el tema que está teniendo un gran auge e importancia en nuestros días, se trata del tema de los virus informáticos.

En un mundo que cada día se va computarizando más y más, es muy importante conocer ciertos datos acerca de este mal que nos está afectando fuertemente a todos (los virus).

En esta información se recogen distintas informaciones que nos ayudan a conocer más a fondo acerca de los virus. Entre estas informaciones se encuentra la definición de virus informático -para así saber concretamente qué es en realidad un virus de computadora-, el origen y evolución de los virus, su clasificación, las medidas que se deben tomar para poder prevenir los mismos

Antecedentes.

El primer virus que atacó a una máquina IBM Serie 360 (y reconocido como tal), fue llamado Creeper, creado en 1972 por Robert Thomas Morris. Este programa emitía periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora).

Sin embargo, el término virus no se adoptaría hasta 1984 , pero éstos ya existían desde antes. Sus inicios fueron en los laboratorios de Bell Computers. Tres programadores desarrollaron un juego llamado Core Wars, el cual consistía en ocupar toda la memoria RAM del equipo contrario en el menor tiempo posible.

Después de 1984, los virus han tenido una gran expansión, desde los que atacan los sectores de arranque de diskettes hasta los que se adjuntan en un correo electrónico y se ocultan en un formato de imagen comprimida con la extensión JPG.

VIRUS:

Un virus informático es un programa que se copia automáticamente y que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Aunque popularmente se incluye al "malware" dentro de los virus, en el sentido estricto de esta ciencia los virus son programas que se replican y ejecutan por sí mismos. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más benignos, que solo se caracterizan por ser molestos.

Al igual que hay virus humanos con niveles de gravedad muy distintos (desde un resfriado leve hasta el virus Ébola), los efectos de los virus informáticos pueden ser desde ligeramente molestos hasta auténticamente devastadores. Además, cada día se presentan nuevas variantes. Por suerte, con precaución y algunos conocimientos, es menos probable convertirse en víctima de los virus y se puede reducir su impacto.

¿Cómo actúan los virus?

Para su propagación, los virus básicos suelen requerir que los usuarios desprevenidos los compartan o los envíen inadvertidamente. Algunos virus más sofisticados, como los gusanos, pueden reproducirse y enviarse automáticamente a otras computadoras cuando consiguen controlar determinados programas, como algunas aplicaciones de correo electrónico compartido. Ciertos virus, denominados troyanos (en referencia al legendario caballo de Troya), pueden presentarse como programas aparentemente beneficiosos para que los usuarios los descarguen. Existen incluso algunos troyanos que pueden ofrecer los resultados esperados y, al mismo tiempo, dañar discretamente el sistema local o el de otras computadoras conectadas a la red

Aunque es bueno conocer los distintos tipos de virus y cómo actúan, lo más importante es mantener protegida la computadora con las últimas actualizaciones y herramientas antivirus, estar informados acerca de las amenazas recientes y observar algunas reglas básicas con respecto a la exploración por Internet, la descarga de archivos y tratamiento de los archivos adjuntos. Una vez infectada la computadora con un virus, el tipo al que pertenece o el método de infección no son tan importantes como la necesidad de eliminarlo e impedir nuevas infecciones.

Técnicas de Programación.

Técnicas Stealth .- Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los antivirus. Habitualmente los virus ocultan el tamaño real de los archivos que han contaminado, de forma que si hacemos un DIR la información del tamaño de los archivos puede ser falsa.

Los virus de tabla de partición guardan una copia de la FAT original en otro lugar del disco que marcan como sectores defectuosos para mostrarsela al usuario cuando haga por ejemplo un FDISK.

Incluso hay virus que detectan la ejecución de determinados antivirus y descargan de la memoria partes de su propio código "sospechoso" para cargarse de nuevo cuando estos han finalizado su búsqueda.

• Tunneling .- Es una técnica usada por programadores de virus y antivirus para evitar todas las rutinas al servicio de una interrupción y tener así un control directo sobre esta. Requiere una programación compleja, hay que colocar el procesador en modo paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se produce la interrupción: Se coloca una ISR (Interrupt Service Routine) para dicha interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a donde se quería hasta recorrer toda la cadena de ISRs que halla colocando el parche al final de la cadena.

• Antidebuggers .- Un debugger es un programa que permite decompilar programas ejecutables y mostrar parte de su código en lenguaje original. Los virus usan técnicas para evitar ser desemsamblados y así impedir su análisis para la fabricación del antivirus correspondiente.

