CAPÍTULO I
Virus
Reseña Histórica
El primer virus que atacó a una máquina IBM Serie 360 (y reconocido como tal), fue llamado Creeper, creado en 1972 por Robert Thomas Morris. Este programa emitía periódicamente en la pantalla el mensaje: "I'm a creeper… catch me if you can!" (Soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora). Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Tres programadores desarrollaron un juego llamado Core Wars, el cual consistía en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible. Después de 1984, los virus han tenido una gran expansión, desde los que atacan los sectores de arranque de diskettes hasta los que se adjuntan en un correo electrónico y se ocultan en un formato de imagen comprimida con la extensión JPG.
A continuación se presenta una breve cronología de lo que ha sido los orígenes de los virus: 1949: Se da el primer indicio de definición de virus. John Von Neumann (considerado el Julio Verne de la informática), expone su "Teoría y organización de un autómata complicado". Nadie podía sospechar de la repercusión de dicho artículo. 1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de núcleos. Consistía en una batalla entre los códigos de dos programadores, en la que cada jugador desarrollaba un programa cuya misión era la de acaparar la máxima memoria posible mediante la reproducción de sí mismo. 1970: Nace "Creeper" que es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER… ¡ATRÁPAME SI PUEDES!". Ese mismo año es creado su antídoto: El antivirus Reaper cuya misión era buscar y destruir a "Creeper".
1974: El virus Rabbit hacía una copia de sí mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema. 1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de 23 años que según él, todo se produjo por un accidente. 1983: El juego Core Wars, con adeptos en el MIT, salió a la luz pública en un discurso de Ken Thompson Dewdney que explica los términos de este juego. Ese mismo año aparece el concepto virus tal como lo entendemos hoy. 1985: Dewdney intenta enmendar su error publicando otro artículo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores".
1987: Se da el primer caso de contagio masivo de computadoras a través del "MacMag" también llamado "Peace Virus" sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y contaminó la computadora en la que realizaba pruebas con el nuevo software Aldus Freehand. El virus contaminó el disco maestro que fue enviado a la empresa fabricante que comercializó su producto infectado por el virus. Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusalén. 1988: El virus "Brain" creado por los hermanos Basit y Alvi Amjad de Pakistán aparece en Estados Unidos.
Definición
Es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos. Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.
Características
Dado que una característica de los virus es el consumo de recursos, los virus ocasionan problemas tales como: pérdida de productividad, cortes en los sistemas de información o daños a nivel de datos. Una de las características es la posibilidad que tienen de diseminarse por medio de replicas y copias. Las redes en la actualidad ayudan a dicha propagación cuando éstas no tienen la seguridad adecuada. Otros daños que los virus producen a los sistemas informáticos son la pérdida de información, horas de parada productiva, tiempo de reinstalación, etc. Hay que tener en cuenta que cada virus plantea una situación diferente.
Algunas de las características de estos agentes víricos:
Son programas de computadora: En informática programa es sinónimo de Software, es decir el conjunto de instrucciones que ejecuta un ordenador o computadora.
Es dañino: Un virus informático siempre causa daños en el sistema que infecta, pero vale aclarar que el hacer daño no significa que vaya a romper algo. El daño puede ser implícito cuando lo que se busca es destruir o alterar información o pueden ser situaciones con efectos negativos para la computadora, como consumo de memoria principal, tiempo de procesador.
Es auto reproductor: La característica más importante de este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro programa convencional hace. Imaginemos que si todos tuvieran esta capacidad podríamos instalar un procesador de textos y un par de días más tarde tendríamos tres de ellos o más.
Es subrepticio: Esto significa que utilizará varias técnicas para evitar que el usuario se dé cuenta de su presencia. La primera medida es tener un tamaño reducido para poder disimularse a primera vista. Puede llegar a manipular el resultado de una petición al sistema operativo de mostrar el tamaño del archivo e incluso todos sus atributos.
Los virus pueden infectar múltiples archivos de la computadora infectada (y la red a la que pertenece): Debido a que algunos virus residen en la memoria, tan pronto como un disquete o programa es cargado en la misma, el virus se "suma" o "adhiere" a la memoria misma y luego es capaz de infectar cualquier archivo de la computadora a la que esta tuvo acceso.
Pueden ser Polimórficos: Algunos virus tienen la capacidad de modificar su código, lo que significa que un virus puede tener múltiples variantes similares, haciéndolos difíciles de detectar.
Pueden ser residentes en la memoria o no: Como lo mencionamos antes, un virus es capaz de ser residente, es decir que primero se carga en la memoria y luego infecta la computadora. También puede ser "no residente", cuando el código del virus es ejecutado solamente cada vez que un archivo es abierto.
Pueden ser furtivos: Los virus furtivos (stealth) primero se adjuntarán ellos mismos a archivos de la computadora y luego atacarán el ordenador, esto causa que el virus se esparza más rápidamente. Los virus pueden traer otros virus: Un virus puede acarrear otro virus haciéndolo mucho más letal y ayudarse mutuamente a ocultarse o incluso asistirlo para que infecte una sección particular de la computadora.
