Informática


Los Virus Informáticos


INTRODUCCIóN………………..…………………………………………………………………………2

DESARROLLO………………….………………………………………………………………………….3

Definición de Virus Informático

Esta práctica de la asignatura Sistematizacion de Datos, es un resumen acerca de los aspectos más importantes concernientes a un tema que está teniendo un gran auge e importancia en nuestros días, se trata del tema de los virus informáticos.

En un mundo que cada día se va computarizando más y más, es muy importante conocer ciertos datos acerca de este mal que nos está afectando fuertemente a todos (los virus).

En esta práctica se recogen distintas informaciones que nos ayudan a conocer más a fondo acerca de los virus. Entre estas informaciones se encuentra la definición de virus informático -para así saber concretamente qué es en realidad un virus de computadora-, el origen y evolución de los virus, su clasificación, las medidas que se deben tomar para poder prevenir los mismos, así como una información detallada acerca de cuáles han sido los virus que nos han atacado más recientemente y cuáles son los daños que estos mismos provocan.

Espero poder complacer y llenar las expectativas de este trabajo.

Definición de Virus Informático

Definiciones hay tantas como preguntas sin respuesta exacta. Veamos, pues, si cabe la posibilidad de concretar algunos requisitos que cumplen estos agentes víricos:

* Son programas de computadora.
* Su principal cualidad es la de poder autorreplicars e.
* Intentan ocultar su presencia hasta el momento de la explosión.
* Producen efectos dañinos en el "huésped".

Si exceptuamos el primer punto, los restantes podrían aplicarse también a los virus biológicos. El parecido entre biología y tecnología puede llegar a ser en ocasiones ciertamente abrumador. Como el cuerpo humano, el computador puede ser atacado por agentes infecciosos capaces de alterar su correcto funcionamiento o incluso provocar daños irreparables en ciertas ocasiones. Los virus informáticos son auténticas imitaciones de sus hermanos biológicos. Un virus es un agente peligroso que hay que manejar con sumo cuidado. La "contención" es la primera regla de oro. Desarrollemos un poco los puntos expuestos antes:

Un virus informático es un programa de computadora, tal y como podría ser un procesador de textos, una hoja de cálculo o un juego. Obviamente ahí termina todo su parecido con estos típicos programas que casi todo el mundo tiene instalados en sus computadoras. Un virus informático ocupa una cantidad mínima de espacio en disco (el tamaño es vital para poder pasar desapercibido), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de sí mismo e infecta archivos, tablas de partición o sectores de arranque de los discos duros y disquetes para poder expandirse lo más rápidamente posible. Como cualquier otro programa informático, un virus debe ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallos en el sistema operativo.

Ya se ha dicho antes que los virus informáticos guardan cierto parecido con los biológicos y es que mientras los segundos infectan células para poder replicarse los primeros usan archivos para la misma función. En ciertos aspectos es una especie de "burla tecnológica" hacia la Naturaleza. Mientras el virus se replica intenta pasar lo más desapercibido que puede, intenta evitar que el "huésped" se dé cuenta de su presencia... hasta que llega el momento de la "explosión". Es el momento culminante que marca el final de la infección y cuando llega suele venir acompañado del formateo del disco duro, borrado de archivos o mensajes de protesta. No obstante el daño se ha estado ejerciendo durante todo el proceso de infección, ya que el virus ha estado ocupando memoria en la computadora, ha ralentizado los procesos y ha "engordado" los archivos que ha infectado.

Origen y Evolución

A continuación se presenta una breve cronología de lo que ha sido los orígenes y la evolución de los virus incluyendo algunos de los virus que más daños han causado en el transcurrir de la historia:

1949: Se da el primer indicio de definición de virus. John Von Neumann (considerado el Julio Verne de la informática), expone su "Teoría y organización de un autómata complicado". Nadie podía sospechar de la repercusión de dicho artículo.

1959: En los laboratorios AT&T Bell, en New Jersey, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de núcleos de ferrita. Consistía en una batalla entre los códigos de dos programadores, en la que cada jugador desarrollaba un programa cuya misión era la de acaparar la máxima memoria posible mediante la reproducción de sí mismo. Las rutinas del juego CoreWar, desarrolladas en assembler pnemónico son consideradas como los programas precursores de los virus contemporáneos.

1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje "SOY CREEPER... ATRÁPAME SI PUEDES!". Ese mismo año es creado su antídoto: el antivirus Reaper cuya misión era buscar y destruir al Creeper.

1974: El virus Rabbit hacía una copia de sí mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema.

1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio. La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de 23 años aunque según él fue un accidente.

1983: El juego Core Wars, con adeptos en el MIT, salió a la luz publica en un discurso de Ken Thompson. Dewdney explica los términos de este juego. Ese mismo año aparece el termino virus tal como lo entendemos hoy. El ingeniero eléctrico estadounidense Fred Cohen, que entonces era estudiante universitario, acuñó el término "virus" para describir un programa informático que se reproduce a sí mismo.

1985: Dewdney intenta enmendar su error publicando otro artículo "Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores".

1987: *Se da el primer caso de contagio masivo de computadoras a través del MacMag Virus también llamado Peace Virus sobre computadoras Macintosh. Este virus fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de juegos que repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc Canter, consultor de Aldus Corporation, se llevó el disco a Chicago y contaminó la computadora en el que realizaba pruebas con el nuevo software Aldus Freehand. El virus contaminó el disco maestro que fue enviado a la empresa fabricante que comercializó su producto infectado por el virus.
*Se descubre la primera versión del virus "Viernes 13" en los ordenadores de la Universidad Hebrea de Jerusalén. El virus Jerusalem, según se dice creado por la Organización de Liberación Palestina, es detectado en la Universidad Hebrea de Jerusalén a comienzos de 1988. El virus estaba destinado a aparece el 13 de Mayo de 1988, fecha del 40 aniversario de la existencia de Palestina como nación. Una interesante faceta del terrorismo, que ahora se vuelca hacia la destrucción de los sistemas de cómputo, por medio de programas que destruyen a otros programas.

*Además, en 1987, los sistemas de Correo Electrónico de la IBM, fueron invadidos por un virus que enviaba mensajes navideños, y que se multiplicaba rápidamente. Ello ocasionó que los discos duros se llenaran de archivos de origen viral, y el sistema se fue haciendo lento, hasta llegar a paralizarse por mas de tres días.

1988: *El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistán aparece en Estados Unidos. Aparecieron dos nuevos virus: Stone, el primer virus de sector de arranque inicial, y el gusano de Internet, que cruzó Estados Unidos de un día para otro a través de una red informática.

* El 2 de Noviembre del 88, dos importantes redes de EE.UU. se ven afectadas seriamente por virus introducidos en ellas. Más de 6,000 equipos de instalaciones militares de la NASA, universidades y centros de investigación públicos y privados se ven atacados.

