Descargar

Virus Informáticos

Enviado por natypritty

    Clasificación de Virus

    2. Una nueva clasificación de virus
    3. Antivirus recomendados
    4. Bibliografía

    Introducción

    Partiendo de la base de que cuando existe un desconocimiento en un área de la informática, las soluciones suelen exceder a las necesidades, se concluye que finalmente los usuarios serán los perjudicados. No es un secreto que a menudo las fallas incipientes de hardware, los conflictos de software, la instalación incorrecta de drivers y a veces la inexperiencia del técnico llevan a los servicios de reparación a culpar a los virus, a veces inexistentes, de los problemas más insólitos y ayudan a la facturación de servicios alimentados más por el ansia de ganar una comisión que por el objetivo de fidelizar al cliente para que vuelva una y otra vez a consultar o comprar. La falta de conocimientos de los virus informáticos creo yo, hace perder más información y tiempo de trabajo que los errores propios de los usuarios principiantes. Cuando un técnico llega a la conclusión de que para solucionar un problema de virus es necesario el temido formateo con la pérdida total de la información de un disco, es que realmente debe haber agotado todas y cada una de las instancias posibles para recuperar la información. Pero si ese paso se da por desconocimiento o negligencia, el único perjudicado siempre es el usuario final. Hay una tendencia generalizada en los clientes a creer que aquellos técnicos que dicen "no sé, debo averiguar", no son de fiar. Y eso lleva a que muchos servicios técnicos, presionados por mantener una imagen falsa, se apresuren y tomen decisiones precipitadas y por ende, fatales.

    En realidad hay que desconfiar de aquellos que todo lo saben, ya que nunca serán capaces de admitir la necesidad de formación continua que presiona al área informática. El área de hardware y software está en constante desarrollo, de tal modo que los ciclos de 6 o 12 meses necesarios para que se volvieran obsoletas las tecnologías hace unos pocos años, ya son ciclos de 4-5 meses o aún menos. La carrera del conocimiento avanza de manera apresurada y hoy ya es muy difícil no recurrir a los manuales, las búsquedas vía Internet y aún las interconsultas para resolver problemas difíciles y complejos. El avance del software, los sistemas operativos, los incontables parches, agujeros de seguridad, bugs, no son sino sólo una parte del todo, formado también por placas, microprocesadores, locks, controladores, redes, telecomunicaciones, software mal desarrollado y un largo etc.

    Esta guía sin ser un tratado exhaustivo del tema de virus informáticos, tiene por objeto mantener actualizados los conocimientos sobre este tipo de programas, facilitando las bases necesarias para un estudio más profundo, indispensable ya para todo aquel que dependa en mayor o menor medida de su sistema PC.

    UNA NUEVA CLASIFICACION DE VIRUS

    En las siguientes líneas esbozo una clasificación que tiende a catalogar los virus actuales, sin intentar crear una clasificación académica, sino una orientación en cuanto a funcionalidad para que sea de provecho al usuario común: Vale la pena aclarar que no existe una única clasificación de tipos de Virus Informáticos, sino que, existen la mismas cantidad de clasificaciones como autores, es decir, cada autor tiene su propia clasificación siendo todas validas y muchas veces complementarias unas con otras.