Pueden hacer que el sistema nunca muestre signos de infección: Algunos virus pueden ocultar los cambios que hacen, haciendo mucho más difícil que el virus sea detectado.
Pueden permanecer en la computadora aún si el disco duro es formateado: Si bien son muy pocos los casos, algunos virus tienen la capacidad de infectar diferentes porciones de la computadora como el CMOS o alojarse en el MBR (sector de buteo).
Importancia
Los virus pueden ser letales para una computadora, por lo que hay que darle gran importancia, pues la tiene, ya que nuestro ordenador podría verse afectado por un virus en cualquier momento, y lo mejor para evitarlo es tener un antivirus que no permita la entrada de un malware que pueda dañar, modificar o eliminar cualquier de nuestros archivo. Es importante resaltar, que para los usuarios de computadores, no es de gran importancia que sus computadoras contengan virus, debido a que permite que el software trabaje más lento o su sistema operativo en general, es decir, un virus informático, es un problema para las computadoras, entonces, para los creadores de antivirus, es importante que existan los virus, debido aquellos ganan dinero en la programación y creación de antivirus, porque estos programas son vendidos en el mercado, por ende, para ellos es gran importancia que existan los virus de computadora y que a su vez los virus son creados por ellos mismo en algunos casos.
Ventajas
Gran detección de virus polimórficos o desconocidos.
Gran Protección Garantizada.
Gran facilidad de uso.
Buena Apariencia.
Protección en tiempo real contra los virus.
Fácil de actualizar la base de virus para una mejor protección.
Elimina todo fácilmente.
Es Fácil de instalar.
Desventajas
Utiliza muchos recursos y pone lento el CPU.
Es lento a la hora de escanear.
Es apto para computadores que tengan como mínimo en 512 de Memoria RAM.
Las opciones de conexión, búsqueda y protección son muy reducidas y limitadas, obligando a tener que soportar muchas ejecuciones secundarias no deseadas del programa.
No es software libre.
Tipos o Clasificación
Existen fundamentalmente dos tipos de virus:
Aquellos que infectan archivos. A su vez, éstos se clasifican en:
Virus de acción directa. En el momento en el que se ejecutan, infectan a otros programas.
Virus residentes. Al ser ejecutados, se instalan en la memoria de la computadora. Infectan a los demás programas a medida que se accede a ellos.
Un virus es simplemente un programa, una secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa mayoría de los casos, corromper o destruir parte o la totalidad de los datos almacenados en el disco. De todas formas, dentro del término "virus informático" se suelen englobar varios tipos de programas, por lo que a continuación se da un pequeño repaso a cada uno de ellos poniendo de manifiesto sus diferencias. La clasificación es la siguiente:
Virus que afectan los sectores de arranque de los discos o infectores del área de carga inicial: infectan los disquetes o el disco duro y se alojan en el área donde están los archivos que se cargan a memoria principal antes de cualquier programado disk boot sector. Son los programas que le preparan el ambiente al sistema operativo para que pueda interactuar con un programado. Toman el control cuando se enciende la computadora y lo conservan todo el tiempo.
Virus de sistemas: este tipo de virus infecta archivos que la máquina utiliza como interfase con el usuario (programas intérpretes de mandatos o shells), como por ejemplo, el COMMAND.COM. De esta forma, adquieren el control para infectar todo disco que se introduzca en la computadora.
Virus de archivos: este tipo de virus ataca los archivos. La mayor parte de ellos invaden archivos ejecutables; e.j., archivos con las extensiones .EXE y .COM. La infección se produce al ejecutar el programa que contiene el virus cuando ‚éste se carga en la memoria de la computadora. Luego comienza a infectar todos los archivos con las extensiones antes mencionadas al momento de ejecutarlos, autocopiándose en ellos.
Dentro del término "virus informático" se suelen englobar varios tipos de programas, por lo que a continuación se da un pequeño repaso a cada uno de ellos poniendo de manifiesto sus diferencias.
Gusanos: son programas que se reproducen a sí mismos y no requieren de un programa o archivo anfitrión. Porque se replica, este tipo de intruso puede disminuir la capacidad de memoria principal o de un disco; puede hacer más lento el procesamiento de datos. Algunos expertos no lo clasifican como virus porque no destruyen archivos y por qué no requieren anfitrión alguno para propagarse. Afectan los sistemas conectados en redes.
Virus Puros: Un verdadero virus tiene como características más importantes la capacidad de copiarse a sí mismo en soportes diferentes al que se encontraba originalmente, y por supuesto hacerlo con el mayor sigilo posible y de forma transparente al usuario; a este proceso de autorréplica se le conoce como "infección", de ahí que en todo este tema se utilice la terminología propia de la medicina: "vacuna", "tiempo de incubación", etc. Como soporte entendemos el lugar donde el virus se oculta, ya sea fichero, sector de arranque, partición, etc. Un virus puro también debe modificar el código original del programa o soporte objeto de la infección, para poder activarse durante la ejecución de dicho código; al mismo tiempo, una vez activado, el virus suele quedar residente en memoria para poder infectar así de forma trasparente al usuario.
