocida.

No aceptar e-mails de desconocidos.

Informarse y utilizar sistemas operativos ms seguros.

No abrir documentos sin asegurarnos del tipo de archivo. Puede ser un ejecutable
o incorporar macros en su interior.

Tipos de virus[editar]
Existen diversos tipos de virus, varan segn su funcin o la manera en que este
se ejecuta en nuestra computadora alterando la actividad de la misma, entre los
ms comunes estn: Recicler: consiste en crear un acceso directo de un programa
y eliminar su aplicacin original, adems al infectar un pendrive convierte a toda la
informacin en acceso directo y elimina el original de modo que los archivos no
son recuperables

Troyano: Consiste en robar informacin o alterar el sistema del hardware o en un


caso extremo permite que un usuario externo pueda controlar el equipo.

Gusano: Tiene la propiedad de duplicarse a s mismo. Los gusanos utilizan las


partes automticas de un sistema operativo que generalmente son invisibles al
usuario.

Bombas lgicas o de tiempo: Son programas que se activan al producirse un


acontecimiento determinado. La condicin suele ser una fecha (Bombas de Tiempo),
una combinacin de teclas, o ciertas condiciones tcnicas (Bombas Lgicas). Si no se
produce la condicin permanece oculto al usuario.

Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por s solos. Son
mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus
contactos. Suelen apelar a los sentimientos morales ("Ayuda a un nio enfermo de
cncer") o al espritu de solidaridad ("Aviso de un nuevo virus peligrossimo") y, en

cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas


novatos.

Joke: Al igual que los hoax, no son virus, pero son molestos, un ejemplo: una
pgina pornogrfica que se mueve de un lado a otro, y si se le llega a dar a cerrar es
posible que salga una ventana que diga: OMFG!! No se puede cerrar!.

Otros tipos por distintas caractersticas son los que se relacionan a continuacin:
Virus residentes

La caracterstica principal de estos virus es que se ocultan en la memoria RAM de


forma permanente o residente. De este modo, pueden controlar e interceptar todas
las operaciones llevadas a cabo por el sistema operativo, infectando todos
aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados,
renombrados, copiados. Algunos ejemplos de este tipo de virus son: Randex,
CMJ, Meve, MrKlunky.
Virus de accin directa

Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto,
su objetivo prioritario es reproducirse y actuar en el mismo momento de ser
ejecutados. Al cumplirse una determinada condicin, se activan y buscan los
ficheros ubicados dentro de su mismo directorio para contagiarlos.
Virus de sobreescritura

Estos virus se caracterizan por destruir la informacin contenida en los ficheros


que infectan. Cuando infectan un fichero, escriben dentro de su contenido,
haciendo que queden total o parcialmente inservibles.
Virus de boot (bot_kill) o de arranque

Los trminos boot o sector de arranque hacen referencia a una seccin muy
importante de un disco o unidad de almacenamiento CD, DVD, memorias USB etc.
En ella se guarda la informacin esencial sobre las caractersticas del disco y se

encuentra un programa que permite arrancar el ordenador. Este tipo de virus no


infecta ficheros, sino los discos que los contienen. Actan infectando en primer
lugar el sector de arranque de los dispositivos de almacenamiento. Cuando un
ordenador se pone en marcha con un dispositivo de almacenamiento, el virus de
boot infectar a su vez el disco duro.
Los virus de boot no pueden afectar al ordenador mientras no se intente poner en
marcha a ste ltimo con un disco infectado. Por tanto, el mejor modo de
defenderse contra ellos es proteger los dispositivos de almacenamiento contra
escritura y no arrancar nunca el ordenador con uno de estos dispositivos
desconocido en el ordenador.
Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.
Virus de enlace o directorio

Los ficheros se ubican en determinadas direcciones (compuestas bsicamente por


unidad de disco y directorio), que el sistema operativo conoce para poder
localizarlos y trabajar con ellos.
Los virus de enlace o directorio alteran las direcciones que indican donde se
almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero
con extensin EXE o COM) infectado por un virus de enlace, lo que se hace en
realidad es ejecutar el virus, ya que ste habr modificado la direccin donde se
encontraba originalmente el programa, colocndose en su lugar.
Una vez producida la infeccin, resulta imposible localizar y trabajar con los
ficheros originales.
Virus cifrados

Ms que un tipo de virus, se trata de una tcnica utilizada por algunos de ellos,
que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a s
mismos para no ser detectados por los programas antivirus. Para realizar sus
actividades, el virus se descifra a s mismo y, cuando ha finalizado, se vuelve a
cifrar.

Virus polimrficos

Son virus que en cada infeccin que realizan se cifran de una forma distinta
(utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una
elevada cantidad de copias de s mismos e impiden que los antivirus los localicen
a travs de la bsqueda de cadenas o firmas, por lo que suelen ser los virus ms
costosos de detectar.
Virus multipartites

Virus muy avanzados, que pueden realizar mltiples infecciones, combinando


diferentes tcnicas para ello. Su objetivo es cualquier elemento que pueda ser
infectado: archivos, programas, macros, discos, etc.
Virus del fichero

Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM).


Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes
efectos.
Virus de FAT

La tabla de asignacin de ficheros o FAT (del ingls File Allocation Table) es la


seccin de un disco utilizada para enlazar la informacin contenida en ste. Se
trata de un elemento fundamental en el sistema. Los virus que atacan a este
elemento son especialmente peligrosos, ya que impedirn el acceso a ciertas
partes del disco, donde se almacenan los ficheros crticos para el normal
funcionamiento del ordenador.

Acciones de los virus[editar]


Algunas de las acciones de algunos virus son:

Unirse a un programa instalado en el computador permitiendo su propagacin.

Mostrar en la pantalla mensajes o imgenes humorsticas, generalmente molestas.

Ralentizar o bloquear el computador.

Destruir la informacin almacenada en el disco, en algunos casos vital para el


sistema, que impedir el funcionamiento del equipo.

Reducir el espacio en el disco.

Molestar al usuario cerrando ventanas, moviendo el ratn...

1.

Qu son los Virus Informticos?

2.

Como acta un Virus Informtico?

3.

Formas de Infeccin

4.

Tcnica de Ocultacin

5.

Prevencin, Deteccin y Eliminacin

6.

Virus de Macros

7.

Virus en Internet

8.

Qu debemos buscar en un Antivirus?

9.

Cmo reaccionar ante una Infeccin?

10.

Inseguridad Informtica

Qu son los Virus Informticos?


Un virus es un programa diseado para daar sistemas informticos, alterando su forma de
trabajar o daando informacin almacenada en el disco duro. Por supuesto, sin el conocimiento o
permiso del afectado.
En trminos ms tcnicos, un virus se define como una porcin
de cdigo de programacin cuyo objetivo es implementarse a si mismo en un archivo ejecutable y
multiplicarse sistemticamente de un archivo a otro. Adems de esta funcin primaria de "invasin"
o "reproduccin", los virus estn diseados para realizar una accin concreta en los sistemas
informticos. Esta accin puede ir desde la simple aparicin de un mensaje en la pantalla, hasta la
destruccin de toda la informacin contenida en el sistema.
Como acta un Virus Informtico?
El ciclo de los virus informtico es muy similar al de los biolgicos (de ah su nombre).
1.

2.

Infeccin: Al ejecutar un archivo infectado (el cdigo del virus se ha implantado en el


archivo anteriormente) comienza la fase de infeccin, duplicndose e implantndose en
otros archivos ejecutables. Comienza la "invasin" del sistema informtico. La vctima, an no
es consciente de la existencia del virus ya que este permanece oculto y sin causar daos
apreciables.

3.

Expansin: El virus pasar a otros ordenadores, a travs de redes informticas, disquetes


y CDs que contengan archivos infectados, software en Internet, archivos adjuntos a mensaje
electrnicos, etc.

4.

Explosin: Si el virus no ha sido detectado y destruido por algn programa antivirus, en un


momento determinado o bajo determinadas circunstancias, tomar el control del ordenador
infectado, ejecutando la accin para la que fue programado. En este momento, debido a los
trgicos efectos que pueden llegar a ocasionar, se har evidente su existencia, acabando con
informacin vital contenida en el sistema informtico.

Sntomas apreciables antes de la Explosin del Virus


Los sntomas ms usuales son:
Los programas tardan ms tiempo en cargarse y se produce una disminucin considerable
y global de la velocidad de procesamiento del sistema.
Reduccin del espacio libre de memoria y aumento en el tamao de los archivos
ejecutables.

Aparicin de continuos e inusuales mensajes de error.

Programas que misteriosamente dejan de funcionar.

Cadas frecuentes del sistema.


El buen programador de virus intentar minimizar estos cinco "efectos colaterales", de manera que
el virus, en la fase de Infeccin, consuma muy pocos recursos del sistema, interfiriendo muy poco y
de forma mnima en su funcionamiento normal.
Formas de Infeccin
Antes que nada, hay que recordar que un virus no puede ejecutarse por si solo, necesita un
programa portador para poder cargarse en memoria e infectar; asimismo, para poder unirse a un
programa portador necesita modificar la estructura de este, para que durante su ejecucin pueda
realizar una llamada al cdigo del virus.
Las partes del sistema ms susceptibles de ser infectadas son el sector de arranque de los
disquetes, la tabla de particin y el sector de arranque del disco duro, y los ficheros ejecutables
(*.EXE y *.COM). Para cada una de estas partes tenemos un tipo de virus, aunque muchos son
capaces de infectar por s solos estos tres componentes del sistema.
En los disquetes, el sector de arranque es una zona situada al principio del disco, que
contiene datos relativos a la estructura del mismo y un pequeo programa, que se ejecuta cada vez
que arrancamos desde disquete.

