El virus es un pequeño software (cuanto más pequeño más fácil de esparcir y más difícil de detectar), que permanece inactivo hasta que un hecho externo hace que el programa sea ejecutado o el sector de "booteo" sea leído. De esa forma el programa del virus es activado y se carga en la memoria de la computadora, desde donde puede esperar un evento que dispare su sistema de destrucción o se replique a sí mismo.
Los más comunes son los residentes en la memoria que pueden replicarse fácilmente en los programas del sector de "booteo", menos comunes son los no-residentes que no permanecen en la memoria después que el programa-huésped es cerrado.
Los virus se transportan a través de programas tomados de BBS (Bulletin Boards) o copias de software no original, infectadas a propósito o accidentalmente. También cualquier archivo que contenga "ejecutables" o "macros" puede ser portador de un virus: downloads de programas de lugares inseguros; e-mail con "attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existen virus que se distribuyen con MS-Power Point. Los archivos de datos, texto o Html NO PUEDEN contener virus, aunque pueden ser dañados por estos.
Los virus de sectores de "booteo" se instalan en esos sectores y desde allí van saltando a los sectores equivalentes de cada uno de los drivers de la PC. Pueden dañar el sector o sobrescribirlo. Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5" y todos los tipos de Zip de Iomega, Sony y 3M. (No crean vamos a caer en el chiste fácil de decir que el más extendido de los virus de este tipo se llama MS
Clases de Virus
Existen diversos tipos de virus, varían según su función o la manera en que éste se ejecuta en nuestra computadora alterando la actividad de la misma, entre los más comunes están:
Troyano: que consiste en robar información o alterar el sistema del hardware o en un caso extremo permite que un usuario externo pueda controlar el equipo.
Gusano: tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
Bombas Lógicas o de Tiempo: son programas que se activan al producirse un acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario.
Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los ínter nautas novatos.
Síntomas de Infección de virus
a) La velocidad de procesamiento y el rendimiento del equipo se vuelve lenta.
b) Algunos programas no pueden ser ejecutados, principalmente los archivos COM o los EXE de menor extensión, posiblemente también los macro virus, una vez que hayan cumplido con su efecto reproductor o dañino. El COMMAND.COM es infectado en primer lugar, pero como la función del virus es la de seguir infectando, éste continúa operando. Los archivos ejecutables siguen existiendo pero sus cabeceras ya han sido averiadas y en la mayoría de los casos, su extensión se ha incrementado en un determinado número de bytes.
c) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus malogró el COMMAND.COM y se muestra este mensaje: "bad or missing command interpreter".
d) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus malogró la Tabla de Particiones o el Master Boot Record y se muestra este mensaje: "invalid drive especification".
e) Los archivos ejecutables de los gestores de bases de datos como: BASE, Clipper, FoxPro, etc. están operativos, sin embargo las estructuras de sus archivos DBF están averiadas. Lo mismo puede ocurrir con las hojas de cálculo como: Lotus 1-2-3, Q-Pro, Excel, etc., o con el procesador de textos MS-Word, hojas de cálculo de MS-Excel o base de datos de MS-Access (macro virus).
f) La configuración (set-up) del sistema ha sido alterado y es imposible reprogramarlo. Virus como : ExeBug, CMOS-Killer o Anti-CMOS producen un bloqueo en la memoria conexa de 64 bytes del CMOS.
g) El sistema empieza a "congelarse". Puede tratarse de un virus con instrucciones de provocar "reseteos" aleatorios a los archivos del sistema, tales como: el COMMAND.COM, los "hidden files" o el CONFIG.SYS que han sido infectados.
h) Ciertos periféricos tales como: la impresora, módem, tarjeta de sonido, etc., no funcionan o tienen un raro comportamiento. Se trata de un virus que reprograma el chip "PPI" (Programmable Peripheral Interfase).
i) La pantalla muestra símbolos ASCII muy raros comúnmente conocidos como "basura", se escuchan sonidos intermitentes, se producen bloqueos de ciertas teclas o se activan los leds de los drives.
j) Las letras de los textos empiezan a caerse. Este es un efecto impresionante del virus alemán "CASCADA".
k) La memoria RAM decrece. El sistema se vuelve muy lento.
l) Los archivos de documento .DOC o las macros empiezan a corromperse y no funcionan.