Bombas de Tiempo: son virus programados para entrar en acción en un momento predeterminado, una hora o fecha en particular. Se ocultan en la memoria de la computadora o en discos, en archivos con programas ejecutables con las extensiones .EXE y .COM. Cuando llega el momento apropiado, "explotan", exhibiendo un mensaje o haciendo el daño para el cual fueron programados. Se activan cuando se ejecuta el programa que lo contiene.
Caballos de Troya: son virus que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final, como el Caballo de Troya original. Al cabo de algún tiempo se activan y muestran sus verdaderas intenciones. Por ejemplo, un programa "disfrazado" puede estar presentándole al usuario unas gráficas bonitas en pantalla y por otro lado está destruyendo el contenido de algún archivo o está reformateando el disco duro. Por lo general, son destructores de información que esté en disco.
CAPÏTULO II
Anti-Virus
Reseña Histórica
Los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informáticos, que nacieron durante la década de 1980. Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectarlos y prevenir una infección de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador está en uso. Asimismo, cuentan con un componente de análisis bajo demando (los conocidos scanners, exploradores, etc), y módulos de protección de correo electrónico, Internet, etc.
El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección.
Definición
Son programas desarrollados por las empresas productoras de Software. Tiene como objetivo detectar y eliminar los virus de un disco infectado estos programas se llaman antivirus, y tienen un campo de acción determinado, por lo cual son capaces de eliminar un conjunto de grandes virus, pero no todos los virus existentes, y protegen a los sistemas de las últimas amenazas víricas identificadas. Es un programa creado para prevenir o evitar la activación de los virus, así como su propagación y contagio. Cuenta además con rutinas de detención, eliminación y reconstrucción de los archivos y las áreas infectadas del sistema.
Un antivirus tiene tres principales funciones y componentes:
Vacuna, es un programa que instalado residente en la memoria, actúa como "filtro" de los programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo real.
Detector, que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los códigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rápida desarman su estructura.
Eliminador, es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas afectadas.
Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva. La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada
Importancia
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
Tipos o Clasificación de Antivirus
Los antivirus informáticos son programas cuya finalidad consiste en la detección, bloqueo y/o eliminación de un virus de las mismas características. Una forma de clasificar los antivirus es:
Antivirus Preventores: Como su nombre lo indica, este tipo de antivirus se caracteriza por anticiparse a la infección, previniéndola. De esta manera, permanecen en la memoria de la computadora, monitoreando acciones y funciones del sistema.
Antivirus Identificadores: Esta clase de antivirus tiene la función de identificar determinados programas infecciosos que afectan al sistema. Los virus identificadores también rastrean secuencias de bytes de códigos específicos vinculados con dichos virus.
Antivirus Descontaminadores: Comparte una serie de características con los identificadores. Sin embargo, su principal diferencia radica en el hecho de que el propósito de esta clase de antivirus es descontaminar un sistema que fue infectado, a través de la eliminación de programas malignos. El objetivo es retornar dicho sistema al estado en que se encontraba antes de ser atacado. Es por ello que debe contar con una exactitud en la detección de los programas malignos.
Antivirus en Línea (por medio de Internet): No proporcionan protección, sólo sirven para hacer un análisis y detectar la presencia de virus. No hay que instalarlo en el ordenador, sino que usted accede a la página Web del antivirus y procede a la búsqueda de virus en su ordenador. Sólo funcionan cuando se entra en la página Web de la aplicación. No protegen su ordenador permanentemente. Es de utilidad para saber si el sistema está infectado.
Software Antivirus: Consiste en un programa que se debe instalar en su ordenador. Protege su sistema permanentemente, si algún virus intenta introducirse en su ordenador el antivirus lo detecta. La desventaja es el precio, ya que es un Software antivirus de pago.
Otra manera de clasificar a los antivirus es la que se detalla a continuación:
Cortafuegos: Estos programas tienen la función de bloquear el acceso a un determinado sistema, actuando como muro defensivo. Tienen bajo su control el tráfico de entrada y salida de una computadora, impidiendo la ejecución de toda actividad dudosa.
Antiespías: Esta clase de antivirus tiene el objetivo de descubrir y descartar aquellos programas espías que se ubican en la computadora de manera oculta.
Antipop-Ups: Tiene como finalidad impedir que se ejecuten las ventanas pop-ups o emergentes, es decir a aquellas ventanas que surgen repentinamente sin que el usuario lo haya decidido, mientras navega por Internet.
Antispam: Se denomina spam a los mensajes basura, no deseados o que son enviados desde una dirección desconocida por el usuario. Los antispam tienen el objetivo de detectar esta clase de mensajes y eliminarlos de forma automática.
Autor:
Michael Vitriago