1989: El virus Dark Avenger, el primer infector rápido, apareció en 1989

1990: Apareció el primer virus polimórfico.

1995: Se creó el primer virus de lenguaje de macros, WinWord Concept.

¿Qué daños provocan los virus?

Los virus jocosos y festivos han dejado de producirse hace algún tiempo y al parecer, con el recrudecimiento de la violencia y la crisis económica mundial, la mayoría de los virus contemporáneos son dañinos. Infectan archivos mayormente de extensión EXE o COM los cuales a su vez se convierten en portadores del código viral. Los archivos de otras extensiones pueden ser infectados y afectados, pero no reproducen el virus, a excepción de los Macro Virus que son archivos tipo documento y que fueron reportados por primera vez en Julio de 1995.

Los otros objetivos comunes de los virus son las áreas vitales del sistema, tales como: la memoria, el sector de arranque (boot sector), la Tabla de Particiones o el sector absoluto del disco llamado Master Boot Record (MBR). Dependiendo del tipo de virus, un software antivirus puede reparar y reconstruir los archivos y áreas afectadas del sistema, sin embargo existen algunos programadores de virus que deciden que los archivos afectados sean mutilados de tal forma que ya no sea posible su reconstrucción. Por eso es recomendable guardar una imagen del sector de arranque, la Tabla de Particiones y el MBR en un diskette, en caso de emergencia.

Clasificación de los Virus

  • Virus de Macros/Código Fuente. Se adjuntan a los programas Fuente de los usuarios y, a las macros utilizadas por: Procesadores de Palabras (Word, Works, WordPerfect), Hojas de Cálculo (Excel, Quattro, Lotus).

  • Virus Mutantes. Son los que al infectar realizan modificaciones a su código, para evitar ser detectados o eliminados (NATAS o SATÁN, Miguel Angel, por mencionar algunos).

  • Gusanos. Son programas que se reproducen a sí mismos y no requieren de un anfitrión, pues se "arrastran" por todo el sistema sin necesidad de un programa que los transporte. Los gusanos se cargan en la memoria y se posicionan en una determinada dirección, luego se copian en otro lugar y se borran del que ocupaban, y así sucesivamente. Esto hace que queden borrados los programas o la información que encuentran a su paso por la memoria, lo que causa problemas de operación o pérdida de datos.

  • Caballos de Troya. Son aquellos que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presentan como información perdida o "basura", sin ningún sentido. Pero al cabo de algún tiempo, y esperando la indicación programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones.

  • Bombas de Tiempo. Son los programas ocultos en la memoria del sistema o en los discos, o en los archivos de programas ejecutables con tipo COM o EXE. En espera de una fecha o una hora determinadas para "explotar". Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la "explosión". Llegado el momento, se activan cuando se ejecuta el programa que las contiene.

  • Autorreplicables. Son los virus que realizan las funciones más parecidas a los virus biológicos, ya que se autorreproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programadas o cada determinado tiempo, contado a partir de su última ejecución, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el virus del Viernes 13, que se ejecuta en esa fecha y se borra (junto con los programas infectados), evitando así ser detectado.

  • Infectores del área de carga inicial. Infectan los diskettes o el disco duro, alojándose inmediatamente en el área de carga. Toman el control cuando se enciende la computadora y lo conservan todo el tiempo.

  • Infectores del sistema. Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros que se alojan como residentes en memoria. Los comandos del Sistema Operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el Sistema Operativo y es así como el virus adquiere el control para infectar todo disco que sea introducido a la unidad con la finalidad de copiarlo o simplemente para ver sus carpetas (también llamadas: folders, subdirectorios, directorios).

  • Infectores de programas ejecutables. Estos son los virus más peligrosos, porque se diseminan fácilmente hacia cualquier programa (como hojas de cálculo, juegos, procesadores de palabras). La infección se realiza al ejecutar el programa que contiene al virus, que en ese momento se posiciona en la memoria de la computadora y a partir de entonces infectará todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos autocopiándose en ellos. Aunque la mayoría de estos virus ejecutables "marca" con un byte especial los programas infectados --para no volver a realizar el proceso en el mismo disco--, algunos de ellos (como el de Jerusalén) se duplican tantas veces en el mismo programa y en el mismo disco, que llegan a saturar su capacidad de almacenamiento.

  • Virus Bat: Este tipo de virus empleando ordenes DOS en archivos de proceso por lotes consiguen replicarse y efectuar efectos dañinos como cualquier otro tipo virus. En ocasiones, los archivos de proceso por lotes son utilizados como lanzaderas para colocar en memoria virus comunes. Para ello se copian a sí mismo como archivos COM y se ejecutan. Aprovechar ordenes como @ECHO OFF y REM traducidas a código máquina son <<comodines>> y no producen ningún efecto que altere el funcionamiento del virus.

  • Virus del MIRC: Vienen a formar parte de la nueva generación Internet y demuestra que la Red abre nuevas formas de infección. Consiste en un script para el cliente de IRC Mirc. Cuando alguien accede a un canal de IRC, donde se encuentre alguna persona infectada, recibe por DCC un archivo llamado "script.ini".

¿Cuáles son las normas preventivas contra los virus?

  • Instalar en su equipo un buen software antivirus, con vacunas residentes en la memoria RAM y actualizarlo periódicamente en forma obligatoria. La mayoría de usuarios adquiere un antivirus únicamente cuando han ingresado virus a sus equipos y una vez resuelto su problema no vuelven a adquirir otra nueva versión. Este descuido reviste suma gravedad por cuanto los autores de virus no descansan jamás y crean virus todos los días del año.

  • Evitar o restringir el intercambio de diskettes de origen desconocido o si esto fuere necesario, someter esos diskettes a la revisión del antivirus instalado en el disco.

  • Es muy importante que el antivirus elegido cuente además con un buen soporte técnico local.

  • Restringir al máximo el uso de los equipos, por parte de personas ajenas a las actividades propias de una entidad o dependencia.

  • Todos los clientes, con o sin disco duro, pero con disquetera, deberán tener vacunas activadas en la memoria. En el primer caso éstas deben estar instaladas en el directorio raíz de la partición DOS del disco duro, y en el segundo caso en los diskettes de arranque. Si el terminal tiene un Boot ROM y además una disquetera, después de arrancar el sistema se deberá ejecutar las vacunas desde un diskette, para que éstas sean cargadas en la memoria ya que las partes y piezas de cada unidad son individuales y únicas.
    Los antivirus cargables como NLM (Network Loadable Modules) en un servidor no pueden controlar eficientemente a los virus de boot y de la tabla de particiones de sus clientes o estaciones de trabajo. Los clientes sin disquetera no pueden ser contagiados directamente pero sí a través de la red a causa de cualquier otro cliente infectado.