Función de los Virus
Los virus informáticos están hechos en Assembler, un lenguaje de programación de bajo nivel. Las instrucciones compiladas por Assembler trabajan directamente sobre el hardware, esto significa que no es necesario ningún software intermedio –según el esquema de capas entre usuario y hardware- para correr un programa en Assembler (opuesto a la necesidad de Visual Basic de que Windows 9x lo secunde). No solo vamos a poder realizar las cosas típicas de un lenguaje de alto nivel, sino que también vamos a tener control de cómo se hacen. Para dar una idea de lo poderoso que puede ser este lenguaje, el sistema operativo Unix está programado en C y las rutinas que necesitan tener mayor profundidad para el control del hardware están hechas en Assembler. Por ejemplo: los drivers que se encargan de manejar los dispositivos y algunas rutinas referidas al control de procesos en memoria.
Sabiendo esto, el virus puede tener control total de la máquina -al igual que lo hace el SO- si logra cargarse antes que nadie. La necesidad de tener que "asociarse" a una entidad ejecutable viene de que, como cualquier otro programa de computadora, necesita ser ejecutado y teniendo en cuenta que ningún usuario en su sano juicio lo hará, se vale de otros métodos furtivos. Ahora que marcamos la importancia para un virus el ser ejecutado, podemos decir que un virus puede encontrarse en una computadora sin haber infectado realmente algo. Es el caso de personas que pueden coleccionar virus en archivos comprimidos o encriptados.
Normalmente este tipo de programas se pega a alguna entidad ejecutable que le facilitará la subida a memoria principal y la posterior ejecución (métodos de infección). Como entidades ejecutables podemos reconocer a los sectores de arranque de los discos de almacenamiento magnéticos, óptico o magneto-ópticos (MBR, BR), los archivos ejecutables de DOSs (.exe, .com, entre otros), las librerías o módulos de programas (.dll, .lib, .ovl, .bin, .ovr). Los sectores de arranque son fundamentales para garantizar que el virus será cargado cada vez que se encienda la computadora.
Según la secuencia de booteo de las PCs, el microprocesador tiene seteada de fábrica la dirección de donde puede obtener la primera instrucción a ejecutar. Esta dirección apunta a una celda de la memoria ROM donde se encuentra la subrutina POST (Power On Self Test), encargada de varias verificaciones y de comparar el registro de la memoria CMOS con el hardware instalado (función checksum). En este punto sería imposible que el virus logre cargarse ya que la memoria ROM viene grabada de fábrica y no puede modificarse (hoy en día las memorias Flash-ROM podrían contradecir esto último).
Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada "bootstrap ROM" que copia el MBR (Master Boot Record) en memoria RAM. El MBR contiene la información de la tabla de particiones, para conocer las delimitaciones de cada partición, su tamaño y cuál es la partición activa desde donde se cargará el SO. Vemos que en este punto el procesador empieza a ejecutar de la memoria RAM, dando la posibilidad a que un virus tome partida. Hasta acá el SO todavía no fue cargado y en consecuencia tampoco el antivirus. El accionar típico del virus sería copiar el MBR en un sector alternativo y tomar su posición. Así, cada vez que se inicie el sistema el virus logrará cargarse antes que el SO y luego, respetando su deseo por permanecer oculto hará ejecutar las instrucciones del MBR.
Como detectar infecciones virales
Cambio de longitud en archivos.
Modificación de la fecha original de los archivos.
Aparición de archivos o directorios extraños.
Dificultad para arrancar el PC o no conseguir inicializarlo.
El PC se "re-bootea" frecuentemente
Bloqueo del teclado.
El PC no reconoce el disco duro.
Ralentización en la velocidad de ejecución de los programas.
Archivos que se ejecutan mal.
El PC no reconoce las disqueteras.
Se borran archivos inexplicablemente.
Aparecen nuevas macros en documentos de Word.
La opción "ver macros" se desactiva.
Pide passwords no configurados por el usuario.