En este caso, al arrancar con un disco contaminado, el virus se queda residente en memoria RAM,
y a partir de ah, infectar el sector de arranque de todos los disquetes a los que se accedan, ya
sea al formatear o al hacer un DIR en el disco, dependiendo de cmo est programado el virus.
El proceso de infeccin consiste en sustituir el cdigo de arranque original del disco por una
versin propia del virus, guardando el original en otra parte del disco; a menudo el virus marca los
sectores donde guarda el boot original como en mal estado, protegindolos as de posibles
accesos, esto suele hacerse por dos motivos: primero, muchos virus no crean una rutina propia de
arranque, por lo que una vez residentes en memoria, efectan una llamada al cdigo de arranque
original, para iniciar el sistema y as aparentar que se ha iniciado el sistema como siempre, con
normalidad. Segundo, este procedimiento puede ser usado como tcnica de ocultamiento.
Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo
que en ste suele copiar una pequea parte de si mismo, y el resto lo guarda en otros sectores del
disco, normalmente los ltimos, marcndolos como defectuosos. Sin embargo, puede ocurrir que
alguno de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser
sobrescritos y as dejar de funcionar el virus.
La tabla de particin esta situada en el primer sector del disco duro, y contiene una serie de bytes
de informacin de cmo se divide el disco y un pequeo programa de arranque del sistema. Al
igual que ocurre con el boot de los disquetes, un virus de particin suplanta el cdigo de arranque
original por el suyo propio; as, al arrancar desde disco duro, el virus se instala en memoria para
efectuar sus acciones. Tambin en este caso el virus guarda la tabla de particin original en otra
parte del disco, aunque algunos la marcan como defectuosa y otros no. Muchos virus guardan la
tabla de particin y a ellos mismos en los ltimos sectores de disco, y para proteger esta zona,
modifican el contenido de la tabla para reducir el tamao lgico del disco. De esta forma el DOS no
tiene acceso a estos datos, puesto que ni siquiera sabe que esta zona existe.
Casi todos los virus que afectan la particin tambin son capaces de hacerlo en el boot de los
disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones de disco duro
tendra un campo de trabajo limitado, por lo que suelen combinar sus habilidades.
Con todo, el tipo de virus que ms abunda es el de fichero; en este caso usan como vehculo de
expansin los archivos de programa o ejecutables, sobre todo .EXE y .COM, aunque tambin a
veces .OVL, .BIN y .OVR. AL ejecutarse un programa infectado, el virus se instala residente en
memoria, y a partir de ah permanece al acecho; al ejecutar otros programas, comprueba si ya se
encuentran infectados. Si no es as, se adhiere al archivo ejecutable, aadiendo su cdigo al
principio y al final de ste, y modificando su estructura de forma que al ejecutarse dicho programa
primero llame al cdigo del virus devolviendo despus el control al programa portador y
permitiendo su ejecucin normal.
Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya
que ste aumenta de tamao al tener que albergar en su interior al virus, siendo esta circunstancia
muy til para su deteccin. De ah que la inmensa mayora de los virus sean programados
en lenguaje ensamblador, por ser el que genera el cdigo ms compacto, veloz y de
menor consumo de memoria; un virus no seria efectivo si fuera fcilmente detectable por su
excesiva ocupacin en memoria, su lentitud de trabajo o por un aumento exagerado en el tamao
de los archivos infectados. No todos los virus de fichero quedan residentes en memoria, si no que
al ejecutarse se portador, stos infectan a otro archivo, elegido de forma aleatoria de ese directorio
o de otros.
Los efectos perniciosos que causan los virus son variados; entre stos se encuentran el formateo
completo del disco duro, eliminacin de la tabla de particin, eliminacin de archivos, ralentizacin

del sistema hasta limites exagerados, enlaces de archivos destruidos, archivos de datos y de
programas corruptos, mensajes o efectos extraos en la pantalla, emisin de msica o sonidos.
Tcnica de Ocultacin
Un virus puede considerarse efectivo si, adems de extenderse lo ms ampliamente posible, es
capaz de permanecer oculto al usuario el mayor tiempo posible; para ello se han desarrollado
varias tcnicas de ocultamiento o sigilo. Para que estas tcnicas sean efectivas, el virus debe estar
residente en memoria, puesto que debe monitorizar el funcionamiento del sistema operativo. La
base principal del funcionamiento de los virus y de las tcnicas de ocultamiento, adems de la
condicin de programas residentes, la intercepcin de interrupciones. El DOS y los programas de
aplicacin se comunican entre s mediante el servicio de interrupciones, que son como subrutinas
del sistema operativo que proporcionan una gran variedad de funciones a los programas. Las
interrupciones se utilizan, por ejemplo, para leer o escribir sectores en el disco, abrir ficheros, fijar
la hora del sistema, etc. Y es aqu donde el virus entra en accin, ya que puede sustituir alguna
interrupcin del DOS por una suya propia y as, cuando un programa solicite un servicio de esa
interrupcin, recibir el resultado que el virus determine.
Entre las tcnicas ms usuales cabe destacar el ocultamiento o stealth, que esconde los
posibles signos de infeccin del sistema. Los sntomas ms claros del ataque de un virus los
encontramos en el cambio de tamao de los ficheros, de la fecha en que se crearon y de sus
atributos, y en la disminucin de la memoria disponible.
Estos problemas son indicadores de la posible presencia de un virus, pero mediante la tcnica
stealth es muy fcil (siempre que se encuentre residente el virus) devolver al sistema la informacin
solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo es fundamental
que cuando vayamos a realizar un chequeo del disco duro arranquemos el ordenador con un disco
de sistema totalmente limpio.
La autoencriptacin o self-encryption es una de las tcnicas vricas ms extendidas. En la
actualidad casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que
infectan un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su
bsqueda. No obstante, todo virus encriptado posee una rutina de desencriptacin, rutina que es
aprovechada por los antivirus para encontrar el origen de la infeccin.
El mayor avance en tcnicas de encriptacin viene dado por el polimorfismo. Gracias a l un virus
no slo es capaz de encriptarse sino que adems vara la rutina empleada cada vez que infecta un
fichero. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del
mismo virus, y ante esta tcnica el tradicional mtodo de bsqueda de cadenas caractersticas
se muestra intil.
Otra tcnica bsica de ocultamiento es la intercepcin de mensajes de error del sistema.
Supongamos que un virus va a infectar un archivo de un disco protegido contra escritura; al intentar
escribir en el obtendramos el mensaje: "Error de proteccin contra escritura leyendo unidad A
Anular, Reintentar, Fallo?", por lo que descubriramos el anormal funcionamiento de nuestro
equipo. Por eso, al virus le basta con redireccionar la interrupcin a una rutina propia que evita la
salida de estos mensajes, consiguiendo as pasar desapercibido.
Prevencin, Deteccin y Eliminacin
Una buena poltica de prevencin y deteccin nos puede ahorrar sustos y desgracias. Las medidas
de prevencin pasan por el control, en todo momento, del software ya introducido o que se va a
introducir en nuestro ordenador, comprobando la fiabilidad de su fuente. Esto implica el escaneo,
con un buen programa antivirus, de todo el software que nos llega, y ante la ms mnima duda lo
mejor es deshacerse inmediatamente de este.

Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software ms importante
del ordenador, debe ser totalmente fiable; si ste se encuentra infectado, cualquier programa que
ejecutemos resultara tambin contaminado. Por eso, es imprescindible contar con una copia en
disquetes del sistema operativo, protegidos stos contra escritura; esto ultimo es muy importante,
no solo con el S.O. sino con el resto de disquetes que poseamos. Es muy aconsejable mantenerlos
siempre protegidos, ya que un virus no puede escribir en un disco protegido de esta forma. Por
ltimo es tambin imprescindible poseer un buen software antivirus, que detecte y elimine cualquier
tipo de intrusin en el sistema.
Virus para Windows 95/98
La existencia de estos sistemas operativos con bastantes diferencias tcnicas respecto a
desarrollos anteriores merece un estudio especial para comprobar cmo reaccionan ante virus
conocidos y el tipo de proteccin que ofrecen.
Ante la infeccin del sector de arranque (boot sector) Windows 95 reacciona sorprendentemente
bien, o al menos mucho mejor que sus antecesores. De hecho, frente a cualquier modificacin del
sector de arranque el sistema presenta un mensaje durante la inicializacin. Nos anuncia que algo
se ha cambiado y que la causa de tal hecho puede ser un virus de boot, aunque no
necesariamente.
Tambin debemos precisar que si hay un error al comprobar la tabla de particiones, el sistema nos
da el mismo aviso que en el caso anterior, lo que sin duda puede ser motivo de confusin. En
general siempre que en Windows 95 o 98 se d cuenta de un fallo en el sistema de ficheros que le
impida trabajar con la VFAT a pleno rendimiento, se inicia con el Sistema de archivos en modo
compatibilidad MS-DOS, sugiriendo como posible causa el ataque de un virus.
Que Microsoft achaque estos fallos a la accin de un virus es una solucin un tanto drstica, ya
que una falsa alarma puede ser tan peligrosa como la presencia real de un ingenio vrico.
A W98 no se conocen an una gran cantidad de virus, sin embargo, la lista crece cada da y nadie
que use este sistema operativo est a salvo.
Problemas con Windows 95
Este sistema operativo de Microsoft ha creado ms de un problema a las empresas de seguridad, y
no slo por el trabajo adicional de reprogramar sus desarrollos para adecuarse a las caractersticas
del entorno, sino tambin por algunos fallos de diseo propios de W95.
En MS-DOS (tambin en Windows 3.1) se podan solicitar informes al sistema de todas las
actividades realizadas, y todo ello en tiempo real. Es decir, a travs de un residente era factible
conseguir informacin sobre acciones como abrir, leer y escribir en ficheros, cambio de atributos,
etc. Cuando hablamos de tiempo real nos referimos al hecho de recibir la informacin solicitada en
el mismo momento en que se realiza la accin.
Desgraciadamente en W95 la cosa vara, ya que a pesar de tratarse de un sistema operativo
multitarea no se envan informes en tiempo real, sino cada determinados intervalos de tiempo o
cuando el procesador est menos ocupado. Por este motivo la programacin de un controlador
capaz de monitorizar el sistema con seguridad es muy difcil, ya que el antivirus recibe la
informacin de que se va a producir una infeccin cuando el fichero ya est infectado.
A pesar de ello, gran parte de los antivirus para Windows 95 incluyen drivers virtuales o
controladores VxD capaces de mantener bajo su atenta mirada el sistema en todo momento. De
todas formas, la realizacin de un driver de este tipo para W95 no es una tarea sencilla y acarrea
bastantes problemas. Adems, es importante que la proteccin se ofrezca en todo momento, es
decir, que se controle la interfaz grfica, la versin previa del sistema operativo, las sesiones DOS
y el modo MS-DOS 7.0 (arrancando sin la interfaz o al apagar el sistema). Desde luego todas estas
acciones no son controlables por un driver VxD exclusivamente.