  • Contar con una copia de respaldo del diskette de sistema "buteable" y libre de virus, que además de los archivos ocultos, el COMMAND.COM y CONFIG.SYS incluya el SYS.COM para transferir el sistema en caso de borrarse o alterarse los archivos de sistema del disco. Es obligatorio que este disco de arranque tenga la misma versión del D.O.S usada en el disco duro, o un diskette de Inicio si se usa Windows 95 como sistema operativo.

  • En el caso de redes se deberá contar obligatoriamente con una copia de respaldo de los archivos que cargan la red.

  • Guardar copias de respaldo de los programas y archivos principales.

  • Los diskettes originales y las copias de respaldo deberán tener cerrado el seguro de protección contra escritura.

  • Los sistemas tape-backup han bajado de precio considerablemente y es muy conveniente contar con uno de ellos, para la prevención de pérdidas de información o simplemente como una cómoda opción de almacenamiento.

  • Los atributos de Read-Only, Hidden o System, dados a los archivos ejecutables, no garantizan por ningún motivo el riesgo de infección así como también no es recomendable inmunizar archivos con antivirus foráneos, pues en el caso de no detectar un virus nacional, por ejemplo, al inmunizarlo no solamente no se le habrá eliminado sino que además el virus quedará escondido debajo de las rutinas de inmunización y el riesgo de su propagación será latente.

  • Los sistemas operativos Windows NT, OS/2, UNIX, etc. son vulnerables a los virus. El hecho de que no exista todavía un buen número de especies virales para ellos, se debe a que la cantidad de equipos que usan estas plataformas es sumamente inferior al de la mayoría de las PC's. Los autores de virus desean hacer daños masivos.

  • En el caso de los archivos zipeados, que fueron bajados por Internet, estos deberán ser revisados inmediatamente después de haber sido desempaquetados y antes de ser ejecutados.

  • Este mismo tratamiento se deberá dar a los archivos anexados (atachados), enviados por correo electrónico.

  • Si tiene instalado el Mirc, desactive la opción auto get que recoge los ficheros DCC de forma automática y cambie el subdirectorio por defecto para que sobreescriba el "script.ini" original.

  • úLTIMOS VIRUS

    • VIRUS MYBABYPIC (02/03/2001)

    • VIRUS GNUTELLA MANDRAGORE (02/03/2001)

    • VIRUS MELISSA.W (19/01/2001)

    • VIRUS RAMEN (19/01/2001)

    • VIRUS W32.NAVIDAD.B (11/01/2001)

    • VIRUS KRIZ (22/12/2000)

    • TROYANO SHOCKWAWE.A (CREATIVE) (04/12/2000)

    • VIRUS BLEBLA (22/11/2000)

    • VIRUS QAZ (02/11/2000)

    • VIRUS CYBERNET (17/8/2000)

    • VIRUS IRC/STAGES.WORM (19/6/2000)

    • VIRUS SERBIAN BADMAN (9/6/2000)

    • VIRUS VBS/TIMOFÓNICA (6/6/2000)

    • VIRUS MELISSA.BG (29/5/2000)

    • VIRUS VBS/NEWLOVE (19/5/2000)

    • VIRUS FRIENDMESS (12/5/2000)

    • VIRUS SOUHTPARK (12/5/2000)

    • VIRUS MOTHER'S DAY: NUEVA VERSIÓN DE LOVELETTER (6/5/2000)

    • GUSANO I LOVE YOU (4/5/2000)

    • GUSANO FIRKIN (4/4/2000)

    • GUSANOS IROK Y KAK (31/3/2000)

    • GUSANO W32/PRETTY.WORM.UNP (24/2/2000)

    • DENIAL OF SERVICE / VIRUS TRIN00(30/3/2000)

    • VIRUS PLAGE 2000(18/1/2000)

    • HAPPY 99 (8/2/1999)

    DOS NUEVOS VIRUS EN LA RED: "MYBABYPIC" Y "GNUTELLA MANDRAGORE"

    La amenaza de "LoveLetter" resurge de la mano de una nueva variante con el nombre "Myba" o "MyBabyPic", adaptado al lenguaje VisualBasic y "Mandragore" afecta a los usuarios de la red Gnutella, inaugurando las infecciones a través de redes "peer-to-peer". Aunque ha sido calificado por los expertos de F-Secure como de bajo riesgo, conviene estar alerta ante la posibilidad de que se difunda de forma rápida..

    "Mybabypic" llega al equipo como un archivo adjunto a un e-mail con el nombre: MYBABYPIC.EXE, que al ser ejecutado realiza el reenvío de sí mismo a todas las direcciones de la agenda Outlook. El gusano contiene una importante carga peligrosa, ya que puede destruir datos; dependiendo del día en curso el virus pueden encender y apagar las teclas NumLock, CapLock y ScrollLock. El virus además corrompe archivos con las extensiones VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, JPG, JPEG, MP2, MP3, etc.

    El troyano "Gnutella Mandragore" afecta a los usuarios de la red de intercambio de archivos musicales Gnutella. Su peligro radica en que puede abrir redes "peer-to-peer" como una vía de contagio y al igual que "Hybris" y "Happy99", vigila las direcciones de la agenda de correo electrónico y busca las conexiones de red del equipo. Así, cuando el internauta se conecta a la red de Gnutella, el gusano busca los archivos solicitados y se pega a ellos. El gusano cambia de forma constantemente pero se le puede identificar por su tamaño: 8.192 bytes.

    El potencial dañino de ambos virus, aunque la calificación es de bajo riesgo,es serio.

    VIRUS MELISSA.W

    Sobrecarga los servidores de e-mail con un enorme tráfico de documentos.

    Es una nueva versión del virus Melissa.A, el más ampliamente difundido a través de la Red en la historia: Melissa.W.

    El archivo infectado está hecho en Microsoft Word 2001 y llega generalmente con el nombre Anniv.doc con formato Macintosh junto con cualquier archivo enviado al correo elctrónico.

    Ese archivo adjunto -attachment- puede abrirse tanto desde un PC como desde un equipo Macintosh que contenga la versión correspondiente de Microsoft Office; el problema estriba en que no existe un anti-virus capaz de filtrar el archivo infectado en ambos entornos.

    La nueva versión de Melissa puede identificarse mediante el Asunto del archivo que lo contiene: "Important message from USERNAME"

    Melissa.W no disminuye la seguridad respecto a las macros de Word 2000. El gusano se reenvía como un e-mail adjunto a las 50 primeras direcciones de la libreta de direcciones de Microsoft Outlook.

    El attachment infectado puede contener igualmente información confidencial de los PCs infectados. Del mismo modo, modifica los parámetros de Word e infecta los documentos y las plantillas que de Word tenga guardadas el usuarios en su PC.