Como actúan un virus y medios de llegada el sistema
Un virus puede llegar a nuestro ordenador de varias maneras: o bien a través de un disco (disquete, CD-ROM, DVD, Tape Backup), o bien a través de la red (principlamente Internet). Los que nos llegan por Internet, sin embargo, tienen un mayor potencial de contagio a otros usuarios, ya que algunos pueden autoenviarse a todas las direcciones de nuestra agenda, por ejemplo.
Una vez en nuestro PC, lo primero que hace un virus es autocopiarse en él. Muchas veces no solo se copia en un sitio, sino que se reparte en diversas carpetas con el fin de sobrevivir el mayor tiempo posible en nuestro sistema.
Una vez "seguro", generalmente escribirá en el registro de Windows (que es el archivo donde está contenida toda la información de nuestro sistema, tanto de software como de hardware, y que el ordenador lee cada vez que se inicia). ¿Y porqué hace esto? Muy sencillo: de esta forma, cuando volvamos a encender el ordenador, tomará el control de nuestro sistema, generalmente sin que nos demos cuenta al principio, y acturá según le interese: borrando información, mostrando mensajes, etc.
Otra manera de actuar es la de sobreescribir el sector de arranque de nuestro disco duro. El resultado viene a ser el mismo que el mencionado anteriormente, aunque también es posible que de esta forma nuestro PC ni siquiera arranque, con lo cual el formateo será prácticamente necesario. Por supuesto, si tenemos datos importantes que recuperar tenemos la solución de arrancar con un disco de inicio, e intentar una recuperación manual.
Los más peligrosos actúan sobre la CMOS de nuestra placa base (motherboard), sobreescribiéndola. La CMOS controla nuestra BIOS: datos del reloj, de nuestras unidades, periféricos, etc. En estos casos es frecuente, incluso, el tener que cambiar la placa base.
Ciclo de vida de un VirusEl ciclo de vida de un virus empieza cuando se crea y acaba cuando es completamente erradicado. A continuación describimos cada una de las fases: CreaciónHasta hace poco tiempo, la creación de un virus requería el conocimiento de lenguajes de programación avanzados. Hoy cualquiera con simples conocimientos de programación básica puede crear un virus. Típicamente son individuos con afán de protagonismo los que crean los virus, con el fin de extender al azar el efecto nocivo de su creación. RéplicaLos virus no suelen ser activos en el momento de su creación, sino que poseen un tiempo de espera (incubación), lo que les permite extenderse ampliamente antes de ser detectados. ActivaciónLos virus con rutinas dañinas se activan cuando se dan ciertas condiciones, por ejemplo, en una determinada fecha o cuando el usuario infectado realiza una acción particular. Los virus sin rutinas dañinas no tienen activación, causando de por si el daño, como la ocupación del espacio de almacenaje. DescubrimientoEsta fase no siempre sigue a la activación. Cuando se detecta un virus, este se aísla y se envía al ICSA en Washington, D.C., para ser documentado y distribuido a los fabricante de software antivirus. El descubrimiento suele realizarse antes de que el virus pueda convertirse en una amenaza para la comunidad informática.
AsimilaciónEn este punto, los fabricantes de software antivirus modifican este para que pueda detectar el nuevo virus. Este proceso puede durar de un día a seis meses, dependiendo del fabricante y el tipo del virus. ErradicaciónSi multitud de usuarios instalan un software de protección actualizado, cualquier virus puede eliminarse definitivamente. Aunque hasta ahora ningún virus ha desaparecido por completo, algunos hace tiempo que han dejado de ser una amenaza.
Ventajas: Una LAN da la posibilidad de que los PC's compartan entre ellos programas, información, recursos entre otros. La máquina conectada (PC) cambian continuamente, así que permite que sea innovador este proceso y que se incremente sus recursos y capacidades.
Técnicas de prevención
Copias de seguridad
Realice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y protegido de campos magnéticos, calor, polvo y personas no autorizadas.
Copias de programas originales
No instale los programas desde los disquetes originales. Haga copia de los discos y utilícelos para realizar las instalaciones.