Virus de Macros
Esta entre las novedades surgidas ltimamente en el mundo de los virus, aunque no son
totalmente nuevos, parece que han esperado hasta 1995 para convertirse en una peligrosa
realidad. Por desgracia, ya existe un nmero importante de virus de este tipo catalogados, que han
sido escritos en WordBasic, el potente lenguaje incluido en Microsoft Word.
Estos virus slo afectan a los usuarios de Word para Windows y consisten en un conjunto
de macros de este procesador de textos. Aunque el peligro del virus se restringe a los usuarios de
Word, tiene una importante propagacin ya que puede infectar cualquier texto, independientemente
de la plataforma bajo la que ste se ejecute: Mac, Windows 3.x, Windows NT, W95 y OS/2. Este es
el motivo de su peligrosidad, ya que el intercambio de documentos en disquete o por red es mucho
ms comn que el de ejecutables.
El primer virus de este tipo que sali a la luz se llamaba WordMacro/DMV y era inofensivo, ya
que slo anunciaba su presencia y guardaba un informe de sus acciones. Escrito por Joel
McNamara para el estudio de los virus de macros, fue desarrollado en 1994 pero su autor guard
el resultado hasta que observ la aparicin del virus conocido por WordMacro/Concept. Tras
ello, McNamara decidi hacer pblico su desarrollo esperando que la experiencia adquirida sirviera
de enseanza para todos los usuarios. Y aunque probablemente tenga un efecto negativo,
McNamara ha publicado tambin las pautas para crear virus que afecten a los ficheros de Excel.
WinMacro/Concept, tambin conocido como WW6Infector, WBMV-Word Basic Macro Virus
o WWW6 Macro, no es demasiado molesto, ya que al activarse infecta el fichero normal.dot y
slo muestra en pantalla un cuadro de dilogo con el texto 1. Microsoft tiene disponible un
antivirus llamado prank.exe que distribuye gratuitamente entre sus usuarios registrados, pero
que tambin puede encontrarse en numerosas BBS, Internet o Compuserve.
Sin embargo, la evolucin de este tipo de virus sigui su camino y pronto se detectaron dos nuevas
creaciones llamadas WordMacro/Nuclear y WordMacro/Colors. El primero de ellos puede
llegar a introducir un virus tradicional en el sistema o modificar la salida impresa o por fax en
determinados momentos. El WordMacro/Colors, tambin conocido por Rainbow o arco iris,
cambia (cada 300 ejecuciones de la macro) la configuracin de colores de Windows.
De momento la macros conocidas para Word no son capaces de infectar las versiones nacionales
del programa, los usuarios espaoles pueden estar tranquilos ya que los comandos del lenguaje de
macros han sido traducidos al castellano y las macros creadas con versiones en ingls no
funcionan. No obstante, siempre es posible que alguien traduzca el virus o cree uno nuevo. Por
ltimo, aclarar que aunque otros procesadores de texto como WordPerfect o AmiPro son capaces
de leer documentos escritos con Word, en estos casos el virus no entra en accin por lo que no se
corre ningn peligro.
Virus en Internet
En ocasiones se propagan rumores que dan por cierto noticias de dudosa procedencia. Ms o
menos esto es lo que ha sucedido de un tiempo a esta parte con el virus por correo electrnico de
Internet conocido por Good Times. Lgicamente las primeras noticias de esta maligna creacin
aparecieron en la red de redes, en un mensaje alarmante que deca que si algn usuario reciba
un mensaje con el tema Good Times no deba abrirlo o grabarlo si no quera perder todos los
datos de su disco duro. Posteriormente el mensaje recomendaba que se informara a todo el mundo
y se copiara el aviso en otros lugares. En esta ocasin el rumor es totalmente falso, aunque
todava sigue existiendo gente que se lo cree y no es raro encontrar en algn medio
de comunicacin electrnica nuevo reenvos del mensaje original. De hecho, es totalmente inviable
la posibilidad de una infeccin va correo electrnico.

El riesgo de contraer un virus en la Internet es menor que de cualquier otra manera, tanto los
mensajes de correo, como las pgina WEB transfieren datos. Slo si te traes un software por la red
o viene como archivo adjunto en un e-mail y lo instalas en tu ordenador puedes contraer un virus.
Mucho cuidado con los ficheros Word o Excel adjuntos a un e-mail, podran contener virus de
macro.
Qu debemos buscar en un Antivirus?
A la hora de decidirnos por un antivirus, no debemos dejarnos seducir por la propaganda con
mensajes como "detecta y elimina 56.432 virus". Realmente existen miles de virus, pero en
muchsimos casos son mutaciones y familias de otros virus; esto est bien, pero hay que tener en
cuenta que una inmensa mayora de virus no han llegado ni llegaran a nuestro pas.
Por lo que de poco nos sirve un antivirus que detecte y elimine virus muy extendidos en Amrica y
que desconozca los ms difundidos en Espaa. Por tanto, estaremos mejor protegidos por un
software que, de alguna forma, est ms "especializado" en virus que puedan detectarse en
nuestro pas. Por otro lado, hemos de buscar un software que se actualice el mayor numero posible
de veces al ao; puesto que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha
frecuencia, el estar al da es absolutamente vital.
Cmo reaccionar ante una Infeccin?
La prevencin y la instalacin de un buen antivirus son las mejores armas con las que cuenta el
usuario ante el ataque de los virus. Sin embargo, siempre cabe la posibilidad de que en un
descuido se introduzca un inquilino no deseado en el PC. Ante esta situacin lo primero que
debemos hacer es arrancar el ordenador con un disco de sistema totalmente libre de virus.
Posteriormente deberemos pasar un antivirus lo ms actualizado posible, ya que si es antiguo
corremos el riesgo de que no remotoice mutaciones recientes o nuevos virus.
En el disco de sistema limpio incluiremos utilidades como mem.exe, chkdsk.exe, sys.com,
fdisk.exe y todos los controladores para que el teclado funcione correctamente. Si disponemos
de dos o ms antivirus es muy recomendable pasarlos todos para tener mayor seguridad a la hora
de inmunizar el PC.
Si la infeccin se ha producido en el sector de arranque podemos limpiar el virus con la orden sys
c:, siempre y cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la
tabla de particiones podemos ejecutar fdisk /mbr.
Variantes muy relacionadas con los Virus
En ocasiones de habla de estas variantes como si de virus se tratara, cuando en realidad son
conceptualmente diferentes. Algunos antivirus pueden detectarlos.
Troyanos: Todos recordamos el famoso caballo de Troya? Los troyanos construyeron un caballo
gigantesco de madera y lo regalaron a sus enemigos como seal de reconciliacin. Pero dentro del
enorme regalo iban soldados, que de esta manera se metieron dentro de la ciudad para destrozar
todo lo que encontraron a su paso. As pues, un programa de ordenador trojan o troyano es algo
similar. La vctima utiliza este programa para realizar una serie de funciones (editar textos, fotos,
crakear un programa, etc.), pero al mismo tiempo, y sin su conocimiento, el programa realiza una
serie de funciones ocultas (desde instalar un programa de acceso remoto con Back Orifice, hasta
enviar por correo electrnico datos personales, instalar un virus, etc.). Este tipo de programas
tambin puede realizar algo que resulte desastroso para el sistema (formatear el disco duro, borrar
la BIOS del sistema, etc.).
Worms: Son programas que se reproducen transmitindose de un sistema a otro, copindose a si
mismos, y usando las redes informticas para extenderse. Hoy en da con la difusin de Internet, el
correo electrnico es su principal va de transmisin. Generalmente no causan graves daos a los
sistemas, pero pueden colapsar las redes.

Inseguridad Informtica
El 5 de noviembre de 1988 qued sealado para siempre en la historia de la
"inseguridad" informtica. El personal que estaba trabajando en los ordenadores de
la Universidad de Cornell vio sorprendido y asustado como sus computadoras, uno a uno e
irremediablemente, quedaban bloqueados. Estos eran los primeros sntomas de una terrible
epidemia "bloqueante" que atac seguida y rpidamente a las Universidades de Stanford,
California, Princeton, al propio MIT, a la Rand Corporation, a la NASA, hasta un total aproximado
de 6.000 ordenadores, 6.000!, que permanecieron inactivos durante dos o tres das, con un coste
estimado de 96 millones de dlares (ms de 10.000 millones de pesetas). Causa: un simple y nico
gusano "worm", activado slo una vez, resultado de un sencillo trabajo de autoprcticas de Robert
T. Morris, "bienintencionado e inofensivo" estudiante de la Universidad de
Cornell. Eficiencia demostrada. Un solo Worm, 6.000 ordenadores inactivos, 96.000.000 de dlares
de prdidas.
La epidemia vrica ha alcanzado en pocos aos una magnitud escalofriante. Segn el experto
virlogo Vesselin V. Bontchev, nacen cada da 2 o 3 virus.
Las amenazas a la informtica no terminan con los virus. Los "crackers y programadores de
virus" constituyen una potente fuerza de ataque a la seguridad informtica. Personas dotadas de
probados conocimientos, utilizando tecnologas de alto nivel, agrupados en clubes, celebrando
Congresos Internacionales, con seminarios y clases: su nivel de peligrosidad alcanza
altsimos valores.
Fraudes, sabotajes, espionaje comercial e industrial, vandalismo, terrorismo, desastres naturales
como el fuego y el agua, amenazan constantemente a nuestros sistemas de proceso de datos,
convirtiendo a la Seguridad Informtica en un importantsimo objetivo a alcanzar en la empresa,
toda vez que est en peligro su ms preciado tesoro: la informacin.
Por otra parte, las empresas han cambiado su estilo de trabajo, apoyndose y dependiendo
fuertemente del sistema informtico y de las telecomunicaciones. La ofimtica, las Bases de
Datos corporativas o distribuidas, el EDI, el SWIFT, el homebaking, la necesidad de sistemas
y comunicaciones "trusted", los sistemas distribuidos, etc., colocan a la Seguridad Informtica en la
cspide de los objetivos a alcanzar en la empresa.
Si no existe seguridad no hay calidad en la Informacin, si sta no es segura, exacta, precisa y
rabiosamente actual, es decir, si no es de calidad, las operaciones y decisiones sern equivocadas
y si stas son errneas la empresa muere.

Leer ms: http://www.monografias.com/trabajos23/virus-informaticos/virusinformaticos.shtml#formas#ixzz3k7Wd4oCj

Monografas
Nuevas
Publicar
Blogs
Foros
Busqueda avanzada

Buscar

Monografias.com > Computacion > General

Descargar

Imprimir

Comentar

Ver trabajos relacionados


Pgina anterior

Volver al principio del trabajo

Pgina siguiente

Los Virus Informticos (pgina 2)


Enviado por Yesenia

Partes: 1, 2

El virus es un pequeo software (cuanto ms pequeo ms fcil de esparcir y ms


difcil de detectar), que permanece inactivo hasta que un hecho externo hace que
el programa sea ejecutado o el sector de "booteo" sea ledo. De esa forma el
programa del virus es activado y se carga en la memoria de lacomputadora, desde
donde puede esperar un evento que dispare su sistema de destruccin o se replique
a s mismo.
Los ms comunes son los residentes en la memoria que pueden replicarse
fcilmente en los programas del sector de "booteo", menos comunes son los no-

residentes que no permanecen en la memoria despus que el programa-husped es


cerrado.
Los virus se transportan a travs de programas tomados de BBS (Bulletin Boards) o
copias de software no original, infectadas a propsito o accidentalmente. Tambin
cualquier archivo que contenga "ejecutables" o "macros" puede ser portador de un
virus: downloads de programas de lugares inseguros; e-mail con
"attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existen
virus que se distribuyen con MS-Power Point. Los archivos
de datos, texto o Html NO PUEDEN contener virus, aunque pueden ser daados
por estos.
Los virus de sectores de "booteo" se instalan en esos sectores y desde all van
saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden
daar el sector o sobrescribirlo. Lamentablemente obligan al formateo del disco del
drive infectado. Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony
y 3M. (No crean vamos a caer en el chiste fcil de decir que el ms extendido de los
virus de este tipo se llama MS

Clases de Virus
Existen diversos tipos de virus, varan segn su funcin o la manera en que ste se
ejecuta en nuestra computadora alterando la actividad de la misma, entre los ms
comunes estn:
Troyano: que consiste en robar informacin o alterar el sistema del hardware o en
un caso extremo permite que un usuario externo pueda controlar el equipo.
Gusano: tiene la propiedad de duplicarse a s mismo. Los gusanos utilizan las
partes automticas de un sistema operativo que generalmente son invisibles al
usuario.
Bombas Lgicas o de Tiempo: son programas que se activan al producirse un
acontecimiento determinado. La condicin suele ser una fecha (Bombas de
Tiempo), una combinacin de teclas, o ciertas condiciones tcnicas (Bombas
Lgicas). Si no se produce la condicin permanece oculto al usuario.
Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son
mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus
contactos. Suelen apelar a los sentimientos morales ("Ayuda a un nio enfermo de
cncer") o al espritu de solidaridad ("Aviso de un nuevo virus peligrossimo") y, en

cualquier caso, tratan de aprovecharse de la falta de experiencia de los nter nautas


novatos.