    Según Mikko Hyppönen, Director de Investigación Anti-Virus de F-Secure, "el peor efecto de este gusano es el mismo que el de la versión normal de Melissa: la sobrecarga de los servidores de e-mail con un tráfico de correo muy intenso y, a veces, enviar archivos confidenciales realizados en Word a una amplia audiencia en la Red". En realidad, para que el gusano se cuele en nuestro PC no es necesario que tengamos instalado el gestor de correo Microsoft Outlook; lo que sí es cierto es que, si el gestor es éste, el gusano sí se podrá reenviar desde nuestro PC a otros equipos conectados a Internet.

    Melissa.W, que también ha sido detectado como Melissa.X, puede infectar a usuarios de Windows 95, 98, Me, NT y 2000, así como de Macintosh.

    VIRUS RAMEN

    Ramen es un nuevo gusano creado especialmente para infectar los servidores de Internet que están basados en Red Hat 6.2 o 7.0 de Linux. Busca en Internet servidores basados en Red Hat para colarse en aquellos que contenidos "exploits"; así se hace con el acceso a sus servicios y recursos.

    Una vez ganado el acceso a los servidores, Ramen instala un "root kit", el que verdaderamente realiza los agujeros de seguridad, instalando un programa especial para reemplazar las funciones genéricas del sistema. Además, Ramen reemplaza la página principal de la web de los servidores con un archivo HTML, denominado ramen.tgz, con el siguiente texto: "RameN Crew--Hackers looooooooooooove noodles. This site powered by Top Ramen".

    Por último, Ramen envía un mensaje a través de correo electrónico a dos cuentas basadas en la web del servidor afectado, lo reinicia y comienza nuevamente el escaneo en Internet.

    Este nuevo gusano, detectado por F-Secure (cuyos productos distribuye en exclusiva Economic Data en España y Latinoamérica), fue descubierto a principios de la semana del 19 de enero. Lance Spitzner, coordinador del Proyecto Honeynet -grupo de conocidos expertos en seguridad-, asegura que Ramen "no es un gusano muy peligroso; es fácil de encontrar y no hace nada realmente destructivo". Spitzner dice que detectaron la presencia de este gusano al observar ciertas irregularidades en el incremento de escaneos de las vulnerabilidades RPC.statd y wu-FTP que plagan las instalaciones por defecto de la mayoría de los servidores Linux.

    "Una vez que el escaneo comienza, Ramen consume una gran cantidad del ancho de banda" según asegura el programador que ha atendido en primera instancia a Linux para solucionar el problema, Mihai Moldovanu; Moldovanu dice que el nuevo gusano "se está propagando muy rápidamente; es capaz de escanear cerca de 130.000 direcciones de Internet en menos de 15 minutos".

    VIRUS W32.NAVIDAD.B

    Es una mutación del gusano Navidad W32.Navidad.B ha causado estragos entre los usuarios del correo electrónico. Se ha modificado el attachment "Navidad.exe" por "Emmanuel.exe".

    Al ejecutarse el attachment, aparece el mensaje "Error"; si el usuario oprime el "OK", el gusano se copia en el directorio C:\Windows\System con el nombre WINTASK.VXD y modifica el registro. Si se presiona el ícono del virus que aparece en la barra de tareas de Windows, aparece el mensaje "NUNCA PRESIONAR ESTE BOTÓN".

    En los sistemas infectados no se pueden ejecutar los archivos con extensión ".exe".

    VIRUS KRIZ

    Los efectos del devastador programa son comparables a los de CIH y Melissa: puede llegar a destruir el PC.

    El virus Kriz amenaza la seguridad de nuestros PCs el día de Navidad (pasado 25 de diciembre)

    En concreto, este programa dañino borra el disco duro del usuario y deja inoperativo el equipo; una vez dentro del sistema, Kriz infecta todos los programas cargados en el PC, así como el resto de máquinas conectadas si se trata de una red local. El día de Navidad, destruye la Bios del PC, el chip que le permite arrancar y que controla el resto del hardware.

    Los efectos devastadores de este virus son equiparables a los que causaron años atrás los virus CIH Spacefiller y Melissa. Los expertos nos recuerdan también las pérdidas que supuso la aparición en escena del gusano ILOVEYOU, 75 billones de dólares, según la compañía de seguros Lloyds.

    TROYANO SHOCKWAWE.A (CREATIVE)

    Se trata de un programa infeccioso con apariencia de animación Flash que, bajo el nombre de TROJ_SHOCKWAVE.A, se replica a través del correo electrónico sin dañar, en esencia, el disco duro del PC infectado.

    El troyano se copia en la carpeta de inicio de Windows de forma que se ejecuta cada vez que se reinicializa el PC, a la par que todos los archivos con extensión .ZIP y .JPG se renombran y pasan al directorio raíz (C:\).

    Shockwave.A, con un tamaño de 36,864 bytes, se identifica fácilmente; en el "Asunto" del mensaje, el texto que se puede leer es "A great Scockwave flash movie" y su adjunto es el archivo ejecutable CREATIVE.EXE. Trend Micro ha puesto a disposición de los internautas un anti-virus de libre acceso en su página www.antivirus.com con el nombre 811 para eliminar este troyano.

    El autor de Scockwave.A, que también se conoce como W32/Proli@mm y TROJ_PROLIN, ha programado el troyano de forma que envía un nuevo mensaje en el que informa de que el "trabajo está completado", junto con el texto "Got yet another idiot".

    VIRUS BLEBLA

    Gusano de origen polaco.

    Verona o Blebla como también se le denomina, es un simple mensaje de correo electrónico que adjunta dos ficheros HTML: MYJULIET.CHM y MYROMEO.EXE y que se extiende rápidamente a todas las direcciones de la agenda de correo.

    Se ejecuta en el mismo momento en que se abre el mensaje o incluso cuando se selecciona su vista preliminar. La detección del gusano en los equipos es muy sencilla: en la barra de tareas aparece el texto "Romeo&Juliet" y en el escritorio, una pequeña ventana en la parte superior izquierda.

    VIRUS QAZ

    QAZ tiene una extensión aproximada de 120K. Escrito en MS Visual C++.

    Es un gusano con capacidades de Troyano "backdoor". Llega generalmente atachado a un e-mail. El gusano busca el archivo NOTEPAD.EXE y la renombra a NOTE.COM y después se nombra a si mismo con el nombre NOTEPAD.EXE.

    Si el usuario intenta utilizar el NOTEPAD, QAZ se ocupa de "lanzar" el archivo original (NOTE.COM) para evitar las sospechas del usuario. Además el gusano modifica el registro de Windows e introduce en la sección de auto-start el siguiente comando:

    start IE="filename qazwsx.hsq", donde "filename" es usualmente NOTEPAD.EXE.

    El gusano permanece en la memoria del sistema y comienza a ejecutar 2 procesos:

    - Infección.