No acepte copias de origen dudoso
Evite utilizar copias de origen dudoso, la mayoría de las infecciones provocadas por virus se deben a discos de origen desconocido.
Utilice contraseñas
Ponga una clave de acceso a su computadora para que sólo usted pueda acceder a ella.
Cómo protegerse de los virus informáticos
Los Virus informáticos se han convertido en una continua pesadilla, especialmente, para los usuarios del correo electrónico. Para su información, seguidamente listamos una serie de normas básicas que le ayudarán a protegerse de los virus informáticos:
Instale en su computador un software Antivirus confiable (ver lista de opciones en la siguiente sección).
Para su información, seguidamente listamos una serie de normas básicas que le ayudarán a protegerse de los virus informáticos:
Instale en su computador un software Antivirus confiable (ver lista de opciones en la siguiente sección).
Actualice con frecuencia su software Antivirus (mínimo dos veces al mes).
Analice con un software Antivirus actualizado, cualquier correo electrónico antes de abrirlo, así conozca usted al remitente.
Analice siempre con un software Antivirus los archivos en disquete o Cd-Rom antes de abrirlos o copiarlos a su computador.
No descargue, ni mucho menos ejecute, archivos adjuntos (attachement) a un mensaje de correo electrónico sin antes verificar con la persona que supuestamente envió el mensaje, si efectivamente lo hizo.
Tenga cuidado con los mensajes alusivos a situaciones eróticas (versión erótica del cuento de Blancanieves y los Siete Enanitos, fotos de mujeres desnudas, fotos de artistas o deportistas famosos, etc.).
Nunca abra archivos adjuntos a un mensaje de correo electrónico cuya extensión [6] sea ".exe", ".vbs", ".pif", ".bat" o ".bak".
Cerciórese que el archivo adjunto no tenga doble extensión. Por ejemplo: "NombreArchivo.php.exe".
Evite el intercambio por correo electrónico de archivos con chistes, imágenes o fotografías.
Antivirus
Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus informáticos, sino bloquearlo, desinfectar y prevenir una infección de los mismos, así como actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.
El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador.
Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas para el ordenador, con técnicas como Heurística, HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador está en uso.
Asimismo, cuentan con un componente de análisis bajo demando (los conocidos scanners, exploradores, etc), y módulos de protección de correo electrónico, Internet, etc.
Antivirus populares
Kaspersky Anti-virus.
Panda Security.
Norton antivirus.
McAfee.
avast! y avast! Home
AVG Anti-Virus y AVG Anti-Virus Free.
BitDefender.
F-Prot.
F-Secure.
NOD32.
PC-cillin.
ZoneAlarm AntiVirus.
Tipos de antivirus
Cortafuegos (Firewall)
Programa que funciona como muro de defensa, bloqueando el acceso a un sistema en particular. Se utilizan principalmente en computadoras con conexión a una red, fundamentalmente Internet. El programa controla todo el tráfico de entrada y salida, bloqueando cualquier actividad sospechosa e informando adecuadamente de cada suceso.
Antiespías (Antispyware)
Aplicación que busca, detecta y elimina programas espías (spyware) que se instalan ocultamente en el ordenador.
Los antiespías pueden instalarse de manera separada o integrado con paquete de seguridad (que incluye antivirus, cortafuegos, etc).
Antipop-ups
Utilidad que se encarga de detectar y evitar que se ejecuten las ventanas pop-ups cuando navegas por la web. Muchas veces los pop-ups apuntan a contenidos pornográficos o páginas infectadas.
Algunos navegadores web como Mozilla Firefox o Internet Explorer 7 cuentan con un sistema antipop-up integrado.
Antispam
Aplicación o herramienta que detecta y elimina el spam y los correos no deseados que circulan vía email.
Funcionan mediante filtros de correo que permiten detectar los emails no deseados. Estos filtros son totalmente personalizables.
Además utilizan listas de correos amigos y enemigos, para bloquear de forma definitiva alguna casilla en particular.
Algunos sistemas de correo electrónico como Gmail, Hotmail y Yahoo implementan sistemas antispam en sus versiones web, brindando una gran herramienta en la lucha contra el correo basura.
Autor:
Yesenia Gómez
| Página siguiente |