Sntomas de Infeccin de virus


a) La velocidad de procesamiento y el rendimiento del equipo se vuelve lenta.
b) Algunos programas no pueden ser ejecutados, principalmente los
archivos COM o los EXE de menor extensin, posiblemente tambin los macro
virus, una vez que hayan cumplido con su efecto reproductor o daino.
El COMMAND.COM es infectado en primer lugar, pero como la funcin del virus
es la de seguir infectando, ste contina operando. Los archivos ejecutables siguen
existiendo pero sus cabeceras ya han sido averiadas y en la mayora de los casos, su
extensin se ha incrementado en un determinado nmero de bytes.
c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus
malogr el COMMAND.COM y se muestra este mensaje: "bad or missing
command interpreter".
d) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus malogr la
Tabla de Particiones o el Master Boot Record y se muestra este mensaje: "invalid
drive especification".
e) Los archivos ejecutables de los gestores de bases de datos como: BASE,
Clipper, FoxPro, etc. estn operativos, sin embargo las estructuras de sus archivos
DBF estn averiadas. Lo mismo puede ocurrir con las hojas de clculo como: Lotus
1-2-3, Q-Pro, Excel, etc., o con el procesador de textos MS-Word, hojas de
clculo de MS-Excel o base de datos de MS-Access (macro virus).
f) La configuracin (set-up) del sistema ha sido alterado y es imposible
reprogramarlo. Virus como : ExeBug, CMOS-Killer o Anti-CMOS producen un
bloqueo en la memoria conexa de 64 bytes del CMOS.
g) El sistema empieza a "congelarse". Puede tratarse de un virus con instrucciones
de provocar "reseteos" aleatorios a los archivos del sistema, tales como: el
COMMAND.COM, los "hidden files" o el CONFIG.SYS que han sido infectados.
h) Ciertos perifricos tales como: la impresora, mdem, tarjeta de sonido, etc., no
funcionan o tienen un raro comportamiento. Se trata de un virus que reprograma el
chip "PPI" (Programmable Peripheral Interfase).

i) La pantalla muestra smbolos ASCII muy raros comnmente conocidos como


"basura", se escuchan sonidos intermitentes, se producen bloqueos de ciertas teclas
o se activan los leds de los drives.
j) Las letras de los textos empiezan a caerse. Este es un efecto impresionante del
virus alemn "CASCADA".
k) La memoria RAM decrece. El sistema se vuelve muy lento.
l) Los archivos de documento .DOC o las macros empiezan a corromperse y no
funcionan.

Funcin de los Virus


Los virus informticos estn hechos en Assembler, un lenguaje de programacin de
bajo nivel. Las instrucciones compiladas por Assembler trabajan directamente
sobre el hardware, esto significa que no es necesario ningn software intermedio
segn el esquema de capas entre usuario y hardware- para correr un programa en
Assembler (opuesto a la necesidad de Visual Basic de que Windows 9x lo secunde).
No solo vamos a poder realizar las cosas tpicas de un lenguaje de alto nivel, sino
que tambin vamos a tener control de cmo se hacen. Para dar una idea de lo
poderoso que puede ser este lenguaje, el sistema operativo Unix est programado
en C y las rutinas que necesitan tener mayor profundidad para el control del
hardware estn hechas en Assembler. Por ejemplo: los drivers que se encargan de
manejar los dispositivos y algunas rutinas referidas al control de procesos en
memoria.
Sabiendo esto, el virus puede tener control total de la mquina -al igual que lo hace
el SO- si logra cargarse antes que nadie. La necesidad de tener que "asociarse" a
una entidad ejecutable viene de que, como cualquier otro programa de
computadora, necesita ser ejecutado y teniendo en cuenta que ningn usuario en su
sano juicio lo har, se vale de otros mtodos furtivos. Ahora que marcamos la
importancia para un virus el ser ejecutado, podemos decir que un virus puede
encontrarse en una computadora sin haber infectado realmente algo. Es el caso de
personas que pueden coleccionar virus en archivos comprimidos o encriptados.
Normalmente este tipo de programas se pega a alguna entidad ejecutable que le
facilitar la subida a memoria principal y la posterior ejecucin (mtodos de
infeccin). Como entidades ejecutables podemos reconocer a los sectores de
arranque de los discos de almacenamiento magnticos, ptico o magneto-pticos
(MBR, BR), los archivos ejecutables de DOSs (.exe, .com, entre otros), las libreras
o mdulos de programas (.dll, .lib, .ovl, .bin, .ovr). Los sectores de arranque son

fundamentales para garantizar que el virus ser cargado cada vez que se
encienda la computadora.
Segn la secuencia de booteo de las PCs, el microprocesador tiene seteada de
fbrica la direccin de donde puede obtener la primera instruccin a ejecutar. Esta
direccin apunta a una celda de la memoria ROM donde se encuentra la subrutina
POST (Power On Self Test), encargada de varias verificaciones y de comparar
el registro de la memoria CMOS con el hardware instalado (funcin checksum). En
este punto sera imposible que el virus logre cargarse ya que la memoria ROM
viene grabada de fbrica y no puede modificarse (hoy en da las memorias FlashROM podran contradecir esto ltimo).
Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada
"bootstrap ROM" que copia el MBR (Master Boot Record) en memoria RAM. El
MBR contiene la informacin de la tabla de particiones, para conocer las
delimitaciones de cada particin, su tamao y cul es la particin activa desde
donde se cargar el SO. Vemos que en este punto el procesador empieza a ejecutar
de la memoria RAM, dando la posibilidad a que un virus tome partida. Hasta ac el
SO todava no fue cargado y en consecuencia tampoco el antivirus. El accionar
tpico del virus sera copiar el MBR en un sector alternativo y tomar su posicin.
As, cada vez que se inicie el sistema el virus lograr cargarse antes que el SO y
luego, respetando su deseo por permanecer oculto har ejecutar las instrucciones
del MBR.

Como detectar infecciones virales

Cambio de longitud en archivos.

Modificacin de la fecha original de los archivos.

Aparicin de archivos o directorios extraos.

Dificultad para arrancar el PC o no conseguir inicializarlo.

El PC se "re-bootea" frecuentemente

Bloqueo del teclado.

El PC no reconoce el disco duro.

Ralentizacin en la velocidad de ejecucin de los programas.

Archivos que se ejecutan mal.

El PC no reconoce las disqueteras.

Se borran archivos inexplicablemente.

Aparecen nuevas macros en documentos de Word.

La opcin "ver macros" se desactiva.

Pide passwords no configurados por el usuario.

Como actan un virus y medios de llegada el sistema


Un virus puede llegar a nuestro ordenador de varias maneras: o bien a travs de un
disco (disquete, CD-ROM, DVD, Tape Backup), o bien a travs de
lared (principlamente Internet). Los que nos llegan por Internet, sin embargo,
tienen un mayor potencial de contagio a otros usuarios, ya que algunos pueden
autoenviarse a todas las direcciones de nuestra agenda, por ejemplo.
Una vez en nuestro PC, lo primero que hace un virus es autocopiarse en l. Muchas
veces no solo se copia en un sitio, sino que se reparte en diversas carpetas con el fin
de sobrevivir el mayor tiempo posible en nuestro sistema.
Una vez "seguro", generalmente escribir en el registro de Windows (que es el
archivo donde est contenida toda la informacin de nuestro sistema, tanto de
software como de hardware, y que el ordenador lee cada vez que se inicia). Y
porqu hace esto? Muy sencillo: de esta forma, cuando volvamos a encender el
ordenador, tomar el control de nuestro sistema, generalmente sin que nos demos
cuenta al principio, y actur segn le interese: borrando informacin, mostrando
mensajes, etc.
Otra manera de actuar es la de sobreescribir el sector de arranque de nuestro disco
duro. El resultado viene a ser el mismo que el mencionado anteriormente, aunque
tambin es posible que de esta forma nuestro PC ni siquiera arranque, con lo cual el
formateo ser prcticamente necesario. Por supuesto, si tenemos datos
importantes que recuperar tenemos la solucin de arrancar con un disco de inicio,
e intentar una recuperacin manual.
Los ms peligrosos actan sobre la CMOS de nuestra placa base (motherboard),
sobreescribindola. La CMOS controla nuestra BIOS: datos del reloj, de nuestras
unidades, perifricos, etc. En estos casos es frecuente, incluso, el tener que cambiar
la placa base.

Ciclo de vida de un VirusEl ciclo de vida de un virus empieza cuando se crea y


acaba cuando es completamente erradicado. A continuacin describimos cada una
de las fases: CreacinHasta hace poco tiempo, la creacin de un virus requera
el conocimiento de lenguajes de programacin avanzados. Hoy cualquiera con
simples conocimientos de programacin bsica puede crear un virus. Tpicamente
son individuos con afn de protagonismo los que crean los virus, con el fin de
extender al azar el efecto nocivo de su creacin. RplicaLos virus no suelen
ser activos en el momento de su creacin, sino que poseen un tiempo de espera
(incubacin), lo que les permite extenderse ampliamente antes de ser
detectados. ActivacinLos virus con rutinas dainas se activan cuando se dan
ciertas condiciones, por ejemplo, en una determinada fecha o cuando el usuario
infectado realiza unaaccin particular. Los virus sin rutinas dainas no tienen
activacin, causando de por si el dao, como la ocupacin del espacio de
almacenaje.DescubrimientoEsta fase no siempre sigue a la activacin. Cuando se
detecta un virus, este se asla y se enva al ICSA en Washington, D.C., para ser
documentado y distribuido a los fabricante de software antivirus. El
descubrimiento suele realizarse antes de que el virus pueda convertirse en una
amenaza para la comunidad informtica.
AsimilacinEn este punto, los fabricantes de software antivirus modifican este
para que pueda detectar el nuevo virus. Este proceso puede durar de un da a seis
meses, dependiendo del fabricante y el tipo del virus. ErradicacinSi multitud de
usuarios instalan un software de proteccin actualizado, cualquier virus puede
eliminarse definitivamente. Aunque hasta ahora ningn virus ha desaparecido por
completo, algunos hace tiempo que han dejado de ser una amenaza.
Ventajas: Una LAN da la posibilidad de que los PC's compartan entre ellos
programas, informacin, recursos entre otros. La mquina conectada (PC) cambian
continuamente, as que permite que sea innovador este proceso y que se
incremente sus recursos y capacidades.