    1. Virus en archivos "Fantasmas": Estos virus basan su principio en que DOS, al tener dos archivos con el mismo nombre, ejecuta primero el archivo COM y luego el EXE, siempre y cuando, claro está, ambos archivos se encuentren en el mismo directorio. Al infectar la computadora, el virus crea un archivo COM con el mismo nombre y en el mismo lugar que el EXE a infectar. De este modo, se asegura que durante la próxima ejecución, el sistema operativo arrancará el nuevo archivo COM creado por el virus y conteniendo el código viral, para luego ceder el control archivo EXE.
    2. Virus de Boot Sector o Sector de Arranque: infectan el sector de booteo o arranque de discos rígidos o diskettes. Las PC se infectan cuando se arranca el equipo con el diskette infectado puesto en la disketera, siempre y cuando el setup de la PC esté programado para arrancar primero desde el drive A:. Si por el contrario el setup inicia primero desde el disco rígido, no es necesario preocuparse por este tipo de virus. Algunos virus de boot sector no infectan el sector de arranque del disco duro (conocido como MBR). Usualmente infectan sólo diskettes, pero pueden afectar también al Disco Rígido ( ¡ En ese caso SI DEBE PREOCUPARSE ! ), CD-R, unidades ZIP, etc. Se ocultan en el primer sector de un disco y se cargan en memoria RAM aún antes que los archivos de sistemas. De esa manera toman el control total de las interrupciones (IRQ), para ocultarse, diseminarse y provocar daños. Por lo general reemplazan el contenido del sector de arranque con su propio contenido y desplazan el sector original a otra área del disco. Para erradicarlos, es necesario inicializar la PC desde un diskette sin infectar y proceder a removerlo con un antivirus, y en caso necesario reemplazar el sector infectado con el sector de arranque original.
    3. Virus de Propósito General o Multipartitia: Los virus multipartitia pueden infectar tanto el sector de arranque, la FAT, como los archivos ejecutables .COM, .EXE, Etc.; suelen ser una combinación de todos los tipos existentes de virus, su poder de destrucción es muy superior a los demás y de alto riesgo para nuestros datos, su tamaño es más grande a cambio de tener muchas mas opciones de propagarse e infección de cualquier sistema.
    4. Virus de Archivos Ejecutables: infectan los archivos que la PC toma como programas: *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e incluso BAT Estos virus se reproducen por diversas técnicas, infectando al archivo al principio o al final. Siempre es necesario arrancarlos una primera vez dentro del ordenador para que se activen. Una vez activado en memoria, asegura la ejecución de su código para devolver el control al programa infectado. Pueden permanecer residentes en memoria durante mucho tiempo después de haber sido activados, en ese caso se dice que son virus residentes, o pueden ser virus de acción directa, que evitan quedar residentes en memoria y se replican o actúan contra el sistema sólo al ser ejecutado el programa infectado. Se dice que estos virus son virus de sobreescritura, ya que corrompen al fichero donde se ubican. Escriben el código viral dentro del mismo archivo infectado. Si alguna vez el usuario recibe un mail con un adjunto que sea un archivo infectado, para que el virus se active dentro de la máquina, debe ser arrancado. El usuario puede tener el archivo infectado por años dentro de la PC sin que se active, por ese motivo, el hecho de tener un virus dentro de la computadora no quiere decir que la PC infecte a otros, ya que necesariamente para propagar la infección a otros el virus debe estar activado dentro del ordenador. Eso sólo se consigue arrancando el programa infectado. Si el usuario no lo arranca, nunca se infectará. Es preciso recordar que a través de simples comandos escritos en Visual Basic para Aplicaciones, este tipo de virus pueden ser fácilmente arrancados a partir de la apertura de un archivo Office o la recepción de un e-mail con Outlook, de manera que no es necesaria la acción efectiva del usuario para ordenar la ejecución del programa.
    5. Virus" Bug-Ware: son programas que en realidad no fueron pensados para ser virus, sino para realizar funciones concretas dentro del sistema, pero debido a una deficiente comprobación de errores por parte del programador, o por una programación confusa que ha tornado desordenado al código final, provocan daños al hardware o al software del sistema. Los usuarios finales, tienden a creer que los daños producidos en sus sistemas son producto de la actividad de algún virus, cuando en realidad son producidos por estos programas defectuosos. Los programas bug-ware no son en absoluto virus informáticos, sino fragmentos de código mal implementado, que debido a fallos lógicos, dañan el hardware o inutilizan los datos del computador. En realidad son programas con errores, pero funcionalmente el resultado es semejante al de los virus.
    6. Los Virus de Macro: según la International Security Association, los virus macro conforman el 80% de todos los virus circulantes en el mundo y son los que más rápidamente han crecido en la historia de las computadoras los últimos 7 años. Los virus macro no son exclusivos de ningún sistema operativo y se diseminan fácilmente a través de archivos adjuntos de e-mails, disquetes, programas obtenidos en Internet, transferencia de archivos y aplicaciones compartidas. Algunos documentos (WORD, EXCEL, Algunos documentos del Paquete SmartSuite de LOTUS) si bien no son ejecutables, sino documentos, tiene la posibilidad de ser PROGRAMADOS a través de una serie de comandos conocidos como MACROS a través de un subconjunto de instrucciones de Visual Basic, conocido como Visual Basic para Aplicaciones. Algunas macros son tan potentes que deben considerarse instrucciones de programación. Este es el caso de las macros del paquete Office de Microsoft (que engloba entre otros productos a Word y Excel), y a través de ellas, es posible programar rutinas que borren archivos o destruyan información. Las macros del paquete Office, son en realidad un subconjunto de instrucciones de Visual Basic y son muy fáciles de crear. Pueden infectar diferentes puntos de un archivo en uso, por ejemplo, cuando éste se abre, se graba, se cierra o se borra. Este tipo de virus se activa al abrir un archivo infectado dentro del procesador de texto , o planilla de cálculo. En el caso de Word, que es el típico caso de reproducción de virus de Macro, al momento de abrir el procesador, se abre un archivo que contiene información llamado NORMAL.DOT, que es la plantilla maestra del procesador de textos. Este archivo es abierto cada vez que se inicia el procesador de textos. Ahora bien, los virus aprovechan esta debilidad del programa Word para directamente (al activarse), infectar el archivo NORMAL.DOT. Con eso se aseguran que cada vez que se inicie el procesador de texto,se escriba una carta, o abra un archivo, se reproduzca el virus a través de la ejecución de sus rutinas dentro de la plantilla maestra.
