Virus informáticos: Información General sobre los virus informáticos

Antivirus. Desinfección. Técnicas de Ocultación. Viral. Troyanos. Gusanos. BackDoor. Propagación

  • Enviado por: Alfredo Amutio
  • Idioma: castellano
  • País: Argentina Argentina
  • 18 páginas
publicidad

Información General sobre los virus:

Un virus es una pieza de software diseñada y escrita para afectar adversamente su computadora, alterando la forma en que trabaja sin su permiso o conocimiento.
En términos más técnicos, un virus es un segmento de código de programación que se implanta a si mismo en un archivo ejecutable y se multiplica sistemáticamente de un archivo a otro.
Los virus de computación no se generan espontáneamente: Deben ser escritos y tener un propósito específico.

Usualmente un virus tiene dos funciones distintivas:

  • Se reproduce a si mismo de un archivo a otro sin su intervención o su conocimiento.

  • Implementa el síntoma o daño planeado por el perpetrador.
    Eso podría incluir borrar un disco, corromper sus programas o simplemente crear un caos en su computadora.
    Técnicamente, esto es conocido como el "cargamento" del virus, que puede ser benigno o maligno a voluntad del creador del virus.

Un virus benigno es uno que no está diseñado para causar un daño real a su computadora.
Por ejemplo, un virus que se esconde hasta un momento o fecha predeterminado y entonces lo único que hace es mostrar algún tipo de mensaje, es considerado benigno.

Un virus maligno intenta infligir un daño malicioso a su computadora, aún cuando el daño pueda no ser intencional. Hay un número significativo de virus que causan daños reales debido a mala programación y auténticos defectos en el código viral.
Un virus maligno podría alterar uno o más de sus programas de modo que no trabaje como debiera. El programa infectado podría terminar anormalmente, escribiendo información incorrecta en sus documentos.
O el virus podría alterar la información sobre los directorios en una de sus áreas de sistema. Esto podría impedir que la partición sea montada, o que Ud. no pudiese correr uno o más programas, o que los programas no pudieran localizar los documentos que Ud. quiere abrir.

Algunos de los virus identificados son benignos; sin embargo, un alto porcentaje de ellos son muy malignos. Algunos de los virus más malignos borrarían todo su disco duro, o borrarían archivos.

Cómo se propagan las infecciones virales:

  • Diskettes Infectados

  • Software 'Pirata' en Diskettes y CDs

  • Redes de Computadoras

  • Mensajes de Correo Electrónico Corruptos

  • Software Bajado del Internet

  • Discos de Demostración y Pruebas Gratis

El Alto Costo de los Virus

Mientras que muchos virus son diseñados para ser meros irritantes, otros son programados con la peligrosa habilidad de dañar archivos, destruir datos y 'hacer caer' sistemas de computación completos. Desde 1990, los virus de computación han costado a las empresas en el mundo entero casi 2.000 millones de dólares en datos perdidos, costos de reparación, perdida de productividad, y más.

Los virus pueden ser igualmente devastadores para el usuario particular. Si Ud. nota cualquiera de los siguientes síntomas en su PC o portátil, éste podría ser causado por un virus.

Síntomas Comunes de los Virus de Computadoras:

  • Mayores Tiempos de Carga de los Programas

  • Operación Más Lenta del Sistema

  • Reducción del Espacio de Memoria o Disco

  • Mensajes de Error Inusuales

  • Actividad de Pantalla Inusual

  • Fallas en la Ejecución de los Programas

  • Frecuentes Caídas del Sistema

Virus: La Amenaza es Real

No es una exageración decir que los virus podrían interrumpir el libre flujo de información que ha sido construido por la computación personal en los últimos 10 años. De hecho, la prevalecencia de los virus ha introducido una nueva era de seguridad en computación, al punto de que aquellos que ignoren los procedimientos corren graves riesgos. Considerando los extremados avisos de peligro - y los incidentes ya documentados - es un misterio que haya algunos en la industria de la computación que afirmen que las noticias sobre los virus son exageradas.

El Centro Nacional para Datos de Crimen de Computación en Los Angeles, estima que los negocios de los Estados Unidos han perdido tanto como $550 millones anuales por accesos no-autorizados a computadoras. La cantidad de tiempo perdido podría ser incalculable.

Como una indicación de la severidad del problema, el gobierno federal de los Estados Unidos ha ayudado a formar un grupo de acción anti virus llamado el Grupo de Respuesta a Emergencias de Computación. Su trabajo es investigar amenazas contra la seguridad en todo el país. La Asociación de Editoriales de Software también ha adoptado ciertas medidas para encarar el problema.

Más aún, durante el año pasado muchas compañías listadas por Fortune han comenzado a establecer políticas de computación para lidiar con los virus. En muchos casos, esos nuevos procedimientos implementarán prácticas para probar todo nuevo software antes de que sea instalado en una red y para restringir la bajada de software de los centros de distribución electrónica. Literalmente nadie que use computadoras - ni el gobierno, ni la policía, ni su banco local - es inmune a los virus de computación.

Suponga que un Transbordador Espacial ejecutara un comando de un programa infectado por un virus. O que un Controlador de Tráfico Aéreo recibiera información errada de un sistema dañado. O que los récords financieros de su compañía fuesen de pronto borrados o permanentemente alterados.

Estas no son necesariamente fantasías de un desastre inminente. Hasta ahora, los virus de computación han infectado una variedad de sistemas, incluyendo compañías del Fortune 500, agencias gubernamentales, grandes universidades, periódicos y grandes redes que enlazan grandes números de computadoras y gigantescos volúmenes de información.