Tcnicas de prevencin
Copias de seguridad

Realice copias de seguridad de sus datos. stas pueden realizarlas en el


soporte que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en
un lugar diferente del ordenador y protegido de campos magnticos, calor,
polvo y personas no autorizadas.

Copias de programas originales

No instale los programas desde los disquetes originales. Haga copia de los
discos y utilcelos para realizar las instalaciones.
No acepte copias de origen dudoso
Evite utilizar copias de origen dudoso, la mayora de las infecciones
provocadas por virus se deben a discos de origen desconocido.
Utilice contraseas
Ponga una clave de acceso a su computadora para que slo usted pueda
acceder a ella.

Cmo protegerse de los virus informticos


Los Virus informticos se han convertido en una continua pesadilla, especialmente,
para los usuarios del correo electrnico. Para su informacin, seguidamente
listamos una serie de normas bsicas que le ayudarn a protegerse de los virus
informticos:

Instale en su computador un software Antivirus confiable (ver lista de


opciones en la siguiente seccin).

Para su informacin, seguidamente listamos una serie de normas bsicas


que le ayudarn a protegerse de los virus informticos:

Instale en su computador un software Antivirus confiable (ver lista de


opciones en la siguiente seccin).

Actualice con frecuencia su software Antivirus (mnimo dos veces al mes).

Analice con un software Antivirus actualizado, cualquier correo


electrnico antes de abrirlo, as conozca usted al remitente.

Analice siempre con un software Antivirus los archivos en disquete o CdRom antes de abrirlos o copiarlos a su computador.

No descargue, ni mucho menos ejecute, archivos adjuntos (attachement) a


un mensaje de correo electrnico sin antes verificar con la persona que
supuestamente envi el mensaje, si efectivamente lo hizo.

Tenga cuidado con los mensajes alusivos a situaciones erticas (versin


ertica del cuento de Blancanieves y los Siete Enanitos, fotos de mujeres
desnudas, fotos de artistas o deportistas famosos, etc.).

Nunca abra archivos adjuntos a un mensaje de correo electrnico cuya


extensin [6] sea ".exe", ".vbs", ".pif", ".bat" o ".bak".

Cercirese que el archivo adjunto no tenga doble extensin. Por ejemplo:


"NombreArchivo.php.exe".

Evite el intercambio por correo electrnico de archivos


con chistes, imgenes o fotografas.

Antivirus
Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar
y eliminar virus informticos.
Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e
Internet, los antivirus han evolucionado hacia programas ms avanzados que no
slo buscan detectar un Virus informticos, sino bloquearlo, desinfectar y prevenir
una infeccin de los mismos, as como actualmente ya son capaces de reconocer
otros tipos de malware, como spyware, rootkits, etc.
El funcionamiento de un antivirus vara de uno a otro, aunque su
comportamiento normal se basa en contar con una lista de virus conocidos y su
formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista
los archivos almacenados o transmitidos desde y hacia un ordenador.
Adicionalmente, muchos de los antivirus actuales han incorporado funciones de
deteccin proactiva, que no se basan en una lista de malware conocido, sino que
analizan el comportamiento de los archivos o comunicaciones para detectar cules
son potencialmente dainas para el ordenador, con tcnicas como Heurstica,
HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria
que se encarga de analizar y verificar todos los archivos abiertos, creados,
modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el
ordenador est en uso.
Asimismo, cuentan con un componente de anlisis bajo demando (los conocidos
scanners, exploradores, etc), y mdulos de proteccin de correo electrnico,
Internet, etc.

Antivirus populares

Kaspersky Anti-virus.

Panda Security.

Norton antivirus.

McAfee.

avast! y avast! Home

AVG Anti-Virus y AVG Anti-Virus Free.

BitDefender.

F-Prot.

F-Secure.

NOD32.

PC-cillin.

ZoneAlarm AntiVirus.

Tipos de antivirus
Cortafuegos (Firewall)
Programa que funciona como muro de defensa, bloqueando el acceso a un sistema
en particular. Se utilizan principalmente en computadoras con conexin a una red,
fundamentalmente Internet. El programa controla todo el trfico de entrada y
salida, bloqueando cualquier actividad sospechosa e informando adecuadamente
de cada suceso.
Antiespas (Antispyware)
Aplicacin que busca, detecta y elimina programas espas (spyware) que se instalan
ocultamente en el ordenador.
Los antiespas pueden instalarse de manera separada o integrado con paquete de
seguridad (que incluye antivirus, cortafuegos, etc).

Antipop-ups
Utilidad que se encarga de detectar y evitar que se ejecuten las ventanas pop-ups
cuando navegas por la web. Muchas veces los pop-ups apuntan a contenidos
pornogrficos o pginas infectadas.
Algunos navegadores web como Mozilla Firefox o Internet Explorer 7 cuentan con
un sistema antipop-up integrado.
Antispam
Aplicacin o herramienta que detecta y elimina el spam y los correos no deseados
que circulan va email.
Funcionan mediante filtros de correo que permiten detectar los emails no
deseados. Estos filtros son totalmente personalizables.
Adems utilizan listas de correos amigos y enemigos, para bloquear de forma
definitiva alguna casilla en particular.
Algunos sistemas de correo electrnico como Gmail, Hotmail y Yahoo implementan
sistemas antispam en sus versiones web, brindando una gran herramienta en la
lucha contra el correo basura.

Leer ms:http://www.monografias.com/trabajos77/virus-informaticos/virusinformaticos2.shtml#ixzz3k7WqWCG3

Nuevas tcnicas
Los virus y dems amenazas evolucionan constantemente hacia nuevos formatos y
tcnicas que multiplican el riesgo de infeccin para los usuarios. Estos son los virus y
amenazas que han destacado recientemente por marcar un hitotecnolgico:

SWF/LMF-926, primer virus en infectar ficheros con extensin SWF (Shockwave


Flash).
Donut, pionero en estar diseado para infectar ficheros de la plataforma .NET de
Microsoft.
Dadinu, primer gusano de correo electrnico en afectar a los ficheros con extensin
CLP .
Kazoa, diseado para propagarse utilizando la popular aplicacin para intercambio
de ficheros KaZaa.

Estos son otros ejemplos que destacan por el ingenio de sus creadores:

Freedesktop, que tiene la apariencia de una direccin Web, oculto en un fichero de


nombre www.freedesktopthemes.com. Mediante este disfraz intenta hacer creer al usuario que,
si pincha en el citado fichero, conseguir fondos para el Escritorio de Windows. Sin embargo, al
hacerlo, Freedesktop se enva a todos los contactos que encuentra en la Libreta de direcciones.

WorldCup (Chick.F) utiliza como seuelo el Mundial de Ftbol de Corea y Japn


2002, hacindose pasar por un fichero con los resultados del mismo.

Gibe se enva en un mensaje de correo como si se tratara de


una actualizacin proporcionada por Microsoft para resolver varias vulnerabilidades.

Petlil.A se enva en un mensaje de correo electrnico cuyo texto atrae la atencin


del receptor utilizando como reclamo una fotografa de carcter ertico.

Kazoa emplea como reclamo los nombres de conocidos juegos de ordenador,


pelculas o ficheros de msica.

Clasificacin de los Virus Informticos


Tipos de Virus Informticos segn su destino de infeccin
Infectores de archivos ejecutables

o Afectan archivos de extensin EXE, COM, BAT, SYS, PIF, DLL, DRV
o Infectores directos
El programa infectado tiene que estar ejecutndose para que el virus pueda
funcionar (seguir infectando y ejecutar sus acciones destructivas)
Infectores del sector de arranque (boot)
Tanto los discos rgidos como los disquetes contienen un Sector de Arranque, el
cual contiene informacin especfica relativa al formato del disco y los datos
almacenados en l. Adems, contiene un pequeo programa llamado Boot
Program que se ejecuta al bootear desde ese disco y que se encarga de buscar y
ejecutar en el disco los archivos del sistema operativo. Este programa es el que
muestra el famoso mensaje de "Non-system Disk or Disk Error" en caso de no
encontrar los archivos del sistema operativo. Este es el programa afectado por los
virus de sector de arranque. La computadora se infecta con un virus de sector de
arranque al intentar bootear desde un disquete infectado. En este momento el
virus se ejecuta e infecta el sector de arranque del disco rgido, infectando luego
cada disquete utilizado en el PC. Es importante destacar que como cada disco
posee un sector de arranque, es posible infectar el PC con un disquete que
contenga solo datos.....

Virus Multi Particin


Bajo este nombre se engloban los virus que utilizan los dos mtodos anteriores.
Es decir, pueden simultneamente infectar archivos, sectores boot de arranque y
tablas FAT.
Infectores residentes en memoria
El programa infectado no necesita estar ejecutndose, el virus se aloja en la
memoria y permanece residente infectando cada nuevo programa ejecutado y
ejecutando su rutina de destruccin
Macrovirus
Son los virus mas populares de la actualidad. No se transmiten a travs de
archivos ejecutables, sino a travs de los documentos de las aplicaciones que
poseen algn tipo de lenguaje de macros. Entre ellas encontramos todas las
pertenecientes al paquete Office (Word, Excel, Power Point, Access) y tambin el
Corel Draw, o AutoCAD.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma el
control y se copia a la plantilla base de nuevos documentos, de forma que sean
infectados todos los archivos que se abran o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy
poderosos y poseen capacidades como para cambiar la configuracin del sistema
operativo, borrar archivos, enviar e-mails, etc.
De Actives Agents y Java Applets
En 1997, aparecen los Java applets y Actives controls. Estos pequeos programas
se graban en el disco rgido del usuario cuando est conectado a Internet y se
ejecutan cuando la pgina web sobre la que se navega lo requiere, siendo una
forma de ejecutar rutinas sin tener que consumir ancho de banda. Los virus
desarrollados con Java applets y Actives controls acceden al disco rgido a travs
de una conexin www de manera que el usuario no los detecta. Se pueden
programar para que borren o corrompan archivos, controlen la memoria, enven
informacin a un sitio web, etc.
De HTML
Un mecanismo de infeccin ms eficiente que el de los Java applets y Actives
controls apareci a fines de 1998 con los virus que incluyen su cdigo en archivos
HTML. Con solo conectarse a Internet, cualquier archivo HTML de una pgina web
puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual
Basic Script. Atacan a usuarios de Win98, 2000 y de las ltimas versiones de
Explorer. Esto se debe a que necesitan que el Windows Scripting Host se
encuentre activo. Potencialmente pueden borrar o corromper archivos.
Caballos de Troya
Los troyanos son programas que imitan programas tiles o ejecutan algn tipo de
accin aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el
cdigo daino.
Los troyanos no cumplen con la funcin de autorreproduccin, sino que

generalmente son diseados de forma que por su contenido sea el mismo usuario
el encargado de realizar la tarea de difusin del virus. (Generalmente son
enviados por e-mail)