• Polimorfismo o automutación .- Es una técnica que consiste en variar el código virico en cada infección (más o menos lo que hace el virus del SIDA en los humanos con su capa protéica). Esto obliga a los antivirus a usar técnicas heurísticas ya que como el virus cambia en cada infección es imposible localizarlo buscandolo por cadenas de código. Esto se consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles a los antivirus. No obstante no se puede codificar todo el código del virus, siempre debe quedar una parte sin mutar que toma el control y esa es la parte más vulnerable al antivirus. La forma más utilizada para la codificación es la operación lógica XOR. Esto es debido que esta operación es reversible: 7 XOR 9 = 2 2 XOR 9 = 7 En este caso la clave es el número 9, pero utilizando una clave distinta en cada infección se obiene una codificación también distinta.Otra forma también muy utilizada consiste en sumar un numero fijo a cada byte del código vírico.

• TSR .- Los programas residentes en memoria (TSR) permanecen alojados en esta durante toda su ejecución. Los virus utilizan esta técnica para mantener el control sobre todas las actividades del sistema y contaminar todo lo que encuentren a su paso. El virus permanece en memoria mientras la computadora permanezca encendido.

Por eso una de las primeras cosas que hace al llegar a la memoria es contaminar los archivos de arranque del sistema para asegurarse de que cuando se vuelva a arrancar la computadora volverá a ser cargado en memoria.

PUNTOS PROPICIOS DE INFECCION DE LOS VIRUS INFORMATICOS.

Los puntos de infección son los lugares o programas del sistema en donde los virus insertan su código ejecutable para posteriormente entrar en acción cuando este punto o programa sea ejecutado. Hay virus que infectan el sector de arranque (boot sector), el interprete de comandos (shell), archivos ejecutables, drivers controladores de dispositivos, monitores residentes en memoria, etc. Cada técnica de infección proporciona ventajas y desventajas a los programadores de virus. Algunos métodos son mejores porque es mas difícil que un software antivirus los detecte, pero exigen técnicas de programación muy rigurosas y mucho tiempo de desarrollo.

Algunas de las técnicas frecuentemente usadas utilizan los siguientes puntos de infección:

Contaminación del sector de arranque (boot)

El virus sustituye el sector de booteo original del computador cambiando así la secuencia normal de booteo. De esta manera, lo primero que se ejecuta al encender el sistema es el código del virus, el cual queda residente en memoria y luego carga el núcleo del sistema operativo.
Las principales ventajas de este tipo de infección son que, por un lado, es fácil de programar un virus de estas características y, por otro lado, al quedar el virus por debajo del sistema operativo tiene virtualmente un control total sobre las acciones del mismo e incluso puede engañar mas fácilmente a muchos programas antivirus.

Su principal desventaja es que son fácilmente detectables y eliminables ya que basta con reinstalar nuevamente un sector de arranque "bueno" para eliminar el virus.

Contaminación del interprete de comandos (shell)

Este tipo de infección es muy similar a la anterior, ya que el virus únicamente infecta un solo programa del sistema operativo, el interprete de comandos.La principal ventaja de estos virus es que pueden "interceptar" todas las ordenes que el usuario le da al sistema y en algunos casos (dependiendo de la función del virus) solapar las acciones que se deben realizar con otras acciones falsas introducidas por el mismo virus.

Por ejemplo: Cuando el usuario quiere ver el contenido de un directorio el virus se lo muestra, pero lo que en realidad hace es borrar totalmente ese directorio. El engaño pude llegar incluso hasta el punto de que durante toda le sesión presente el virus muestre el contenido del directorio como si aun existiese, aunque en realidad ya esta borrado.

Contaminación de propósito general

Este método de infección es uno de los mas usados, ya que los virus de este tipo contagian todos los archivos ejecutables que encuentren en el sistema de archivos.

Independientemente de la acción destructiva que realizan, son extremadamente difíciles de erradicar, ya cuando se los detecta posiblemente ya hayan contaminado decenas o cientos de programas del sistema, los cuales en muchos casos no se pueden recuperar (ver Desinfección) e incluso es posible que el virus haya contagiado algún otro sistema al cual se llevo alguno de los programas infectados.