Tipos de Virus de Computación:

Un virus de computación es un programa diseñado para replicarse y distribuirse por si mismo, preferiblemente sin que Ud. sepa que existe. Los virus de computación se distribuyen pegándose a otros programas (como sus programas de Procesamiento de Palabras u Hoja de Cálculos) o en el sector de arranque de un diskette. Cuando un archivo infectado es ejecutado, o la computadora es arrancada desde un diskette infectado, el virus mismo es ejecutado. Frecuentemente, se esconde en la memoria, esperando infectar al próximo programa que corra, o el próximo disco accesado. Adicionalmente, muchos virus también causan un evento, como mostrar un mensaje en cierta fecha, o borrar archivos luego de que el programa infectado ha corrido un cierto número de veces. Mientras que algunos de estos eventos causados son benignos (como aquellos que muestran mensajes), otros pueden ser detrimentales. La mayoría de los virus son benignos, muestran mensajes o dibujos, o no hacen nada. Otros virus son molestos, reduciendo la velocidad del sistema, o causando cambios menores en la pantalla de su computadora. Algunos virus, sin embargo, son realmente amenazadores, causantes de caídas del sistema, archivos dañados y pérdida de data.

Infectores de Archivos:

Estos son virus que se pegan de (o reemplazan) archivos .COM y .EXE, aunque en algunos casos infectan archivos con extensiones .SYS, .DRV, .DLL .BIN, .OVL y .OVY. Con este tipo de virus, los programas sanos usualmente se infectan cuando son ejecutados con el virus en memoria. En otros casos son infectados al ser abiertos, o el virus simplemente infecta todos los archivos del directorio desde el que fue corrido.

Infectores del Sector de Arranque:

Cada drive lógico, tanto discos duros como floppies, contiene un Sector de Arranque. Esto es cierto incluso en discos que no son "booteables". Este Sector de Arranque contiene información específica relativa al formato del disco y los datos almacenados en él, y contiene un pequeño programa llamado el Programa de Arranque (que carga los archivos de sistema del DOS). El Programa de Arranque muestra el familiar mensaje "Non-system Disk or Disk Error", si los archivos de sistema del DOS no

están presentes. Es también el programa que es infectado por estos virus.
Su computadora se infecta con un virus del Sector de Arranque, dejando un diskette infectado en el drive de arranque y encendiéndola. Cuando el Programa de Arranque es leído y ejecutado, el virus entra en memoria e infecta su disco duro.
Recuerde, debido a que cada disco contiene un Sector de Arranque, es posible (y común) infectar una máquina con un disco de datos.
NOTA: Tanto floppies como discos duros contienen Sectores de Arranque.

Infectores del Récord Maestro de Arranque:

El primer sector físico de cada disco duro (Lado 0, Track 0, Sector 1) contiene el Récord Maestro de Arranque (Master Boot Récord) y la Tabla de Partición.
El Récord Maestro de Arranque (MBR) contiene un pequeño programa llamado el Programa Maestro de Arranque, que busca en la Tabla de Partición los valores para la localidad inicial de la Partición de Arranque, y ordena al sistema ir allí, y ejecutar cualquier código que encuentre. Asumiendo que su disco esta apropiadamente configurado, lo que se encuentra en esa localidad (Lado 0, Track 0, Sector 1) es un Sector de Arranque válido.
En los floppies, estos mismos virus infectan los Sectores de Arranque.

Su computadora se infecta con un virus del Récord Maestro de Arranque en exactamente la misma forma en que se infecta con un virus del Sector de Arranque -- dejando un diskette infectado en el drive de arranque y encendiendo la computadora. Cuando el Programa del Sector de Arranque es leído y ejecutado, el virus entra en memoria e infecta el MBR de su disco duro.
De nuevo, debido a que cada disco contiene un Sector de Arranque, es posible (y común) infectar una máquina con un disco de datos.

Infector Directo:

Un virus que está activo sólo mientras que un archivo infectado esté siendo ejecutado.

Infector Residente en Memoria:

Un virus Residente en Memoria es muy parecido a un programa convencional que termina y queda residente en memoria (TSR). Toma control del sistema y continúa infectando mientras use la computadora, incluso si cierra el programa infectado. Mantiene control hasta que la memoria de la computadora sea limpiada, re-iniciándola "en frío", esto es, apagándola o con un "Reset". (Algunos virus pueden sobrevivir un Ctrl-Alt-Del).

BOMBAS

Bombas de software

Fueron durante mucho tiempo el código mas fácil de programar y reproducir. Las bombas de software simplemente detonan a los pocos segundos de ser "lanzadas" (ejecutadas) sin avisar al usuario (o en algunos casos mostrando un mensaje del tipo: "Espere mientras se inicializa el sistema" o "Cargando datos...Por favor espere.) y, generalmente, produciendo una perdida total de los datos del computador
Por lo general no se reproducen.

Bombas lógicas

Similares a las bombas de software, realizan algún tipo de acción destructiva dependiendo del estado de algunas variables de ambiente del sistema donde actúan.
Una bomba lógica podría, por ejemplo, esperar que se "creador" ingrese periódicamente una contraseña y empezar a actuar cuando la misma no es provista por un tiempo determinado (dias, semanas, meses) produciendo la destrucción de los datos del sistema.

Bombas de tiempo

Este tipo de programas es técnicamente iguales a las bombas lógicas, ya que actúan condicionadas a alguna variable del ambiente relacionada con el tiempo. Sin embargo la difusión obtenida les dio su clasificación propia.
Por ejemplo, las bombas de tiempo se programan para "estallar" después de tantas ejecuciones (al menos 2 ejecuciones), en una fecha determinada (6 de marzo o viernes 13) o a una hora determinada del dia (por ejemplo a medianoche).