Tipos de Virus Informticos segn sus acciones y/o modo de


activacin
Bombas
Se denominan as a los virus que ejecutan su accin daina como si fuesen una
bomba. Esto significa que se activan segundos despus de verse el sistema
infectado o despus de un cierto tiempo (bombas de tiempo) o al comprobarse
cierto tipo de condicin lgica del equipo. (bombas lgicas). Ejemplos de bombas
de tiempo son los virus que se activan en una determinada fecha u hora
determinada. Ejemplos de bombas lgicas son los virus que se activan cuando al
disco rgido solo le queda el 10% sin uso, una secuencia de teclas o comandos,
etc. Ejemplos de este tipo de programas son virus como Viernes 13 o el virus
Miguel Angel
Camaleones
Son una variedad de virus similares a los caballos de Troya que actan como otros
programas parecidos, en los que el usuario confa, mientras que en realidad estn
haciendo algn tipo de dao. Cuando estn correctamente programados, los
camaleones pueden realizar todas las funciones de los programas legtimos a los
que sustituyen (actan como programas de demostracin de productos, los cuales
son simulaciones de programas reales).
Un software camalen podra, por ejemplo, emular un programa de acceso a
sistemas remotos realizando todas las acciones que ellos realizan, pero como
tarea adicional (y oculta a los usuarios) va almacenando en algn archivo los
diferentes logins y password para que posteriormente puedan ser recuperados y
utilizados ilegalmente por el creador del virus camalen.
Reproductores
Los reproductores (tambin conocidos como conejos-rabbits) se reproducen en
forma constante una vez que son ejecutados hasta agotar totalmente (con su
descendencia) el espacio de disco o memoria del sistema.
La nica funcin de este tipo de virus es crear clones y lanzarlos a ejecutar para
que ellos hagan lo mismo. El propsito es agotar los recursos del sistema,
especialmente en un entorno multiusuario interconectado, hasta el punto que el
sistema principal no puede continuar con el procesamiento normal.
Gusanos (Worms)
Los gusanos utilizan las redes de comunicaciones para expandirse de sistema en
sistema. Es decir, una vez que un gusano entra a un sistema examina las tablas
de ruta, correo u otra informacin sobre otros sistemas, a fin de copiarse en todos

aquellos sistemas sobre los cuales encontr informacin. Este mtodo de


propagacin presenta un crecimiento exponencial con lo que puede infectar en
muy corto tiempo a una red completa.
Existen bsicamente 3 mtodos de propagacin en los gusanos:
1 - Correo electrnico - El gusano enva una copia de s mismo a todos los
usuarios que aparecen en las libretas de direcciones que encuentra en el
ordenador dnde se ha instalado.
2 - Mecanismos basados en RPC (Remote Procedure Call) - El gusano
ejecuta una copia de s mismo en todos los sistemas que aparecen en la
tabla de rutas(rcopy y rexecute).
3 - Mecanismos basados en RLOGIN - El gusano se conecta como usuario
en otros sistemas y una vez en ellos, se copia y ejecuta de un sistema a otro.
Backdoors
Son tambin conocidos como herramientas de administracin remotas ocultas.
Son programas que permiten controlar remotamente el PC infectado.
Generalmente son distribuidos como troyanos.
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al
cual monitorea sin ningn tipo de mensaje o consulta al usuario. Incluso no se le
v en la lista de programas activos. Los Backdoors permiten al autor tomar total
control del PC infectado y de esta forma enviar, recibir archivos, borrar o
modificarlos, mostrarle mensajes al usuario, etc....

Tcnicas de programacin
Apoyados en la capacidad de evolucin dada por sus programadores, los nuevos
virus nacen con el conocimiento de las tcnicas utilizadas por las herramientas
antivirus actuales y sabiendo cuales son sus puntos dbiles. En base a ello utilizan
tcnicas cada vez ms complejas para ocultarse y evitar ser detectados. Algunos
de los mtodos de ocultacin ms utilizados son los siguientes:

Stealth (Ocultamiento)
El ocultamiento o stealth consiste en esconder los signos visibles de la
infeccin que puedan delatar la presencia del virus en el sistema. Se
trata de evitar todos los sntomas que indican la presencia de un virus.
El signo fundamental de infeccin es no obstante la modificacin del
fichero infectado. Una tcnica de camuflaje usada por un virus residente
puede ser la siguiente:

- Interceptar el servicio de lectura de ficheros.


- Cuando un programa desea analizar un fichero infectado, se le
devuelve el contenido original del mismo antes de la infeccin.
Tunneling (Sobrepasamiento)
El sobrepasamiento o tunneling consiste en acceder directamente a los
servicios del sistema a travs de sus direcciones originales, sin pasar por
el control de otros programas residentes, incluyendo el propio sistema
operativo o cualquier buscador o vacuna residente.
Requiere una programacin compleja, hay que colocar el procesador en
modo paso a paso. En este modo de funcionamiento, tras ejecutarse
cada instruccin se produce la interrupcin 1. Se coloca una ISR
(Interrupt Service Routine) para dicha interrupcin y se ejecutan
instrucciones comprobando cada vez si se ha llegado a donde se quera
hasta recorrer toda la cadena de ISRs que halla colocando el parche al
final de la cadena.
Armouring o antidebuggers
Un debugger es un programa que permite descompilar programas
ejecutables y mostrar parte de su cdigo en lenguaje original. Algunos
virus utilizan diversas tcnicas para evitar ser desensamblados y as
impedir su anlisis para la fabricacin del antivirus correspondiente.
Polimorfismo o automutacin
Es una tcnica que consiste en cambiar el mtodo de encriptacin de
generacin en generacin, es decir, que entre distintos ejemplares del
mismo virus no existen coincidencias ni siquiera en la parte del virus que
se encarga del descifrado del resto del virus. Esto obliga a los antivirus a
usar tcnicas heursticas ya que como el virus cambia en cada infeccin
es imposible localizarlo buscndolo por cadenas de cdigo. Esto se
consigue utilizando un algoritmo de encriptacin que pone las cosas muy
difciles a los antivirus. No obstante no se puede codificar todo el cdigo
del virus, siempre debe quedar una parte sin mutar que toma el control y
esa es la parte ms vulnerable al antivirus.
La forma ms utilizada para la codificacin es la operacin lgica XOR.
Esto es debido que esta operacin es reversible
7 XOR 9 = 14
14 XOR 9 = 7
En este caso la clave es el nmero 9, pero utilizando una clave distinta
en cada infeccin se obtiene una codificacin tambin distinta.

Otra forma tambin muy utilizada consiste en sumar un numero fijo a


cada byte del cdigo vrico.
TSR
Los programas residentes en memoria (TSR) permanecen alojados en
esta durante toda su ejecucin.
Los virus utilizan esta tcnica para mantener el control sobre todas las
actividades del sistema y contaminar todo lo que encuentren a su paso.
El virus permanece en memoria mientras la computadora permanezca
encendido. Por eso una de las primeras cosas que hace al llegar a la
memoria es contaminar los archivos de arranque del sistema para
asegurarse de que cuando se vuelva a arrancar la computadora volver
a ser cargado en memoria.

n 1949, el matemtico estadounidense de origen hngaro John von Neumann, en


el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), plante la
posibilidad terica de que un programa informtico se reprodujera.
Esta teora se comprob experimentalmente en la dcada de 1950 en los
Laboratorios Bell, donde se desarroll un juego llamado Core Wars en el que los
jugadores creaban minsculos programas informticos que atacaban y borraban el
sistema del oponente e intentaban propagarse a travs de l.
En 1983, el ingeniero elctrico estadounidense Fred Cohen, que entonces era
estudiante universitario, acu el trmino de "virus" para describir un programa
informtico que se reproduce a s mismo.
En 1985 aparecieron los primeros caballos de Troya, disfrazados como un
programa de mejora de grficos llamado EGABTR y un juego llamado NUKE-LA.
Pronto les sigui un sinnmero de virus cada vez ms complejos.
El virus llamado Brain apareci en 1986, y en 1987 se haba extendido por todo el
mundo.
En 1988 aparecieron dos nuevos virus: Stone, el primer virus de sector de
arranque inicial, y el gusano de Internet, que cruz Estados Unidos de un da para
otro a travs de una red informtica.
El virus Dark Avenger, el primer infector rpido, apareci en 1989, seguido por el
primer virus polimrfico en 1990.
En 1995 se cre el primer virus de lenguaje de macros, WinWord Concept.
Actualmente, con la adopcin de Internet en todas la universidades, empresas, y
en muchos hogares, el contagio por virus comienza a ser algo muy habitual. Con
la consecuencia que la mayora de los virus que se transmiten hoy en da son

gusanos que a su vez llevan algn virus de otro tipo, y que gracias al correo
electrnico se propagan fcilmente por Internet.

Tcticas antivricas
En primer lugar hay que comentar las formas ms comunes de propagacin de los
virus:

Disquetes u otro medio de almacenamiento removible.


Software pirata en disquetes o CDs.
Redes de computadoras.
Mensajes de correo electrnico.
Software bajado de Internet.
Discos de demostracin y pruebas gratuitos.
Y en segundo lugar, comentar los sntomas ms usuales que nos indican la
presencia de un virus:

Reduccin del espacio libre en la memoria o disco duro. Un virus, cuando


entra en un ordenador, debe situarse obligatoriamente en la memoria RAM ,
y por ello ocupa una porcin de ella. Por tanto, el tamao til operativo de la
memoria se reduce en la misma cuanta que tiene el cdigo del virus.

Aparicin de programas residentes en memoria desconocidos.


Fallos en la ejecucin de los programas.
Frecuentes cadas del sistema operativo.
Tiempos de carga mayores.
Aparicin de mensajes de error no comunes.
Las operaciones rutinarias se realizan con mas lentitud.

Actividad y comportamientos inusuales de la pantalla. Muchos de los virus


eligen el sistema de vdeo para notificar al usuario su presencia en el
ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta
nos puede notificar la presencia de un virus.

El disco duro aparece con sectores en mal estado. Algunos virus usan
sectores del disco para camuflarse, lo que hace que aparezcan como
daados o inoperativos.

Cambios en las caractersticas de los ficheros ejecutables. Casi todos los


virus de fichero, aumentan el tamao de un fichero ejecutable cuando lo
infectan. Tambin puede pasar, si el virus no ha sido programado por un
experto, que cambien la fecha del fichero a la fecha de infeccin.