    -"Backdoor".

    La rutina de backdoor es sencilla y soporta básicamente los comandos RUN, QUIT y UPLOAD, los cuales le permiten ayudar al "hacker" a instalar otros software o troyanos más potentes.

    Además, QAZ envía una notificación al remitente original. Este mensaje contiene la dirección IP de la máquina infectada.

    VIRUS CYBERNET

    EL VIRUS 'CYBERNET' SE ACTIVARÁ HOY JUEVES 17

    F-Secure ofrece protección anti-virus completa contra este peligroso código.

    Considerado de alto riesgo por su capacidad para formatear toda la información del disco duro del sistema infectado. Se trasmite a través del correo Outlook, enviándose a las primeras 50 direcciones de la agenda. El virus modifica el archivo "autoexec.bat" de los sistemas infectados, para que la próxima vez que el usuario reinicie el equipo, aparezca en pantalla un mensaje haciendo alusión a la infección. Mientras el usuario lee este mensaje, el virus procede al formateo del disco duro, con la consiguiente pérdida de datos.

    Por otra parte, 'Cybernet' modifica el archivo 'config.sys' para que el usuario no pueda usar al reiniciar el equipo la combinación de teclas CTRL+C, F5 y F8. A continuación, muestra en pantalla un cuadro de diálogo, que reiniciará Windows si el usuario pulsa "OK", formateando la información contenida en el PC.

    VIRUS IRC/STAGES.WORM

    Utiliza un extraño formato de archivo y despliega un mensaje humorístico.

    Virus que se difunde vía e-mail, y que incluye atachado un archivo muy convincente, disfrazado bajo la apariencia de un inocente archivo de texto plano.

    El virus, denominado 'IRC/Stages.worm', no daña los archivos de los equipos, pero puede paralizar los servidores de correo electrónico de las empresas.

    En realidad, este virus es un gusano que utiliza un extraño formato de archivo denominado 'Windows Scrap File". La extensión de este tipo de archivo debería ser '.shs', pero no figura. Por ello, es fácil camuflarlo con la extensión '.txt', por lo cual simula un archivo de texto.

    Se piensa que su artífice es un conocido creador de virus argentino llamado 'Zulu'.

    El 'gusano' fue lanzado el 26 de mayo del 2000. 'Stages.worm' se difunde como Melissa, enviando copias de sí mismo a e-mails incluidos en la lista de correo de Outlock del usuario infectado. Pero este virus sólo envía un máximo de 100 copias cada vez.

    El formato en el que se presenta 'Stages.worm' suele ser el siguiente:

    Subject: Funny

    Body:> The male and femmale stages of life.

    Attachment: LIFE_STAGES.TXT.SHS

    No obstante, otros posibles 'subjects' pueden ser 'life_stages', 'jokes' u otro texto.

    El fichero atachado es de 39,936 bytes, y se trata de un archivo 'Shell Scrap Object' (uno de los archivos menos predecibles, ya que puede contener cualquier cosa, incluso una aplicación 'troyana').

    Tras la infección, el 'gusano' despliega el siguiente texto:

    Age. Seduction lines.

    17 My parents are away for the weekend.

    25 My girlfriend is away for the weekend.

    35 My fiancee is away for the weekend.

    48 My wife is away for the weekend.

    66 My second wife is dead.

    Age. Favorite sport.

    17 Sex.

    25 Sex.

    35 Sex.

    48 Sex.

    66 Napping.

    Age. Definition of a successful date.

    17 Tongue.

    25 Breakfast.

    35 She didn't set back my therapy.

    48 I didn't have to meet her kids.

    66 got home alive.

    The female stages of life:

    Age. Favourite fantasy.

    17 Tall, dark and hansome.

    25 Tall, dark and hansome with money.

    35 Tall, dark and hansome with money and a brain.

    48 A man with hair.

    66 A man.

    Age. Ideal date.

    17 He offers to pay.

    25 He pays,

    35 He cooks breakfast next morning.

    48 He cooks breakfast next morning for the kids.

    66 He can chew his breakfast.

    VIRUS SERBIAN BADMAN

    Disfrazado aparentemente como un archivo de video, el nuevo troyano SERBIAN BADMAN da el control completo del PC infectado a los 'hackers', es decir, convierte cada Pc en un 'sistema zombie'. De esta forma, los intrusos pueden usar el equipo infectado como un gateway permanente, para acceder a los archivos personales o corporativos, o para lanzar ataques DoS a sitios web. En caso de ataque, los 'sistemas zombies' pueden mandar miles de respuestas repetidas que colapsarían las webs.

    VIRUS VBS/TIMOFÓNICA

    VBS/Timofónica se difunde vía email y activa los teléfonos vía GSM.

    Versión de cartas encadenadas. Este gusano es similar al ya

    famoso LoveLetter que apareció a primeros de mayo del 2000, pero a diferencia de éste, Timofónica se activa enviando un mensaje corto SMS a los últimos teléfonos GSM elegidos al azar.

    El gusano se difunde vía email.

    Timofónica opera bajo el sistema operativo Windows y necesita Outlook para difundirse vía email. Lo que hace que este gusano sea especial es que también envía mensajes a un gateway GSM de correo electrónico en España. El resultado final, el virus debería enviar este mensaje SMS a miles de números GSM al azar:

    “informa que Telefónica te está engañando”

    Se han recibido varios casos de infección. Además, aparentemente el gateway SMS solo enviará los mensajes a teléfonos GSM en castellano, limitando el peligro a los hispanohablantes.

    Cuando se abre el archivo TIMOFONICA.TXT.vbs, modifca el registro marcándolo para que no se ejecute más de una vez. También cambia los parámetros de Outlook 9.0 de modo que los emails enviados no se guarden en la bandeja de elementos enviados y así, el usuario no será consciente de lo que ha hecho.

    Por otro lado, lanza "cmos.com" y modifica el registro para que se ejecute cuando se reinicie el sistema:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Cmos

    CMOS.COM es un troyano. Al ejecutarse, primero borra la memoria CMOS y luego intenta leer MBRs de los primeros cuatro discos duros físicos. En el caso de que lo consiga, el troyano borra el MBR del disco duro que pueda y también los registros de arranque de DOS de todas las particiones del disco.

    VIRUS MELISSA.BG

    Melissa.BG es un nuevo virus que se difunde por email adjuntándose al mensaje de correo. El email aparenta ser un curriculum y va dirigido a los directores comerciales y de marketing de las compañías.

    Si el receptor abre el documento con el curriculum, se activará un virus de macro que va incorporado enviándose a todas las direcciones de la agenda de Microsoft Outlook. Depués de esto, el virus esperará a que el usuario cierre el documento. En ese momento, el virus intentará borrar el resto de documentos y los archivos de sistema de las unidades locales y de las unidades de red compartidas, haciendo que el equipo no se pueda volver a arrancar jamás.