Tipos generales de virus informáticos

BUG-WARE

Bug-ware es el termino dado a programas informáticos legales diseñados para realizar funciones concretas. Debido a una inadecuada comprobación de errores o a una programación confusa causan daños al hardware o al software del sistema. Muchas veces los usuarios finales aducen esos daños a la actividad de virus informaticos. Los programas bug-ware no son en absoluto virus informaticos, simplemente son fragmentos

de código mal implementado, que debido a fallos lógicos, dañan el hard o inutilizan los datos del computador.

CAMALEONES

Son una variedad de virus similares a los Caballos de Troya que actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad estan haciendo algún tipo de daño. Cuando estan correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales).
Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos (rlogin, telnet) realizando todas las acciones que ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón.

REPRODUCTORES

Los reproductores (conejos - Rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria virtual del sistema.
La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal. La principal diferencia entre reproductores y virus informáticos es que los primeros no atacan el sistema de archivos ni producen ningún daño irreparable, además no tienen relación parasitaria con los archivos ejecutables ya que son programas totalmente autónomos.

GUSANOS (worms)

Los gusanos son programas que constantemente viajan a través de un sistema informático interconectado, de computador en computador, sin dañar necesariamente el hardware o el soft de los sistemas que visitan.
La función principal es viajar en secreto a través de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de password) para enviarla a un equipo determinado al cual el creador del virus tiene acceso.

VIRUS PROPIAMENTE DICHOS

Los virus propiamente dichos son programas que "modifican" a otros programas para incluir una copia ejecutable, y posiblemente alterada, de ellos mismos.
La estrategia de contaminación es la inclusión de clones o la creación de cubiertas alrededor de programas

ejecutables, de manera que, al ejecutar el programa se ejecuta también el virus.
Un virus programado correctamente no modificara la fecha o la longitud de un archivo al infectarlo, así como tampoco cambiara los permisos u otras características del mismo. Para evitar contagiar nuevamente archivos ya infectados, los virus usan marcas especiales dentro del cuerpo del mismo ejecutable. Estas marcas son creadas durante la infestación inicial.
Cuando ya no pueden encontrarse archivos ejecutables no infectados, o al producirse alguna otra condición determinada los virus comienzan sus acciones de intromisión en las acciones del sistema. Las acciones de un virus pueden ir desde presentar mensajes inocuos por pantalla, hasta la destrucción total de los datos del

sistema, pasando por acciones intermedias como hacerse pasar por errores del Sistema Operativo o simular fallas de hardware con el único fin de burlarse del usuario.
Los virus estratégicamente programados realizan sus acciones especificas de destrucción y luego borran todo rastro de sus existencia para evitar ser detectados.

PUNTOS PROPICIOS DE INFECCION DE LOS VIRUS INFORMATICOS

Los puntos de infección son los lugares o programas del sistema en donde los virus insertan su código ejecutable para posteriormente entrar en acción cuando este punto o programa sea ejecutado.
Hay virus que infectan el sector de arranque (boot sector), el interprete de comandos (shell), archivos ejecutables, drivers controladores de dispositivos, monitores residentes en memoria, etc.
Cada técnica de infección proporciona ventajas y desventajas a los programadores de virus. Algunos métodos son mejores porque es mas difícil que un software antivirus los detecte, pero exigen técnicas de programación muy rigurosas y mucho tiempo de desarrollo.
Algunas de las técnicas frecuentemente usadas utilizan los siguientes puntos de infección:

Contaminación del sector de arranque (boot)

El virus sustituye el sector de booteo original del computador cambiando así la secuencia normal de booteo. De esta manera, lo primero que se ejecuta al encender el sistema es el código del virus, el cual queda residente en memoria y luego carga el núcleo del sistema operativo.
Las principales ventajas de este tipo de infección son que, por un lado, es fácil de programar un virus de estas características y, por otro lado, al quedar el virus por debajo del sistema operativo tiene virtualmente un control total sobre las acciones del mismo e incluso puede engañar mas fácilmente a muchos programas antivirus.
Su principal desventaja es que son fácilmente detectables y eliminables ya que basta con reinstalar nuevamente un sector de arranque "bueno" para eliminar el virus.

Contaminación del interprete de comandos (shell)

Este tipo de infección es muy similar a la anterior, ya que el virus únicamente infecta un solo programa del sistema operativo, el interprete de comandos.
La principal ventaja de estos virus es que pueden "interceptar" todas las ordenes que el usuario le da al sistema y en algunos casos (dependiendo de la función del virus) solapar las acciones que se deben realizar con otras acciones falsas introducidas por el mismo virus.
Por ejemplo: Cuando el usuario quiere ver el contenido de un directorio el virus se lo muestra, pero lo que en realidad hace es borrar totalmente ese directorio. El engaño pude llegar incluso hasta el punto de que durante toda le sesión presente el virus muestre el contenido del directorio como si aun existiese, aunque en realidad ya esta borrado.