Aparicin de anomalas en el teclado. Existen algunos virus que definen


ciertas teclas que al ser pulsadas, realizan acciones perniciosas en el
ordenador. Tambin suele ser comn el cambio de la configuracin de las
teclas, por la del pas donde se programo el virus.
Preparacin y prevencin
Los usuarios pueden prepararse frente a una infeccin viral creando
regularmente copias de seguridad del software original legtimo y de los ficheros
de datos, para poder recuperar el sistema informtico en caso necesario. Hoy en
da casi todo el mundo posee una grabadora de CD's, por lo que hacerse una
copia de seguridad del software del sistema operativo es muy sencillo y barato,
adems al no poder volverse a escribir en el disco, ningn virus podr
sobrescribir en l. Las infecciones virales pueden prevenirse obteniendo los
programas de fuentes legtimas, empleando una computadora en cuarentena
para probar los nuevos programas y protegiendo contra escritura los discos
flexibles siempre que sea posible.
Deteccin de virus
Para detectar la presencia de un virus pueden emplearse varios tipos de
programas antivricos. Los programas de rastreo pueden reconocer las
caractersticas del cdigo informtico de un virus y buscar estas caractersticas
en los ficheros del ordenador. Como los nuevos virus tienen que ser analizados
cuando aparecen, los programas de rastreo deben ser actualizados
peridicamente para resultar eficaces. Algunos programas de rastreo buscan
caractersticas habituales de los programas virales; suelen ser menos fiables.
Los nicos programas que detectan todos los virus son los de comprobacin de
suma, que emplean clculos matemticos para comparar el estado de los
programas ejecutables antes y despus de ejecutarse. Si la suma de

comprobacin no cambia, el sistema no est infectado. Los programas de


comprobacin de suma, sin embargo, slo pueden detectar una infeccin
despus de que se produzca.
Los programas de vigilancia detectan actividades potencialmente nocivas, como
la sobrescritura de ficheros informticos o el formateo del disco duro de la
computadora. Los programas caparazones de integridad establecen capas por
las que debe pasar cualquier orden de ejecucin de un programa. Dentro del
caparazn de integridad se efecta automticamente una comprobacin de
suma, y si se detectan programas infectados no se permite que se ejecuten.
Contencin y recuperacin
Una vez detectada una infeccin viral, sta puede contenerse aislando
inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros y
empleando slo discos protegidos contra escritura. Para que un sistema
informtico se recupere de una infeccin viral, primero hay que eliminar el virus.
Algunos programas antivirus intentan eliminar los virus detectados, pero a veces
los resultados no son satisfactorios. Se obtienen resultados ms fiables
desconectando la computadora infectada, arrancndola de nuevo desde un disco
flexible protegido contra escritura, borrando los ficheros infectados y
sustituyndolos por copias de seguridad de ficheros legtimos y borrando los virus
que pueda haber en el sector de arranque inicial.

Los virus en Internet


El gran crecimiento que ha tenido Internet en estos ltimos aos ha hecho que
ste sea uno de los medios de propagacin de virus ms habitual. Generalmente,
se piensa que el peligro de Internet consiste en que se introduzca un virus en el
sistema conectado a la red, y efectivamente se contagie un PC o un servidor; pero
no es as, la mayor parte de los peligros que acechan a los internautas se
disfrazan como Caballos de Troya, los cuales pueden robar informacin privada
del usuario infectado.
Hay muy diversas formas de contagio a travs de Internet. Muchas pginas de
Internet permiten la descarga de programas y archivos a los ordenadores de los
internautas, con la posibilidad de que estos archivos estn infectados con virus.
Tambin gracias a Internet es posible intercambiar informacin y conversar en
tiempo real sobre temas muy diversos mediante los grupos de noticias y los chats,
respectivamente.

Los grupos de noticias o news, como no, son listas de correo y usan su propio
sistema de transmisin por Internet (NNTP).
Ambos sistemas, adems de permitir la comunicacin con otras personas, tambin
facilitan la transferencia de archivos. Aqu es donde hay que tener especial
cuidado y aceptar slo lo que llegue de un remitente conocido y de confianza.
Pero el correo electrnico es el medio de transmisin preferido por los virus, por lo
que hay que tener especial cuidado en su utilizacin.
Cualquier correo recibido puede contener virus aunque no lleve un fichero adjunto
(attachment). Adems, en el caso que lo llevase no es necesario ejecutar el
archivo adjunto de un mensaje de correo para ser infectado; en algunos sistemas
basta nicamente con abrir el mensaje, o visualizarlo mediante la vista previa.
Para prevenir esto, lo mejor es escnear mediante un buen antivirus, siempre
actualizado, todos los mensajes recibidos, incluso los que provengan de alguien
conocido, ya que muchos virus utilizan las libretas de direcciones de algunos
programas de correo para extenderse por toda la red, sin que el usuario de esa
libreta se de cuenta. Un indicativo de posible virus es la existencia en el asunto del
mensaje de palabras en un idioma diferente al utilizado normalmente por el
remitente.
ltimamente, con motivo de las Navidades empiezan a circular e-mails y
pequeas aplicaciones grficas en forma de felicitaciones de Pascua o del nuevo
ao que, tras un inocente aspecto, pueden contener virus que aprovechan stos
das para infectar los equipos de los usuarios desprevenidos. A pesar de no
tratarse de una artimaa novedosa, lo cierto es que todos los aos hay usuarios
que caen en las "triquiuelas" de cdigos maliciosos "camuflados" en e-mails con
textos llenos de buenos deseos. Un claro ejemplo lo constituye el gusano
Win32/SKA, ms conocido como Happy99, que intenta engaar al usuario
hacindole creer que el mensaje que ha recibido es una felicitacin por el nuevo
ao. Otros ejemplos de la amenaza encubierta a la que nos referimos son los virus
W32/Navidad.B, VBS/HappyTime, y el descubierto recientemente W32/Reezak.A
que es un gusano que utiliza como reclamo una felicitacin navidea, por lo que
en Navidades puede llegar a provocar muchas incidencias entre todos los
usuarios. Este gusano llega incluido en un fichero denominado Christmas.exe
adjunto a un mensaje de correo electrnico en cuyo asunto de mensaje se indica
un "Feliz ao nuevo".
Por ltimo, tambin debe tenerse en cuenta que es recomendable tener cuidado al
navegar por pginas web de autora dudosa o cuyos contenidos no inspiren
confianza, ya que suelen ser aprovechadas para instalar cdigos maliciosos -casi
siempre troyanos-, en el ordenador de las personas que las visitan. Son los virus
HTML. Estos virus han causado un cierto temor ante la posibilidad de contagio por
el mero hecho de navegar por Internet y acceder a una pgina Web en la que se
encuentre uno de estos virus en HTML.

Realmente, estos virus son muy similares a los virus de Macro de Word, ya que
estn construidos en un lenguaje muy similar -en el caso de los virus HTML estn
desarrollados en Visual Script- y tienen las mismas caractersticas de replicacin
que los de macro.
Pero las posibilidades reales de infectarse navegando son limitadas. Estos virus
nicamente podran contagiar a los ficheros HTML que estn en el mismo
ordenador, nunca a un ordenador remoto. Aqu hay que comentar la Navegacin
OFF-LINE, que consiste en dejar un ordenador bajndose informacin y
guardndola en cach, para que en un determinado momento los usuarios puedan
ir viendo las pginas web en local, con el consiguiente ahorro de tiempo en las
conexiones. Al estar todas las pginas en local, si una de ellas tuviera un virus
HTML, podra infectar a las dems.
En numerosas ocasiones, los programas de correo electrnico se ven obligados a
enviar los mensajes en formato HTML para permitir su lectura en otros sistemas
que utilizan formatos de texto no compatibles con los del programa que los
gener. Al tener una pgina HTML en el ordenador, puede resultar infectada, con
el consiguiente peligro de reenviar una infeccin tras leer el correo electrnico.

W32/SirCam
Nombre: W32/SirCam
Alias: Sircam, W32/Sircam-A, W32.Sircam.Worm@mm, W32/SirCam@mm,
Backdoor.SirCam, BackDoor.SirCam.188, I-Worm.Sircam, W32.Sircam,
Win32.SirCam.137216
Tipo: Virus infector de archivos, gusano y caballo de Troya
Origen: Mexico
Tamao: 137,216 bytes
Fecha: 17/07/01
Gravedad: Alta (borra archivos de Windows y filtra informacin del usuario)
SirCam, est escrito en Borland Delphi, y con caractersticas de troyano y gusano
de Internet, es capaz de enviarse a si mismo por correo electrnico en
distintos mensajes en ingls y espaol, junto a documentos y otros archivos
de la mquina infectada, a todos los usuarios de la libreta de direcciones de
Windows, as como a todas las direcciones encontradas en los archivos
temporales de Internet (cach). Esto encierra adems el peligro de enviar
informacin confidencial de la computadora infectada.
Posiblemente su alto nivel de propagacin, haya sido favorecida tanto por sus
caractersticas (un mensaje en espaol, aunque es capaz adems de enviarse con

mensajes en ingls), como tambin que se haya difundido a travs de algunas


listas de correo, antes que algn antivirus pudiera detectarlo. Actualmente todos
los antivirus lo reconocen correctamente disminuyendo por lo tanto sus
posibilidades de propagarse.
Para un usuario con cierta experiencia, el hecho de que el archivo adjunto tenga
una doble extensin, debera ser suficiente para eliminarlo, sin abrirlo. Sin
mencionar que la primera regla que deberamos aprender y divulgar entre todos
los usuarios de correo electrnico, es que no debemos abrir jams adjuntos que
no solicitamos.
SirCam, posee adems algunas caractersticas peligrosas.
Modifica el registro de modo que cada vez que se ejecute un archivo .EXE, el
gusano toma el control antes. Esto dificulta su remocin del sistema.
Tambin puede propagarse a travs de computadoras en red, y posee algunas
rutinas que pueden borrar informacin vital de las computadoras infectadas, o
bloquear su funcionamiento bajo ciertas circunstancias.
El virus puede llegar en un mensaje tanto en espaol como en ingls (de acuerdo
al sistema operativo instalado en la mquina infectada que enva el mensaje). El
formato de los mensajes puede ser alguno de los siguientes, teniendo como
asunto, el mismo nombre del archivo adjunto, pero sin la extensin (la parte en
rojo es la parte variable del mensaje, pudiendo ser elegida cualquiera de las cuatro
expresiones, mientras que lo que est en azul son las expresiones que siempre
aparecen.):

En castellano:
Asunto: [Nombre archivo adjunto sin extensin]
Texto:
Hola como estas ?

Te mando este archivo para que me des tu punto de vista


Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacin que me pediste
Nos vemos pronto, gracias.
Archivo adjunto: [Nombre del adjunto con doble extensin]

En ingls:

Asunto: [Nombre archivo adjunto sin extensin]


Texto:

Hi! How are you?