    VIRUS VBS/NEWLOVE

    Es una nueva versión del virus ILoveYou, igualmente peligroso

    Se llama VBS/NewLove.A se propaga a través de correo electrónico vía Outlook de Microsoft. El mensaje tiene la siguiente estructura:

    Desde: Nombre_del_usuario_infectado

    Para: Nombre_aleatorio_de_la_agenda_de Outlook

    Asunto: FW (Nombre_de_archivo_aleatorio.ext)

    Archivo adjunto : (Nombre_de_archivo_aleatorio.ext)

    El archivo adjunto que lleva incorporado el email tiene un nombre elegido al azar al que añade la extensión ".vbs". Por ejemplo," "REPORT.DOC.vbs" o "Information on Jacks Birthday.txt.vbs". VBS/NewLove toma el nombre aleatoriamente de la carpeta de archivos abiertos recientemente. Si no hay archivos en ese directorio el gusano genera el nombre. Es decir, nunca coincide el asunto ni el nombre del archivo adjunto infectado que envía. La única forma de advertir que se ha recibido este virus es que el nombre del asunto y del archivo adjunto son el mismo.

    El gusano se envía a sí mismo a cada una de las direcciones de la agenda de OutLook del mismo modo que lo hacía VBS/LoveLetter.

    VBS/NewLove. A se copia en el Sistema de Windows y en el directorio Windows con un nombre aleatorio y se añade al registro con una clave al azar:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

    A continuación, el gusano recorrerá todas las unidades y todos los subdirectorios. Para cada archivo, el gusano crea otro nuevo utilizando el mismo nombre con la extensión adicional".vbs" y borra el archivo original.

    VIRUS FRIENDMESS

    Se trata de una nueva versión de este tipo de virus. El virus se copia a sí mismo en el directorio del sistema Windows con el nombre "FRIEND_MESSAGE.TXT.vbs" y después construye las siguientes cadenas en c:\autoexec.bat:

    "if exist C:\WINDOWS\SYSTEM\*.* del C:\WINDOWS\SYSTEM\*.* /Q /F"

    "if exist C:\WINDOWS\*.* del C:\WINDOWS\*.* /Q /F"

    "if exist C:\WINDOWS\TEMP\*.* del C:\WINDOWS\TEMP\*.* /Q /F"

    Nótese que c:\windows aquí es un simple ejemplo. El path se construye de forma dinámica.

    Adicionalmente, el virus muestra una caja de texto con el siguiente mensaje:

    "If you receive this message remember forever: A precious friend in all the world like only you! So think that!"

    No tiene la función para replicarse y el mensaje tiene la siguiente forma:

    Asunto: Friend message

    A real friend send thismessage to you

    Archivo adjunto: FRIEND_MESSAGE.TXT.vbs

    VIRUS SOUTHPARK

    SouthPark es un virus que se difunde a través de una cadena de e-mails. Se envía a sí mismo a todas las direcciones de la agenda de Outlook de Microsoft. Puesto que no tiene un límite en cuanto al número de direcciones a las que se envía, puede colapsar los servidores de correo electrónico en poco tiempo.

    MOTHER'S DAY: NUEVA VERSIÓN DEL MALIGNO VIRUS LOVELETTER

    Esta nueva variante envía emails que parecen ser una confirmación de una orden de compra electrónica del Diamante Especial del Día de la Madre y el archivo que adjunta, mothersday.vbs tiene el aspecto de una factura. Cuando un usuario recibe este email, asume que es un error y abre el archivo infectando automáticamente el PC.

    El sistema Windows no muestra por defecto las extensiones .vbs. Si el receptor tiene Microsoft Outlook, al abrir el archivo adjunto, automáticamente enviará un mensaje a todas las direcciones incluidas en la agenda. El mensaje tiene este aspecto:

    De: Nombre_del_usuario_infectado

    Para: Nombre_aleatorio_de_la_agenda

    Asunto: Mother Day Order Confirmation

    We have proceeded to charge your credit card for the amount of $362.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place. Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com

    Attachment: mothersday.vbs

    Como la agenda de Outlook suele tener grupos de direcciones dentro de la propia empresa, el resultado es que el primer infectado envía mensajes al resto de la empresa. Después de esto, otros usuarios dentro de la empresa envían de nuevo el mensaje al resto de la empresa por lo que el servidor de correo electrónico se colapsará rápidamente.

    Además, este nuevo virus borra todos los archivos INI y BAT tanto de las unidades locales como de los directorios. Esto provocará que los equipos no puedan ser arrancados de nuevo y originará daños muy graves en los archivos de red.

    F-Secure Anti-Virus detecta esta variante como VBS/LoveLetter.E. Las otras variantes del virus son:

    Variante A: Es el virus LoveLetter original.

    Variante B: El asunto del email está escrito en lituano.

    Variante C: El asunto del email es “fwd: Joke” y el mensaje adjunto es “Very Funny.vbs”.

    Variante D: Es prácticamente idéntico a la variante A.

    GUSANO I LOVE YOU

    Este gusano se difunde vía email como un archivo llamado LOVE-LETTER-FOR-YOU.TXT.vbs.

    Según MIkko Hypponen, responsable de la investigación anti-virus en F-Secure Corporation, este nuevo virus se difunde a una velocidad de vértigo.

    LoveLetter se activa al ejecutar el archivo que viene atachado al e-mail de referencia “ILOVEYOU” y sobreescribe los archivos de gráficos y de música en las unidades locales y de red. Todos los archivos con las extensiones JPG, JPEG, MP3 y MP2 son sobreescritos y, por lo tanto, es necesario recuperarlos de backups.

    Por defecto, las extensiones .VBS en los sistemas Windows no son visibles y los usuarios pueden abrir el archivo adjunto LOVE.LETTER-FOR-YOU.TXT.vbs. por error pensando que es un inofensivo archivo .txt. Si el receptor abre el archivo, el virus utilizará Microsoft Outlook (si está instalado) para enviar un mensaje a todas las direcciones de la agenda, incluyendo aquellas de acceso global de la empresa, las cuales normalmente tienen cientos o miles de direcciones. El mensaje es como se muestra a continuación:

    De: Nombre-del-usuario- infectado

    Para: Nombre aleatorio de la agenda de Outlook

    Asunto:ILOVEYOU

    Kindly check the attached LOVELETTER coming from me.

    Archivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs

    Como las agendas contienen normalmente direcciones de grupos, el resultado de la activación del virus dentro de una empresa es que el primer infectado envía el mensaje a todo el mundo dentro de la organización. Después de esto, otros usuarios abrirán el mensaje y lo volverán a reenviar de nuevo a toda la gente de la empresa.