Por lo general este tipo de virus asegura su permanencia contagiando cierta cantidad de archivos antes de

iniciar sus acciones destructivas, con lo cual, al momento de detectarlo, el virus puede haber infectado todo el sistema e incluso otros sistemas.
Una variante de este tipo de virus son los virus de propósitos específicos (SPI) diseñados generalmente con fines de competencia entre empresas de software o para castigar la piratería de algún paquete de

software en particular. Este tipo de virus solamente ataca determinados programas o paquetes de software de determinadas empresas y por lo general termina destruyéndolo o modificándolo para que -en

apariencia- funcione mal. Algunas variantes de estos virus también contagian otros archivos ejecutables en general persiguiendo dos fines fundamentales: Poder actuar en el futuro ante una reinstalación del

software que combaten y, por otro lado, la infección de otros archivos en general desvía las sospechas

sobre las verdaderas intenciones del virus

Virus residentes en memoria

El ultimo tipo de infección son lo virus residentes en memoria (MRI), los cuales, a diferencia de los anteriores que solo actuaban mientras se ejecutaba el programa infectado, se instalan en memoria y allí permanecen hasta que se apague el sistema.

Estando en memoria el virus puede realizar todas las acciones de contagio y destrucción que desee en cualquier momento.

Tipos de Virus de Computación:

Los virus se clasifican por el modo en que actúan infectando la computadora:

• Programa: Infectan archivos ejecutables tales como . com / .exe / .ovl / .drv / .sys / .bin

• Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.

• Múltiples: Infectan programas y sectores de "booteo".

• Bios: Atacan al Bios para desde allí reescribir los discos duros.

• Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido común.

SPYWARE:

Los programas espía o spyware son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento.La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas.

 

Antiespías gratuitos (para uso personal):

• Spybot - Search & Destroy

• Ad-Aware

• SpywareBlaster

 

 

 

MALWARE:

Malware es software que tiene como objetivo infiltrarse en o dañar un ordenador sin el consentimiento informado de su dueño. Existen muchísimos tipos de malware, aunque algunos de los más comunes son los virus informáticos, los gusanos, los troyanos, los programas de spyware/adware o incluso los bots

TROYANOS:

Se denomina troyano a un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona.

 

PHISHING:

Phishing es un término informático que denomina el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

 

HOAX:

Hoax es un mensaje de correo electrónico con contenido falso o engañoso. Normalmente es distribuido en cadena por sus sucesivos receptores debido a su contenido impactante, a que parece provenir de una fuente seria y fiable (IBM, Microsoft, etc.) o porque el mismo mensaje pide ser reenviado.

Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse millonario o crean cadenas de la suerte o también religiosas como las que existen por correo postal.

Para evitar propagar hoax, así como spam, virus y mensajes con phishing conviene tener en cuenta:

• Cuando recibamos un mensaje que hable de algo que desconocemos conviene consultar su veracidad (por ejemplo a partir de buscadores de la www).

• Sólo si, tras el paso previo, estamos seguros de que lo que dice el mensaje es cierto e importante de ser conocido por nuestros contactos lo reenviaremos, teniendo cuidado de poner las direcciones de correo electrónico de los destinatarios en la casilla CCO.

• Conviene que hagamos saber lo dicho en los dos puntos anteriores a nuestros contactos en cuanto nos reenvían mensajes con contenido falso o sin utilizar la casilla CCO.

SPAM:

Spam (Stupid Post And Messages) son mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.

  

GUSANO:

Un gusano es un virus informático o programa autoreplicante que no altera los archivos sino que reside en la memoria y se duplica a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.

¿Cuáles son las normas preventivas contra los virus?

Instalar en su equipo un buen software antivirus, con vacunas residentes en la memoria RAM y actualizarlo periódicamente en forma obligatoria. La mayoría de usuarios adquiere un antivirus únicamente cuando han ingresado virus a sus equipos y una vez resuelto su problema no vuelven a adquirir otra nueva versión. Este descuido reviste suma gravedad por cuanto los autores de virus no descansan jamás y crean virus todos los días del año.

Evitar o restringir el intercambio de diskettes de origen desconocido o si esto fuere necesario, someter esos diskettes a la revisión del antivirus instalado en el disco.

Es muy importante que el antivirus elegido cuente además con un buen soporte técnico local.

Restringir al máximo el uso de los equipos, por parte de personas ajenas a las actividades propias de una entidad o dependencia.