I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I send you
This is the file with the information that you ask for
See you later. Thanks.
Archivo adjunto: [Nombre del adjunto con doble extensin]
Por ejemplo, si el documento fuera CARTA.DOC, el asunto sera CARTA, y el
adjunto podra ser: CARTA.DOC.PIF, entre otras combinaciones (ver ms
adelante).
El tamao puede variar, desde los 137,216 que ocupa el propio gusano, a la
cantidad de bytes que le sume el archivo que el virus agrega a su cdigo.
La primera extensin (la visible) puede ser .DOC, .GIF, .JPG, .JPEG, .MPEG,
.MOV, .MPG, .PDF, .PIF, .PNG, .PS, .ZIP o .XLS. La segunda (no visible si se tiene
la configuracin por defecto de Windows), puede ser .BAT, .COM, .EXE,
.PIF o .LNK.
Si el usuario ejecuta el archivo adjunto a un mensaje infectado, el virus muestra el
documento o archivo verdadero, ejecutando la aplicacin asociada (Word o
WordPad para .DOC, etc.) al mismo tiempo que se copia en la carpeta protegida
que Windows llama "Papelera de reciclaje", una con el nombre del adjunto (sin
extensin), y otra comoSirC32.exe:
C:\RECYCLED\SirC32.exe
C:\RECYCLED\[nombre del adjunto recibido]
En esta carpeta, permanecer oculto para alguien que desee verlo con el
explorador de Windows, a no ser que tenga activa la opcin "Ver archivos
ocultos o del sistema".
Luego, modifica la siguiente rama del registro para poder ejecutarse cada vez que
alguien (el usuario o una aplicacin) llame a un archivo .EXE:
HKCR\exefile\shell\open\command
(Predeterminado) = C:\recycled\SirC32.exe "%1" %*
Tambin se copia a si mismo al directorio SYSTEM de Windows, con el nombre
de SCam32.exe:

C:\Windows\System\SCam32.exe
Crea tambin el siguiente valor en el registro, a los efectos de cargarse en
memoria, cada vez que Windows se reinicia:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = C:\WINDOWS\SYSTEM\SCam32.exe
Agrega adems esta entrada en el registro, donde guarda informacin que utiliza
para su funcionamiento (datos para el envo de los mensajes):
HKLM\Software\SirCam
FB1B (los nombres de los archivos guardados en C:\Recycled)
FB1BA (la direccin IP del SMTP)
FB1BB (la direccin e-mail del emisor)
FC0 (la cantidad de veces que se ha ejecutado)
FC1 (la versin del gusano)
FD1 (el nombre del archivo ejecutado, sin la extensin)
Luego, busca todos los archivos con las siguientes extensiones, que se
encuentren en la carpeta "Mis Documentos" de la computadora infectada
(generalmente C:\Mis Documentos), y en el escritorio (C:\WINDOWS\Escritorio):
.DOC
.GIF
.JPG
.JPEG
.MPEG
.MOV
.MPG
.PDF
.PIF
.PNG
.PS
.ZIP
.XLS
La ubicacin de "Mis Documentos" y el escritorio de Windows, lo toma de las
claves "Personal" y "Desktop"
deHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.
Luego, graba la lista de estos nombres en el archivo SCD.DLL, creado en el
directorio SYSTEM:
C:\Windows\System\SCD.DLL

Las direcciones de correo obtenidas en la libreta de direcciones (*.wab) y en los


archivos temporales de Internet (sho*., get*., hot*. y *.htm), son grabadas en una
lista similar, pero con el nombre SCD1.DLL:
C:\Windows\System\SCD1.DLL
El gusano se agrega al principio de los archivos listados en SCD.DLL, y se enva
de este modo adjunto a un mensaje electrnico, pero con la doble extensin (la del
archivo original ms alguna de las siguientes):
.BAT
.COM
.EXE
.PIF
.LNK
Los archivos SCD.DLL y SCD1.DLL pueden variar aleatoriamente su nombre
(SC?.DLL y SC??.DLL)
Las caractersticas del mensaje son las vistas ms arriba.
Para distribuirse a travs del e-mail, el virus utiliza sus propias rutinas SMTP y las
extensiones MIME, y puede armar un mensaje simulando que el mismo es
enviado desde el Outlook Express 5.5 (X-Mailer: Microsoft Outlook Express
5.50.4133.2400), an cuando la vctima infectada no utilice o ni tan siquiera tenga
instalado este programa.
La direccin SMTP la obtiene de la mquina infectada que envi el mensaje, o
utiliza alguna de las siguientes (hasta que alguna responda):
doubleclick.com.mx
enlace.net
goeke.net
Si el gusano encuentra algn recurso compartido en red, intentar copiarse en el
directorio Windows de la mquina compartida (si existe), con el nombre
de RUNDLL32.EXE. El archivo RUNDLL32.EXE original (usado por Windows para
ejecutar un archivo DLL como una aplicacin), es renombrado como RUN32.EXE.
Si esta accin se produce con xito, el gusano modifica el
archivo AUTOEXEC.BAT de esa mquina, incluyendo un comando que ejecutar
el gusano en el prximo reinicio de Windows:
@win \recycled\sirc32.exe
Adems de su propagacin, el gusano puede realizar estas acciones:

Una de cada 33 ejecuciones, puede copiarse


de C:\recycled\sirc32.exe a C:\Windows\scmx32.exe.
Tambin puede copiarse como "Microsoft Internet Office.exe" en la carpeta
indicada en esta clave del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
Que por defecto en Windows en espaol es:
C:\WINDOWS\Men Inicio\Programas\Inicio
Esto har que se ejecute al comienzo (adems de las otras maneras de hacerlo
que ya vimos).
En una de cada 50 ejecuciones, crea el siguiente archivo:
C:\RECYCLED\sircam.sys
Luego, agrega repetidamente uno de los siguientes textos a dicho archivo, hasta
acabar con el espacio en el disco duro:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo,
Michoacan Mexico]
En una de cada 20 veces, o el 16 de octubre de cualquier ao, el gusano puede
borrar todos los archivos y carpetas de la unidad C. Esto funciona solo en las
computadoras con el formato DIA/MES/AO, o sea, la clsica configuracin bajo
un sistema en espaol (en ingls es MES/DIA/AO).
Finalmente, luego de 8000 ejecuciones, el virus deja de funcionar.

W32/Badtrans.B
Nombre: W32/Badtrans.B
Alias: WORM_BADTRANS.B, W32/Badtrans-B, Backdoor-NK.svr, BadTrans, IWorm.Badtrans, W32.Badtrans.29020@mm, IWorm_Badtrans,
TROJ_BADTRANS.B, BADTRANS.B, I-WORM.BADTRANS, W32/BadTrans.B-mm
Variantes: badtrans-a
Tipo: Gusano y caballo de Troya
Tamao: 29,020 Bytes
Fecha: 24/11/01

En abril de 2001, fue detectada la primera versin de este gusano. El mismo


posea algunos errores de programacin que disminuyeron su peligrosidad.
Esta nueva versin posee algunas pequeas diferencias, pero la ms importante
es que ahora es capaz de ejecutar el archivo adjunto recibido en un mensaje
infectado, sin necesidad de que el usuario abra dicho adjunto. Para ello utiliza una
conocida vulnerabilidad en las extensiones MIME en programas de correo que se
basan en el Internet Explorer (Microsoft Outlook y Microsoft Outlook Express).
Badtrans.B es un gusano de Internet, que permanece residente en memoria
cuando se ejecuta, y que puede propagarse va e-mail a travs del Outlook y del
Outlook Express, utilizando la interface de programacin MAPI.
Lo podemos recibir en un mensaje sin texto visible y con un adjunto que puede
tener diferentes nombres, creado con las siguientes combinaciones:
La primera parte se selecciona de esta lista:
FUN
HUMOR
DOCS
INFO
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
STUFF
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS
La segunda, contiene una de las siguientes extensiones:
.DOC.
.MP3.
.ZIP.
Y la ltima parte (la verdadera extensin del archivo), puede ser una de las
siguientes:

pif
scr
Un par de ejemplos de estas combinaciones:
New_Napster_Site.MP3.scr
README.DOC.pif
Como antes se ha mencionado, esta variante utiliza una vulnerabilidad conocida
(Automatic Execution of Embedded MIME type) para ejecutarse sin necesidad de
abrir el adjunto, es decir, con solo leer el mensaje o verlo en el panel de vista
previa, se ejecuta el virus.
Cuando esto ocurre, el gusano se copia a si mismo en el directorio System de
Windows, como Kernel32.exe, y tambin crea all los archivos cp_25389.nls,
y kdll.dll:
C:\Windows\System\KERNEL32.EXE
C:\Windows\System\cp_25389.nls
C:\Windows\System\kdll.dll
Hay que recordar que en esa misma carpeta existe el archivo Kernel32.dll, que es
un archivo legtimo de Windows.
Adems, el gusano borra su copia original del directorio en que fue ejecutado.
Luego se registra a si mismo como un servicio, para permanecer en memoria sin
aparecer en la lista de tareas que se estn ejecutando (por lo tanto permanece
oculto al pulsar CTRL+ALT+SUPR).
El archivo CP_25389.NLS son datos cifrados del virus.
El archivo KDLL.DLL es un troyano con capacidad de robar las contraseas de la
mquina infectada (Trojan.PSW.Hooker, Backdoor-NK.svr, Troj.PWS.A).
El registro de Windows es modificado para que el gusano se ejecute
automticamente en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
kernel32 = "kernel32.exe"
Como la clave "RunOnce" se ejecuta una sola vez (y Windows la borra luego de
ejecutar su contenido), el gusano la vuelve a crear cada vez.
Troyano liberado por el BadTrans.B
Nombre: Troj/PWS-AV

Tipo: Caballo de Troya


Este troyano es liberado por el Badtrans.B. Una vez activo, se encarga de
registrar todo lo tecleado por el usuario infectado, lo que le permite capturar y
obtener informacin personal, como nombre de usuario y contraseas, informacin
relacionada con tarjetas de crdito, cuentas bancarias, etc.

Trojan/Platan
Nombre: Trojan/Platan
Alias: W32/Platan.Trojan, Trojan.IExpand, Trojan.PWS.ASP.b, W32.PSW.Platan,
DUNpws.bz.
Variantes: Ninguna
Tipo: Caballo de Troya, Ladrn de Passwords.
Origen: Rusia.
Fecha: 24/03/2000
Gravedad: Media.
Platan, es un troyano cuya principal funcin es robar los passwords de la conexin
telefnica del equipo infectado y reenviarlos al autor del virus.
Hasta el momento este troyano ha sido reportado por usuarios, siendo distribuido
como una archivo de nombre IEXPAND.EXE, que al ser ejecutado, agrega la
siguiente entrada al Registro de Windows, para ejecutarse con el prximo inicio
del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run
La ejecucin del programa no muestra ninguna accin al usuario. l mismo se
ejecutar como un proceso "oculto", no mostrando su existencia en la lista de
tareas activas (por lo tanto permanece oculto al pulsar CTRL+ALT+SUPR).
El troyano elimina los
programas \Windows\REGEDIT.EXE y \Windows\System\MSCONFIG.EXE, para
que los cambios al registro no puedan ser vueltos atrs por el usuario. Adems,
copia el archivo IEXPAND.EXE al directorio \Windows\System.
Utilizando su propia rutina de envo de mensajes, y un servidor SMTP ruso, el
troyano enva el nombre de usuario y password de las cuentas de conexin
telefnica a distintas direcciones preseteadas del creador del virus. Adems, enva

otra informacin del equipo, como los nmeros. telefnicos de los ISPs, tipo de
CPU, etc.
http://spi1.nisu.org/recop/al01/salva/platan.html