Contaminación de propósito general

Este método de infección es uno de los mas usados, ya que los virus de este tipo contagian todos los archivos ejecutables que encuentren en el sistema de archivos.
Independientemente de la acción destructiva que realizan, son extremadamente difíciles de erradicar, ya cuando se los detecta posiblemente ya hayan contaminado decenas o cientos de programas del sistema, los cuales en muchos casos no se pueden recuperar (ver Desinfección) e incluso es posible que el virus haya contagiado algún otro sistema al cual se llevo alguno de los programas infectados.
Por lo general este tipo de virus asegura su permanencia contagiando cierta cantidad de archivos antes de

iniciar sus acciones destructivas, con lo cual, al momento de detectarlo, el virus puede haber infectado todo el sistema e incluso otros sistemas.
Una variante de este tipo de virus son los virus de propósitos específicos (SPI) diseñados generalmente con fines de competencia entre empresas de software o para castigar la piratería de algún paquete de

software en particular. Este tipo de virus solamente ataca determinados programas o paquetes de software de determinadas empresas y por lo general termina destruyéndolo o modificándolo para que -en

apariencia- funcione mal. Algunas variantes de estos virus también contagian otros archivos ejecutables en general persiguiendo dos fines fundamentales: Poder actuar en el futuro ante una reinstalación del

software que combaten y, por otro lado, la infección de otros archivos en general desvía las sospechas

sobre las verdaderas intenciones del virus

Virus residentes en memoria

El ultimo tipo de infección son lo virus residentes en memoria (MRI), los cuales, a diferencia de los anteriores que solo actuaban mientras se ejecutaba el programa infectado, se instalan en memoria y allí permanecen hasta que se apague el sistema.

Estando en memoria el virus puede realizar todas las acciones de contagio y destrucción que desee en cualquier momento.

Estrategias de infección usadas por los virus

Aunque se pueden considerar diversas variantes es factible agruparlas en 5 categorías principales:

Añadidura o empalme

Por este método el código del virus se agrega al final del archivo ejecutable a infectar, modificando las estructuras de arranque del archivo anfitrión de manera que el control del programa pase primero al virus cuando se quiera ejecutar el archivo. Este cambio de secuencia permite al virus realizar sus tareas especificas y luego pasar el control al programa para que este se ejecute normalmente.
La principal desventaja de este método es que el tamaño del archivo infectado es mayor al original, lo que permite una fácil detección.

Inserción

Los virus que utilizan el método de inserción buscan alojarse en zonas de código no utilizadas o en segmentos de datos dentro de los archivos que contagian, de esta manera la longitud total del archivo infectado no varia.
Este método, parecido al de empalme, exige mayores técnicas de programación de los virus para poder detectar las zonas posibles de contagio dentro de un ejecutable, por lo que generalmente no es muy utilizada por los programadores de virus informáticos.

Reorientación

Este método es una variante interesante del anterior. Bajo este esquema se introducen centrales viricas (los códigos principales del virus) en zonas físicas del disco rígido marcadas como defectuosas o en archivos ocultos del sistema. Estos códigos vírales, al ejecutarse, implantan pequeños trozos de código en los archivos ejecutables que infectan, que luego actúan como llamadores de las centrales viricas.
La principal ventaja de este método es que el cuerpo del virus, al no estar inserto en el archivo infectado sino en otro sitio oculto, puede tener un tamaño bastante grande, aumentando así su funcionalidad.
La desventaja mas fuerte es que la eliminación de este tipo de infecciones es bastante sencilla. Basta con borrar archivos ocultos sospechosos o reescribir las zonas del disco marcadas como defectuosas.

Polimorfismo

Este es el método mas avanzado de contagio logrado por los programadores de virus.
La técnica básica usada es la de inserción del código viral en un archivo ejecutable, pero para evitar el aumento de tamaño del archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión de manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutar el programa infectado actúa primero el código del virus descompactando en memoria las porciones previamente

compactadas.

Una variante mejorada de esta técnica permite a los virus usar métodos de encriptacion dinámicos para disfrazar el código del virus y evitar ser detectados por los antivirus.

Sustitución

El método de sustitución, usado con variantes por los camaleones y los caballos de troya, es quizás el método mas tosco. Consiste en sustituir el código completo del archivo original por el código del virus. Al

ejecutar el programa infectado el único que actúa es el virus, que cumple con sus tareas de contagiar otros archivos y luego termina la ejecución del programa reportando algún tipo de error. Esta técnica tiene sus ventajas, ya que en cada infectación virica se eliminan archivos de programas validos, los cuales son reemplazados por nuevas copias del virus.

MEDIDAS ANTIVIRUS

No existe hoy en dia una política antivirus que sea cien por ciento efectiva. La forma de evitar desastres es mantenerse al tanto de las ultimas novedades en seguridad informática existentes en el mercado en la forma de paquetes antivirus, sumado a una buena gestión del sistema de discos. También es importante mantenerse al tanto de algunos métodos "caseros" de identificar y erradicar infecciones de virus descubiertas recientemente y que con seguridad no estan incluidas en la lista de virus conocidos que su antivirus detecta.
La consigna principal es tener un buen programa antivirus instalado en el sistema y mantenerse al tanto de las actualizaciones que tiene dicho producto.

UN PROGRAMA ANTIVIRUS POR MUY BUENO QUE SEA SE
VUELVE OBSOLETO MUY RAPIDAMENTE ANTE LOS
NUEVOS VIRUS QUE APARECEN DIA A DIA ! ! !

Por otro lado una buena gestión del sistema de discos le permitirá mantener ordenado el sistema de archivos aumentando la posibilidad de detección de anomalías tales como archivos o directorios que faltan o que antes no estaban y ahora si.
También es una buena política antivirus evitar la inclusión en el sistema de programas "piratas" o de procedencia dudosa ya que son los mas suceptibles de estar contaminados.

COMPUTADORAS AL BORDE DE UN ATAQUE DE VIRUS. Parte 1.

por Héctor Ugalde Corral (UCH)

Artículo publicado en la Revista "Personal Computing México"

Mayo 1996

Usuario: ¿Y qué es lo mejor para los virus?

Cracker: Los usuarios confiados...

Hacker: íCálmate Cracker! Usuarios: íNunca confíen en un Cracker con piel de Hacker!