    El efecto inmediato es que el servidor de correo puede verse rápidamente colapsado.

    Además de enviar un email a todas las direcciones, el virus sobreescribe los scripts locales y los archivos HTML con su propio código.

    El virus es probablemente de procedencia filipina. Está escrito en lenguaje VBScript. Por defecto, los programas escritos en VBScript operan solo bajo Windows 98 y Windows 2000. No obstante, los usuarios con Windows 95 y NT también son vulnerables si tienen instalada la versión 5 de Microsoft Internet Explorer.

    GUSANO FIRKIN

    El gusano Firkin o Chode se difunde a través de PC's conectados a Internet atacando la línea de emergencia hotline - 911, utilizada principalmente en Norteamérica e intentando colapsar los servicios que ofrecen (ataque DOS).

    Firkin está escrito totalmente en lenguaje DOS e infecta sistemas Windows con disco duro compartido a través de Internet. Un gran número de usuarios comparten su disco duro y al conectarse a Internet, cualquiera puede acceder a ellos. El gusano Firkin utiliza esta vulnerabilidad para difundirse.

    Firkin busca equipos conectados a Internet con esta característica. La búsqueda apunta a PC's que estén utilizando algunos de los ISP's (Internet Service Providers) más importantes del mundo, incluso AT&T , America Online, MCI y Earthlink, para copiarse en el PC y ejecutarse en el siguiente arranque.

    En ese momento, el virus puede añadir una rutina que llama al número de emergencia 911 a través de módem cada vez que el sistema infectado es arrancado. Esta rutina se copia aleatoriamente y no se encuentra en todos los PC's infectados.

    Al reiniciarse un sistema que la contenga, se realiza una llamada silenciosa al 911. Las consecuencias podrían ser muy serias, posiblemente causando graves retrasos en la respuesta a llamadas reales de emergencia.

    Dependiendo de la variante de Firkin, podría también intentar borrar todos los archivos de diferentes directorios del PC y mostrar mensajes en pantalla. El borrado de archivos está programado para que ocurra el día 19 de cada mes.

    El código del gusano contiene diferentes cadenas de texto, incluyendo:

    fOREsKIN sElf rEPIIcAToR vERSION 1.07c final CHAoS

    © 2000 EMD LABS INC rAndOm dEvIStAtOr

    nOt pErFECt, bUt iT sERvES iTS pUrPosE....bAtCh fIIE pROgRAMmINg

    Los sistemas infectados se pueden reconocer fácilmente chequeando si la carpeta C:\Program Files contiene una nueva carpeta oculta llamada Chode, Foreskin o Dickhair. Para visualizar las carpetas ocultas con Windows Explorer solo hay que activar el parámetro Show all files de las opciones de Explorer.

    GUSANOS IROK Y KAK

    Gusanos de correo electrónico que se están expandiendo rápidamente desde diversos lugares del mundo mediante Outlook de Microsoft: IROK Y KAK.

    Irok llega en un archivo atachado llamado IROK.EXE, mientras Kak llega como un correo electrónico normal, aparentemente sin ningún attachment.

    El gusano Irok se difunde como un programa de 10001 bytes de tamaño llamado IROK.EXE. Funciona bajo Windows 95, 98, NT y Windows 2000 de Microsoft. Se replica vía e-mail con OutLook de Microsoft. No funciona con Outlook Express.

    Cuando se activa IROK.EXE, el gusano modifica el sistema de manera que al reinicializar el equipo, envía un mensaje de correo electrónico a 60 direcciones e-mail robadas de OutLook, direcciones particulares o grupos de direcciones (tales como listas de mailings).

    El mensaje que el gusano emite es el siguiente:

    From: Nombre del usuario infectado

    To (dirección de e-mail al azar del libro de direcciones)

    Subject: I thought you might like to see this

    Texto : I thought you might like to see this. I go it from paramount pictures website. It's a startrek screen saver.

    Attachment: IROK.EXE

    El virus incluso intenta localizar el cliente chat mirc y modificarlo para propagar el virus mas allá de la vía de los canales chat, e infectará los ficheros COM y EXE localizados en el disco duro local.

    Finalmente, el virus mostrará un largo mensaje en la pantalla e intentará sobreescribir los ficheros del disco duro.

    El virus Kak se activa el primer día de cada mes si la máquina es reiniciada después de las 5 p.m. Utiliza el conocido agujero en la seguridad OutLook Express para ejecutarse automáticamente cuando se visualiza un e-mail.

    El gusano Kak está escrito en lenguaje Java. Funciona bajo las versiones de Windows 95/98 en Ingles y Francés; no funciona bajo Windows NT o Windows 2000. Kak se replica vía e-mail sólo si está instalado OutLook Express 5.0 - no funciona con el OutLook normal de Microsoft.

    Una vez que el usuario recibe un mensaje infectado, y abre o visualiza el mensaje en la pantalla, el gusano modifica el sistema de tal forma que la próxima vez que se inicializa el equipo, la firma standar del e-mail del usuario es reemplazada con un fichero infectado HTML del virus.

    Después de esto, cada mensaje de correo eléctronico enviado desde el Pc infectado contendrá el virus, e infectará cada equipo receptor tan pronto como sea abierto en OutLook Expres.

    En ese momento el virus mostrará el mensaje:

    Kagou-Anit-Kro$oft say not today1

    Y a continuación cerrará la sesión Windows.

    El agujero de seguridad de Outlook Express explotado por el gusano puede ser cerrado utilizando “Active Scripting” en Outlook Express Preferences. Microsoft NASDAQ dispone de una actualización para solucionar este problema desde Agosto de 1999.

    GUSANO W32/PRETTY.WORM.UNP

    Nombre: W32/Pretty.worm.unp

    Tipo: Troyano

    Se trata de una edición no empaquetada del virus "W32/Pretty.worm".

    Es un virus de Internet que se instala a sí mismo en los sistemas Windows 9x/NT. Los usuarios se infectan al recibir un email infectado procedente de otro usuario a su vez infectado. Muestra un ícono de un personaje de la serie animada "Southpark".

    Método de infección

    Cuando se ejecuta este virus, se copia a sí mismo en FILES32.VXD en WINDOWS\SYSTEM. A continuación, modifica el valor del registro siguiente:

    KHEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open

    Cambia el valor "%1" %* por FILES32.VXD "%1" %*. De este modo, el archivo FILES32.VXD se ejecutará cada vez que se ejecute cualquier archivo .exe.

    El virus tratará de enviarse a sí mismo por correo electrónico cada 30 minutos a todas las direcciones de la agenda del programa de correo electrónico.

    Por otro lado, el virus tratará de entrar en un canal IRC específico. Mientras esté conectado, enviará información al servidor IRC y tratará de recuperar órdenes del canal IRC. Mientras, el autor de este virus conseguirá conectarse como un troyano de acceso remoto para obtener información sobre el PC: nombre del ordenador, propietario registrado, compañía registrada, información del sistema, ....