Todos los clientes, con o sin disco duro, pero con disquetera, deberán tener vacunas activadas en la memoria. En el primer caso éstas deben estar instaladas en el directorio raíz de la partición DOS del disco duro, y en el segundo caso en los diskettes de arranque. Si el terminal tiene un Boot ROM y además una disquetera, después de arrancar el sistema se deberá ejecutar las vacunas desde un diskette, para que éstas sean cargadas en la memoria ya que las partes y piezas de cada unidad son individuales y únicas.
Los antivirus cargables como NLM (Network Loadable Modules) en un servidor no pueden controlar eficientemente a los virus de boot y de la tabla de particiones de sus clientes o estaciones de trabajo. Los clientes sin disquetera no pueden ser contagiados directamente pero sí a través de la red a causa de cualquier otro cliente infectado.

Contar con una copia de respaldo del diskette de sistema "buteable" y libre de virus, que además de los archivos ocultos, el COMMAND.COM y CONFIG.SYS incluya el SYS.COM para transferir el sistema en caso de borrarse o alterarse los archivos de sistema del disco. Es obligatorio que este disco de arranque tenga la misma versión del D.O.S usada en el disco duro, o un diskette de Inicio si se usa Windows 95 como sistema operativo.

En el caso de redes se deberá contar obligatoriamente con una copia de respaldo de los archivos que cargan la red.

Guardar copias de respaldo de los programas y archivos principales.

Los diskettes originales y las copias de respaldo deberán tener cerrado el seguro de protección contra escritura.

Los sistemas tape-backup han bajado de precio considerablemente y es muy conveniente contar con uno de ellos, para la prevención de pérdidas de información o simplemente como una cómoda opción de almacenamiento.

Los atributos de Read-Only, Hidden o System, dados a los archivos ejecutables, no garantizan por ningún motivo el riesgo de infección así como también no es recomendable inmunizar archivos con antivirus foráneos, pues en el caso de no detectar un virus nacional, por ejemplo, al inmunizarlo no solamente no se le habrá eliminado sino que además el virus quedará escondido debajo de las rutinas de inmunización y el riesgo de su propagación será latente.

Los sistemas operativos Windows NT, OS/2, UNIX, etc. son vulnerables a los virus. El hecho de que no exista todavía un buen número de especies virales para ellos, se debe a que la cantidad de equipos que usan estas plataformas es sumamente inferior al de la mayoría de las PC's. Los autores de virus desean hacer daños masivos.

En el caso de los archivos zipeados, que fueron bajados por Internet, estos deberán ser revisados inmediatamente después de haber sido desempaquetados y antes de ser ejecutados.

Este mismo tratamiento se deberá dar a los archivos anexados (atachados), enviados por correo electrónico.

Si tiene instalado el Mirc, desactive la opción auto get que recoge los ficheros DCC de forma automática y cambie el subdirectorio por defecto para que sobreescriba el "script.ini" original.

Considero que esta información es de gran importancia y de gran utilidad, puesto que nuestro mundo cada día más se está desarrollando tecnológicamente y son muchísimos los hogares, empresas, compañías y bancos que diariamente hacen uso de un computador y que necesitan conocer acerca de los virus de computadoras para así saber cómo prevenirlos y cómo enfrentarlos en el caso de que infecten nuestro computador.

No existen virus benéficos. Algunas veces son escritos como una broma, quizá para irritar a la gente desplegando un mensaje humorístico. En estos casos, el virus no es mas que una molestia. Pero en otros casos, un virus puede ser malicioso y causar daño real y tener efectos devastadores.

Considero que la educación de todos los usuarios de computadora y su activa participación en el seguimiento de ciertas normas, es de vital importancia para así tratar de detener la propagación de los virus.

Existen más de 1000 virus identificados, y cada día aparecen nuevos virus. Esta cifra debe abrirnos los ojos para así llegar a comprender la magnitud y complejidad de los problemas que se podremos tener en el futuro con los virus. Son muchos los "hackers", o apasionados de la computación que sentados horas y horas frente a sus equipos, están buscando la forma de producir el super virus, capaz de no ser detectado, reproducirse sin ser notado, y causar toda clase de dolores de cabeza a los usuarios de computadora.

Afortunadamente cada vez más se están desarrollando mejores antivirus y esperamos que los virus informáticos puedan ser detenidos por estos programas antivirus para que no se sigan propagando y no nos sigan causando tantos daños en nuestras computadoras y tantos dolores de cabeza.

A.Goretsky, "ViruScan Documentation Manual", MacAfee Associates, México, 1995.

G. Ferreira, "Virus en las Computadoras", Macrobit Editores, México, 1991.

http://www.megazona.com/ZONAVirus/

http://www.geocities.com/Athens/Olympus/7428/virus1.html