Amigo (usuario Avanzado): ¿Y qué es lo mejor para los usuarios

CONTRA los virus?

U: ¡Y contra los Crackers que los escriben!...

H: Pues aunque ya se han dado algunas "Medidas antivirus" en los números

de Febrero, Marzo y Abril de 1995, y también en Junio, que fue un

número especial sobre virus (en ese mismo número iniciamos una serie

de 3 artículos de como eliminar virus). Ahora resaltaremos los

consejos más importantes para evitar a los virus.

C: ¡El primer consejo es nunca seguir un consejo!

A: ¡Carambas con el Cracker y sus virus verbales!

H: Un aspecto frustrante de la lucha antivirus son los rumores y la desinformación.

C: ¡La desinformación quiere ser libre!

U: ¡Pero cuánto cuesta la desinformación!

C: ¡Libre, pero no gratis!

U: No. ¡Cuánto cuesta en errores y en pérdidas tanto de dinero, como de datos!

H: Por eso es triste leer que los virus del sector de arranque

(Boot Virus) representan casi un 50% de los virus libres.

C: ¡También los virus quieren ser libres!

H: Bueno, libres, sueltos, en estado salvaje.

U: ¿Pero qué tiene de triste eso del casi 50% de virus de arranque?

C: Es triste porque deberían de ser el 100%

A: ¡Triste Cracker!

H: Es que esos virus infectan por arrancar una computadora desde un diskette infectado, y ¡es muy fácil evitar esas infecciones!

U: ¿Fácil? ¿Cómo?

H: Pues muy sencillo: ¡simplemente no arrancando la computadora desde

diskette! Ahora que prácticamente todas las computadoras tienen disco

duro, todas deberían de arrancar siempre desde él, y NUNCA desde diskette.

U: ¿Y cómo logro eso?

H: Una regla sería la de NUNCA dejar diskettes colocados en la unidad, y

de SIEMPRE quitarlos después de usarlos.

C: ¡Diskettes desechables! ¡Úselos y tírelos!

A: ¡Úselos y guárdelos, Cracker destructor!

H: El punto es evitar que la computadora se encienda desde un diskette posiblemente infectado, ya que entonces, aunque el diskette sea de datos y no contenga sistema operativo ni programas, lo que siempre contiene es el pequeño programa que avisa que el diskette no es del sistema, y que entonces se coloque un disco que sí contenga los programas del sistema de arranque, y que se oprima una tecla para continuar con el arranque. Es precisamente en este pequeño programa

donde puede estar alojado un virus, el cu al inmediatamente puede

infectar el disco duro, saltándose todos los programas de protección antivirus que tengamos en él ¡pues estos programas NO se han ejecutado todavía!

A: ¡Recórcholis! ¡Entonces el mensaje "Non-System disk" puede ser el mensaje de que acabamos de infectarnos!

C: ¡Si quieres podemos cambiarle el mensaje a "All-Virus disk"!

U: O "Non-System Virus", o "Boot-Virus disk".

A: ¡Pues yo prefiero un "Non-Virus disk"!

H: Ya sé que es difícil de acordarse de NO dejar un diskette puesto en la unidad. O peor aún, hay veces en que la máquina se rearranca sola cuando estamos trabajando (quizás con ese diskette peligroso colocado).

U: O se traba, y entonces se oprime el botón de "reset", u oprimimos las teclas Crl-Alt-Del, o la apagamos y la volvemos a prender, sin fijarnos que está insertado un diskette.

H: Entonces lo mejor es desactivar el arranque de diskette.

U: ¿Y cómo se hace eso?

H: En muchas computadoras se puede desactivar desde el programa de configuración "SetUp", el cual NO es un programa en disco, sino que está "grabado" permanentemente en la memoria ROM, en el BIOS, y se "ejecuta" cuando al arrancar el equipo se oprimen las teclas Ctrl-Alt-Esc al mismo tiempo en algunas computadoras, o la tecla "Del" o "Supr" en otras.

A: La tecla o la combinación de teclas dependen de la marca del Bios, ¿no?

H: Sí. Incluso cuando se prende la máquina, y después del chequeo de memoria, aparece un mensaje diciendo que teclas oprimir para entrar al "Setup". Entonces podemos deshabilitar el arranque desde la unidad de diskette, entrando por ejemplo en "System Security" y en la opción "System Boot Drive" poniendo [ Drive C: ] o [ Drive C: then A: ]

A: Otra alternativa es la de poner un artefacto que es una cerradura física para unidad de diskettes ("drive lock").

C: ¡Cinturón de castidad para floppies!

A: Si se requiere instalar un diskette, ya sea para instalar un nuevo software, o para obtener copiar respaldo de los archivos, simplemente se recurre al responsable que tiene la llave para abrir la cerradura.

H: ¡Existen empresas que han llegado al extremo de eliminar por completo la unidad de diskettes!

U: ¿Y cómo instalan nuevos programas? o peor ¿cómo sacan respaldos de los datos?

H: Esto lo han hecho principalmente en estaciones de trabajo conectadas a redes, así la instalación de nuevos paquetes y los procesos de respaldo se hacen desde una máquina especial, controlada por el administrador de la red.

U: ¿No nos tienen confianza a los usuarios?

C: ¿Miedo? No, ¡precaución!

H: Es para evitar riesgos, tentaciones, posibilidades de error y hasta sabotaje.

A: Y es que así como las enfermedades entran por la boca, ¡los virus entran por los diskettes!

C: La computadora, por la unidad de diskettes muere.

U: En unidad de diskettes cerrada no entran virus.

H: Te olvidas que existen otras vías de infección, como la nariz, y en las computadoras el módem.