    DENIAL OF SERVICE VIRUS TRIN00

    Conocido como Virus Trin00, TFN, TFN2000, Stacheldraht, este programa no es un virus en realidad, sino una herramienta DOS.

    Las herramientas DOS permiten lanzar ataques a los sistemas para cortar los servicios ofrecidos por éstos. En Internet, el problema se traduce en bloqueo de los principales servicios o en consumo total de recursos limitados de servidores web.

    El ataque puede consistir en: ocupar todo el ancho de banda de una web, agotar todas las conexiones a un servicio, bloquear un servicio usando algún fallo en la seguridad, bloquear un equipo ejecutando un servicio también con algún fallo en la seguridad,... Estos ataques utilizan las redes para boicotear recursos en varias ubicaciones.

    VIRUS PLAGE 2000

    Alias: Plage 2000, P2000, I-Worm.Plage. Worm.P2000

    Tamaño: 102400

    Es un ejecutable PE con 102400 bytes de longitud. No está encriptado pero pueden aparecer versiones nuevas del virus encriptadas que hagan aún más difícil su detección. El virus tiene el ícono de WinZip y se hace pasar por un archivo .ZIP autoextraíble.

    Plage2000 llega como un archivo adjunto a un email y se instala a sí mismo en el sistema como INETD.EXE en la carpeta de Windows. A continuación, modifica WIN.INI y el registro para ejecutarse en todas las sesiones de Windows. Una vez que está activo en memoria, el virus se comunica con los navegadores compatibles con MAPI, busca mensajes que no han sido contestados y él mismo se encarga de responderlos. El mensaje respuesta del virus parece un mensaje de autorespuesta que mucha gente utiliza mientras que no pueden abrir sus buzones:

    P2000 Mail auto-reply:

    I'll try to reply as soon as possible.

    Take a look to the attachment and send me your opinion!

    >Get your FREE P2000 Mail now!<

    El código del virus siempre va adjunto al mensaje. El nombre del archivo adjunto se selecciona aleatoriamente entre las siguientes variantes:

    pics.exe

    PsPGame.exe tamagotxi.exe

    Card.EXE

    s3msong.exe

    fun.exe images.exe

    news_doc.exe

    searchURL.exe

    billgt.exe

    docs.exe joke.exe

    hamster.exe

    SETUP.EX

    Emidsong.exe

    humor.exe

    Cuando el receptor del mensaje hace click sobre el archivo adjunto, el virus también infecta su sistema. El virus primero muestra una ventana de diálogo como la de los archivos autoextraíbles WinZip. Si el usuario hace click en el botón Unzip o en Run WinZip, el virus muestra el siguiente mensaje y se instala: "ZIP damaged: file C:\3\WORM.EXE: Bad CRC number. Possible cause: file transfer error"

    Si el usuario hace click en el botón Close, el virus simplemente se instala pero no muestra ningún mensaje. Una vez que está activo, el virus estará chequeando la hora y el día. Los miércoles, justo después de medianoche, muestra un diálogo con una imagen de Hitler con la frase "Follow your leader" y el texto: "Fight against the plage of inhumanity.

    This is Plage 2000 coded by Bumblebee/29a"

    No es un virus muy destructivo pero se puede extender muy rápidamente.

    HAPPY 99

    El Primer gusano de E-Mail

    Alias: SKA Longitud: 10.000 bytes

    Origen: desconocido

    Es un gusano que utiliza el Correo Electrónico para reproducirse a través de la red de Internet, en principio sin efectos destructivos. Los usuarios con acceso a Internet, reciben un E-mail con un fichero asociado. Este fichero es un ejecutable de tipo EXE Portable Ejecutable de 10.000 bytes de tamaño llamado HAPPY99.EXE, que al ser ejecutado visualiza, en una ventana de Windows, una animación de fuegos artificiales felicitando el nuevo año 1999 como se puede ver en la figura. En ese mismo instante, generará en el directorio Windows\System dos ficheros, el SKA.EXE (de 10.000 bytes que es una copia del HAPPY.EXE), el SKA.DLL (de 8.192 bytes) y modificará el WSOCK32.DLL haciendo una copia del original llamándola WSOCK32.SKA.

    Una vez ya instalado, al arrancar de nuevo Windows, se ejecutará dicha DLL modificando el registro de Windows de manera que en todos los E-mails que se envíen vaya asociado el fichero HAPPA99.EXE y asi se traslade a otros lugares. En el directorio Windows\System se creará el fichero LISTE.SKA el cual contiene la lista de todas las direcciones a las que se les ha enviado el gusano.

    Considero que la información contenida en esta práctica es de suma importancia y de gran utilidad, puesto que nuestro mundo cada día más se está desarrollando tecnológicamente y son muchísimos los hogares, empresas, compañías y bancos que diariamente hacen uso de un computador y que necesitan conocer acerca de los virus de computadoras para así saber cómo prevenirlos y cómo enfrentarlos en el caso de que infecten nuestro computador.

    No existen virus benéficos. Algunas veces son escritos como una broma, quizá para irritar a la gente desplegando un mensaje humorístico. En estos casos, el virus no es mas que una molestia. Pero en otros casos, un virus puede ser malicioso y causar daño real y tener efectos devastadores.

    Considero que la educación de todos los usuarios de computadora y su activa participación en el seguimiento de ciertas normas, es de vital importancia para así tratar de detener la propagación de los virus.

    Existen más de 1000 virus identificados, y cada día aparecen nuevos virus. Esta cifra debe abrirnos los ojos para así llegar a comprender la magnitud y complejidad de los problemas que se podremos tener en el futuro con los virus. Son muchos los "hackers", o apasionados de la computación que sentados horas y horas frente a sus equipos, están buscando la forma de producir el super virus, capaz de no ser detectado, reproducirse sin ser notado, y causar toda clase de dolores de cabeza a los usuarios de computadora.

    Afortunadamente cada vez más se están desarrollando mejores antivirus y esperamos que los virus informáticos puedan ser detenidos por estos programas antivirus para que no se sigan propagando y no nos sigan causando tantos daños en nuestras computadoras y tantos dolores de cabeza.

    • Enciclopedia Microsoft Encarta, 1999.

    • A.Goretsky, "ViruScan Documentation Manual", MacAfee Associates, California, 1995.

    • A.Goretsky, "VShield ver. 4.8B89 Manual", MacAfee Associates, California, 1992.S. White, D. Chess, C. Kuo, "Coping with Computer

    • G. Ferreira, "Virus en las Computadoras", Macrobit Editores, México, 1991.

    1




    Descargar
    Enviado por:Karen Salcedo
    Idioma: castellano
    País: Cuba

    Te va a interesar