    7. Virus de E-mail: dentro e este grupo, incluyo a dos tipos de virus: los que junto a un mail hacen llegar un atachado que necesariamente debe abrirse o ejecutarse para activar el virus, y dentro de ellos menciono a Melissa como el precursor de esta variedad, y también englobo a los gusanos (worms) que aprovechan los agujeros de seguridad de programas de correo electrónico para infectar a las computadoras, de los cuales BubbleBoy fue el precursor. Esta variedad difiere de los otros virus en el hecho de que no necesitan de la ejecución de un programa independiente (atachados) para ser activados, sino que ingresan e infectan las PC's con la simple visualización del mail. Hasta la aparición de estos virus, la infección era provocada por un descuido del usuario, pero a partir de ellos, la infección puede producirse aún manteniendo protocolos de seguridad impecables. Aprovechan fallas de los programas ( Vea los "virus" Bug-Ware ) y de ese modo ingresan a las computadoras. De este modo, no es necesaria la impericia del usuario, sino mantenerse informado constantemente de los fallos de seguridad de los programas usados, cosa muy difícil de realizar para el usuario común. Por todos es conocida la política obsesiva de las empresas productoras de software de producir programas "amigables", que complican la programación y llevan a cuidar estéticamente un producto y a fallar en funciones esenciales. Windows ha abierto la puerta a la belleza visual, pero esto trae además la presencia de productos de soft mediocres, que tratan de tapar graves defectos estructurales con menúes atractivos y componentes multimediales. Dentro de este grupo incluyo a los mail-bombers que si bien académicamente no son catalogados como virus, provocan fallas en nuestro sistema al saturar nuestro correo. Los mail-bombers son programas especialmente preparados para enviar un número definido de copias de un e-mail a una víctima, con el objeto de saturar su casilla de correo e-mail. Algunos de estos programas, aprovechando los agujeros de seguridad, envían mails tipo gusano. Los mail-bombers no afectan en realidad nuestro sistema PC, pero provocan el colapso de nuestro correo electrónico, así es que funcionalmente se comportan para el usuario de computadoras como si fueran virus, más allá de cualquier etiqueta académica.
    8. Virus de MIRC: al igual que los bug-ware y los mail-bombers, no son considerados virus, pero los nombro debido a que tienen características comunes. Son una nueva generación de programas que infectan las PC's, aprovechando las ventajas proporcionadas por Internet y los millones de usuarios conectados a cualquier canal IRC a través del programa Mirc y otros programas de chat. Consisten en un script para el cliente del programa de chateo. Cuando se accede a un canal de IRC, se recibe por DCC un archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobreescriba con el "script.ini" maligno. Los autores de ese script acceden de ese modo a información privada de la PC, como el archivo de claves, y pueden remotamente desconectar al usuario del canal IRC.
    9. Virus de la WEB: el lenguaje de programación JAVA, que permite generar los applets para las páginas web y los controles Active X, son lenguajes orientados especialmente a Internet. El ASP es otro tipo de lenguaje Basic orientado al desarrollo de aplicaciones basadas en la web. Si bien en el caso de JAVA la diagramación y el diseño fueron sumamente cuidadosos, de tal modo que existen ( en teoría ) la imposibilidad técnica de modificar archivos en clientes, existen algunos agujeros que si bien no son de seguridad, sino de diseño, abren las puertas a los programadores de virus que, mediante herramientas apropiadas pueden generar una nueva variante de virus que se disemine por las páginas web y, como en el caso de los virus de e-mail, afecten a las PC's aún en condiciones de seguridad adecuadas, por el simple acto de abrir una página. Obviamente no clarificaré demasiado sobre las posibles técnicas de programación de virus en JAVA, pero con esto quiero alertar a los lectores sobre la certeza de que existen en Java agujeros funcionales que facilitarán la creación de estos nuevos virus en los próximos meses tal cual se ha logrado ya en condiciones de laboratorio. Hay evidencias reales de la posible existencia de este tipo de virus, por supuesto, gracias a un agujero de seguridad del navegador de Internet de Microsoft. Mediante la apertura de una página web o un e-mail en formato HTML que incluya un archivo de Excel de apertura automática, se pueden ejecutar comandos, instalar virus, borrar archivos y otras funciones. Este procedimiento se puede ejecutar en PC's que contengan una determinada versión de una DLL que por razones de seguridad no identificaré en este documento público. Este bug-ware fue verificado a mediados del '99.
    10. Virus de Arquitectura Cliente / Servidor: esta es una clasificación muy particular, que afecta a usuarios de Internet . En este apartado contemplo de manera especial a los troyanos, que más que virus, son verdaderas aplicaciones cliente / servidor, por las cuales cualquier persona, y con la configuración adecuada, puede controlar los recursos de una PC a distancia y a través de una conexión a Internet. La funcionalidad de estos virus consiste en hacer que la víctima del ataque ejecute un programa que corresponde al servidor del virus, lo que conduce a su autoinstalación en el sistema a la espera de que el usuario conecte su computadora a Internet. Una vez conectado, el cliente del programa (hacker o como se le quiera llamar), tiene todas las herramientas necesarias para operar a distancia la computadora de la víctima, gestionar parte de sus recursos y obtener la información guardada en sus unidades de almacenamiento. Son programas altamente sofisticados y el más famoso de ellos es el BackOriffice, pero existen mucho otros más.