A: Pero el peligro de infección por módem es bajo.

H: Depende de lo que hagas. Si te conectas sólo para leer tu correo o transferir archivos de datos, entonces no hay peligro de infección. (Excepto por la posibilidad de virus de macros en documentos de MS-Word, lo cual se verá próximamente).

U: ¿Y cómo sí me puedo infectar por módem?

H: La única posibilidad de infección es la de transferir un programa a tu computadora, y aún así te infectarías sólo hasta que ejecutaras el programa.

U: ¿Y en Internet?

H: Lo mismo. No se puede uno infectar ni por correo electrónico, ni por grupos de discusión, ni por FTP, ni por IRC, ni por Gopher, ni navegando por el World Wide Web, a menos que se "baje" (download) un programa infectado y se ejecute.

A: Pero si quiero traerme un programa ShareWare, o una demo y deseo ejecutarlo, ¿qué hago?

H: La recomendación es que bajes programas solamente de lugares reconocidos (las principales colecciones de software como las nombradas en Diciembre), y que cheques contra virus TODO programa que se transfiera.

C: Incluyendo las vacunas antivirus.

H: Cierto, un programa antivirus puede checar a otro. Aquí cabe otra sugerencia importante: tener varios programas antivirus, y tener siempre las últimas versiones y estarlos actualizando.

U: ¿Y cuáles son los mejores programas antivirus?

H: Hay muchas opiniones divididas, pero los principales son: el Dr. Solomon's AntiVirusToolKit (AVTK), el McAfee ViruScan (SCAN), el ThunderByte AntiVirus (TBAV), el F-PROT y el Norton AntiVirus (NAV).

C: Pero los mejores siguen siendo los virus...

A: ¿Cuáles? ¿Los de casi 50% de infecciones? ¿O los otros virus?

H: ¡Bueno! Además de los virus de arranque (boot virus), que infectan cuando se arranca desde un disco infectado, existen los virus de archivos (file infectors), los cuales infectan cuando se ejecuta un programa infectado.

A: Habrá que aclarar que NO puede uno infectarse de un virus de arranque por módem o Internet.

H: Cierto. Sólo por virus de archivos, o virus combinados (multipartitas).

C: ¡La mejor combinación!

H: Un punto también esencial es la utilizar TODAS las diferentes opciones de protección de los programas antivirus: búsqueda de firmas (scan), chequeo de cambios por códigos de verificación CRC, monitoreo residente en memoria, bloqueo de operaciones sospechosas, protección del sector de arranque y otras, porque la mayoría sólo usa el módulo de "escaneo".

A: Este... yo ya no voy a ser de la mayoría...

H: Continuará en el próximo número.

C: ¡Ahí nos virus!

HISTORIA DE LOS VIRUS. Parte I

por Héctor Ugalde Corral (UCH)

Artículo publicado en la Revista "Personal Computing México"

Marzo 1996

Usuario: ¨Y cuál fue el primer virus?

Cracker: El mío...

Hacker: No está muy claro cuál fue el primer virus.

Amigo (usuario Avanzado): Ni cuál será el último...

C: Porque nunca habrá un último virus.

H: Podríamos decir que los primeros conceptos de programas autoreplicantes...

C: ¿Programas contestones?

H: Programas que se reproducen, los cuales se describen en el trabajo

"Theory and Organization of Complicated Automata" por John Von Newman en

1942.

U: ­Y a poco había computadoras en ese entonces!

A: Sí, dijo 1942 y no 1492, Cristobal Colón...

H: En ese tiempo, los programas se "alambraban", es decir los programas eran conexiones que

se hacían entre las diversas partes electrónicas de la computadora. Hasta que precisamente John

Von Newman creó el concepto de "programa almacenado", en el cual los programa y datos se

Almacenan juntos en la memoria de la computadora.

C: Juntos, pero no revueltos.

U: ¡Los programas son datos a final de cuentas!

A: Sí. Son datos que se interpretan como instrucciones.

H: Esto le dio una gran flexibilidad a la computadora, sin embargo el

poder modificar las instrucciones creo también la posibilidad de

"sabotear" el código...

C: ­VIRUS!!!

H: ¡Todavía no! Otra aproximación ocurrió a finales de los años 50, en

los laboratorios Bel, allí tres informáticos H. Douglas Mcllroy, Victor

Vysottsky y Robert Moris inventaron un juego llamado "Core Wars", el

cual consiste en elaborar "programas" para una computadora ficticia

simulada. El objetivo es que los programas sobrevivan usando técnicas de

ataque, ocultamiento y reproducción semejantes a los virus.

U: ¿Core Wars? ¿Guerras del centro?

A: Guerras de Memoria Central... en un tiempo fue muy común llamar a la

memoria principal 'Core Memory'.

H: Más adelante aparecieron otros "Juegos de vida", como el "Darwin" en

1972 que se describe en el número 2 de la revista "Software: Practise

and Experience" de la compañía AT&T.

U: ­Programas que evolucionan!

H: John Shoch y Jon Hupp, investigadores del Palo Alto Research Center

(PARC) de Xerox aseguran que ya en 1970 habían elaborado programas con

ciertas técnicas virales de reproducción. Aunque los programas eran

"virus buenos" pues checaban continuamente la "salud" de las redes.

C: ¨Virus buenos? ¿Virus médicos? ¡Ja!

H: ¡No te hagas el maloso!

C: Al menos me complace el que a uno de sus programas le llamaron "el gusano vampiro" porque

se escondía en la red y sólo se aparecía en las noches para chuparle la sangre a las personas

que estaban usando las computadoras...

U: ¿Deveras?