    ANTIVIRUS RECOMENDADOS

    En primer término recomiendo al antivirus VirusScan de McAfee. Debo admitir que a lo largo de los años me demostró en repetidas ocasiones su efectividad, su base de datos se actualiza al menos una vez por semana e incluye una herramienta residente Vshield. En pocas palabras, es un producto muy efectivo, confiable y robusto.

    Como segunda línea, recomiendo al antivirus de origen Islandés F-PROT, que puede conseguirse fácilmente en Internet. El producto para uso particular, no corporativo, es totalmente gratuito. Sirve para entornos DOS – Windows 32 bits. Si bien no es un producto tan difundido como otros, el márketing y la publicidad no son ciertamente parámetros confiables a la hora de definir criterios de selección. Tiene la ventaja de avisar automáticamente de la caducidad de su base de datos. Es algo "duro" en su interface de usuario porque no permite el uso de mouse y su actualización cada 2-3 meses es muy alejada del ideal que requiere este loco mundo de la informática.

    Si puede invertir algo de dinero, mi recomendación es usar la dupla VirusScan / F-Prot. Si el dinero es un problema, F-Prot puede ser considerada como una barrera de protección de buen nivel. No hay actualmente un producto 100% confiable. He sido testigo de virus no detectados por Norton Antivirus que sí son vistos por VirusScan de McAfee.

    Bibliografía

    SEGURIDAD Y ANTIVIRUS, COSTE TOMAS, ISBN 9685347298, Editorial MP, Edición 2001, 152 páginas y 1 CD-Rom.

    VIRUS DE SISTEMAS INFORMATICOS E INTERNET, DE MARCELO RODADO JESÚS, ISBN 9701505352, Editorial ALFAOMEGA GRUPO EDITOR, Edición 2000, 472 páginas y 1 CD-Rom.

    VIRUS EN INTERNET, URIZARBARRENA MIKEL, ISBN 8441509468, Editorial ANAYA MULTIMEDIA, Edición 1999, 384 páginas y 1 CD-Rom.

    VIRUS EN COMPUTACION CURSO ABREVIADO, COHEN, ISBN 9681851811, Editorial LIMUSA, Edición 1998, 260 páginas.

    Lic. Manuela León Ramírez –

    © Copyright 2004

    Universidad Nacional Autónoma de México