H: No, es una broma. Se activaba en las noches para aprovechar las

computadoras que no se estaban utilizando.

C: ¡Oh! ¡No me dejas hablar en serio!

H: Pues también en 1970, en lo que eran los inicios de Internet, en

ARPAnet la red militar y universitaria, el investigador Bob Thomas soltó

un programa llamado 'Creeper' (rastrero), el cual se "arrastraba" por

toda la red desplegando el mensaje "Soy el 'Rastrero', atrápame si

puedes!". Entonces otro programador escribió otro "virus" llamado

'Reaper' (segador) el cual se reproducía en la red "matando" Creepers.

A: Esos primeros virus no causaban daño o destrucción.

H: Efectivamente no causaban daño, sólo eran experimentos sobre ideas

curiosas de programas que generaban copias de sí mismos.

A: ¿Copias? Por eso comenzaron en Xerox, ¿no?

H: En 1981 apareció un programa para Apple II llamado "Elk Cloner" el

cual se duplicaba escribiendo en la pantalla un pequeño verso.

C: ¿No sería un Clón del Satánico Dr. Clón?

H: Otro ejemplo también para microcomputadoras Apple II fue hecho en

1982, diseñado para sólo viajar y no para dañar, denominado por su autor

Jim Hauser, como un viajero de aventón electrónico "electronic

hitchhicker" que se pegaba a programas sin ser detectado.

C: ¿Sin ser detectado? ¿Entonces cómo sabemos si es cierto que existió?

H: Luego, en 1983 Ken Thompson cuando recibía el premio A. M. Turing de

A.C.M. (Asociation of Computing Machinery) en su discurso basado en el

juego "Core Wars" instó a experimentar con esas pequeñas "creaturas

lógicas".

C: Creaturas ilógicas.

H: El primer virus, o al menos el primero en recibir esa denominación,

fue ideado en Noviembre de 1983. En un seminario sobre seguridad en

computadoras a Fred Cohen se le ocurrió el experimento (en una

minicomputadora VAX 11/750) de hacer un programa que "pudiera modificar

otros para incluir una copia (posiblemente evolucionada) de si mismo".

U: Bueno, mis hijos son una especie de copia (posiblemente evolucionada)

de mi mismo...

H: En Mayo de 1984, en la revista "Scientific American", A.K.Dewdney en

su sección "Computer Recreations" describe el juego "Core Wars" con lo

que le da amplia difusión. Varios lectores escriben sus experiencias al

experimentar con programas de tipo virus. Uno de ellos comenta: "Nunca

conseguí eliminar completamente esa peste electrónica"

C: Je je... Los riesgos de jugar con fuego...

H: ­Y colorín colorado, este cuento ha empezado!

U: ¡Qué bueno que no empezamos con virus de ábacos!

HISTORIA. parte 2

Usuario: ¨Y el primer virus para computadoras tipo PC?

Cracker: Fué el MS-DOS, infectó a todas las PCs y se reproduce con DISKCOPY...

Hacker: No, todavía pasaría tiempo para que combinaran programas que se

autoreproducen, con programas del tipo bomba de tiempo.

Amigo (usuario Avanzado): ¡Una combinación explosiva!

H: Es en Enero de 1986 cuando aparece el virus "Brain", originario de

Paquistán, es considerado el primer virus para PCs con sistema operativo

MS-DOS. Al principio no causaba daño, sólo mostraba un mensaje de

advertencia.

C: "¡Cuidado! ¡El uso de este virus puede ser nocivo para la salud de su

computadora!"

H: No, je je. Decía, en inglés, algo así: "Bienvenido al calabozo. (c)

1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES", luego la

dirección y teléfono, y "Cuidado con este virus... Contáctenos para

vacunarse...."

U: ¡Un virus con derechos reservados!

C: ¡Un virus con izquierdos alrevésados!

H: En diciembre de 1986, Ralf Burger distribuye en la conferencia del

Chaos Computer Club su programa VIRDEM, el cual era una demostración de

la idea de un programa que se copiaba a si mismo agregandose a otros

programas de tipo .COM.

A: En 1987 aparece el virus LEHIGH en la Universidad del mismo nombre en

Bethlehem, Pa. Aunque este virus prácticamente no salió de la

universidad.

C: ¡Por tonto!

H: El 11 de Diciembre de 1987 un estudiante de Alemania del Oeste envió

una tarjeta navideña electrónica a sus amigos en una red local,

indicando a la vez que se enviara una copia del mensaje a cada una de

las personas en la lista de correo del destinatario, el mensaje se

reprodujo exponencialmente en una red de miles de mainframes de I.B.M.

saturándolos y dejando inoperativa la red por horas. Se le llamó el

'Christmas Exec Mail Worm'.

C: Es que estrictamente no es un virus, sino un gusano...

A: ¡No fue virus, no fue para computadoras PC, y no fue intencional!

C: ¡Quién sabe!

A: ¡Los que no saben, o sabían eran los "expertos"! Byron C. Howes, de

la universidad de North Carolina dijo "Los virus son como 'el Coco' " y

comparó a los programadores que creían en los virus con "las personas

que dejan afuera de sus puertas pequeños tazones de leche para alimentar

a los gnomos."

H: ¡Bueno! En esos tiempos mucha gente no tenía pruebas y creían que los

virus eran rumores...

A: Un experto británico aseguró tener una prueba de que los virus eran

un producto de la imaginación.

C: ­Y la prueba era un producto de su imaginación!

A: Barry B. Cooper, dueño de una compañía de software dijo "Yo creo que

todo esto es una broma. Como la predicción de un enorme terremoto para

el 8 de mayo de 1988 por el vidente medieval Nostradamus. Eso no

sucedió, y esto tampoco."

H: Hasta san Peter Norton comentó en una entrevista para la revista

'Insight': "Se trata de un mito urbano. Es como la historia de los

cocodrilos en las alcantarillas de Nueva York. Todo mundo sabe de ellos,

pero nadie los ha visto."

C: ­Y John McAfee dijó que el problema de los virus era pasajero y

duraría un par de años!...

H: Pues precisamente como para acabar con la polémica y dejar bien clara

la existencia de los virus, el año de 1988 fue un año de muchísimos

incidentes. El 2 de Marzo Aldus Corporation descubrió que al menos 5,000

copias de su programa de dibujo Freehand para computadoras Macintosh

fueron infectadas por un "virus", ese día (primer aniversario del

lanzamiento de la Macintosh II) desplegó un "mensaje universal de paz

para todos los usuarios de Macintosh alrededor del mundo". Fue el primer

caso de software comercial infectado por virus. Aunque el virus no

causaba daño, sólo mostraba el mensaje en esa fecha.

A: En Marzo de 1988 aparece el entonces famoso virus de la "pelotita"

("Ping-Pong" o "Italiano"). Este virus desapareció pues sólo funcionaba

en computadoras 8088 u 8086.

C: ¡Les faltó darle soporte a nuevas versiones!

H: El viernes 13 de Mayo de 1988 el virus "Jerusalem" o "Friday the

13th" se activaría, en el 40§ aniversario de la fundación de Israel, por

lo que se cree que fue programado para fines terroristas, sin embargo

otros opinan que lo de la fecha de aniversario fue simple coincidencia.

C: Las coincidencias nunca son simples... simplemente son más comunes de

lo que suponemos...

H: El 22 de abril de 1988 se envía el primer número de VIRUS-L, la lista

de discusión sobre virus.

A: También en 1988 es cuando aparece otro de los virus más "rebeldes": STONED.

C: ¡Jerusalem y Stoned, dos de los mejores virus del Hit Parade!

H: Otra fecha histórica es el 19 de Septiembre de 1988. Donald Gene

Burleson es la primera persona convicta por destruir registros de

computadora por medio de un "virus" (que más bien era una bomba de

tiempo, la cual se activó el 21 de septiembre de 1985). Fue sentenciado

a 7 años y a pagar $12,000 dólares a la compañía en la que trabajaba.

A: Un incidente más de ese año: el 2 de Noviembre Robert T. Morris Jr.,

hijo de un experto en seguridad Unix, aprovecha unos "agujeros" en la

seguridad para afectar a 6,000 computadoras Vax y Sun de universidades,

de militares y de corporaciones por más de 36 horas. No destruyó

archivos, sólo saturó las computadoras con copias del programa "gusano".

El 'Internet Worm' es considerado el ataque más grande por un programa

de tipo "virus"...

C: ¡Hasta ahora!...

A: En 1989 aparece el virus "Dark Avenger" programado por el hacker del

mismo nombre, uno de los primeros de los muchísimos virus hechos en

Bulgaria, y uno de lo más infecciosos y destructivos.

H: En 1989 un "caballo de Troya" se distribuyó en 10,000 copias de un

paquete con información sobre el SIDA. El programa, de una empresa

panameña llamada "PC Cyborg", encriptaba el contenido del disco duro y

pedía al usuario que se pagara por la licencia de uso para obtener la

clave de desencriptación.

C: ­Y todavía dicen que el virus no paga!

H: ¡Claro que no paga, porque les cayó la justicia!...

C: Justicia... ¡Cuántas injusticias se cometen en tu nombre!

H: Y sobre el crimen de los datos: en 1989 se detectó el virus

"Datacrime", el cual fue erróneamente llamado "Columbus Day Virus"

(Virus del día de Colón) porque se suponía que se activaría el 12 de

octubre, pero realmente se activaba "Después" de ese día (del 13 de

octubre al 31 de diciembre). Este virus causó una reacción desmedida

entre la gente por la información errónea en revistas y periódicos.

Kenneth R. Van Wyk, especialista en seguridad en la universidad de

Carnegie-Mellon, y moderador de VIRUS-List, comentó sobre el asunto "El

pánico parece ser más destructivo que cualquier virus por si mismo."

A: En la fecha 6 de Marzo de 1992 el virus "Michelangelo" atacó por

primera vez. Es el virus que ha recibido más publicidad. Gracias a ello

se tuvo más conciencia de los virus, aunque una vez más, no toda la

información que se manejó en los medios era cierta.

H: Durante el año 1994, el virus "Natas" inició una "epidemia" por todo

México (por lo que se cree que es de origen mexicano).

U: ¡Uyyy, sí! ¡Qué miedo! ¡Natas! ¡Quiero natas en mi pan!

C: ¡Bueno! ¡Natas es Satán escrito al revés!...

U: ¡Ay nanita!

H: Por último, lo más importante del año pasado (1995) fue el rumor

falso de un virus en Internet por correo electrónico (New Times Hoax).

A: ¡El cual NO Existe!

H: Y el primer virus multiplataformas exitoso: un virus del lenguaje de

macros del procesador de palabras Word (que afectó tanto a computadoras

PC como a Macintosh).

A: ¡Mi PC quiere ser una Macintosh cuando crezca!

C: ¡Espérate!!! ¡Faltó "Boza" el primer virus para Windows 95!!!

H: ¿Qué nos deparará el futuro? ¿Se acabarán los virus? ¨O los virus

destruirán nuestros programas regresándonos a la "Edad de Piedra y

Calculadora"?

C: ¡No lo sé!... ¡Mi esfera de cristal tiene un virus!...