Informática
Virus informáticos
INTRODUCCION
Actualmente los virus informáticos se han incrementado notablemente; desde la primera aparición su crecimiento ha sido sorprendente. En la actualidad se crean cinco virus diarios aproximadamente, los virus no solamente copian sus códigos en forma parcial a otros programas sino que además lo hacen en áreas importantes de un sistema (sector de arranque, tabla de partición, entre otros).
Un virus no necesariamente tiene que auto reproducirse, pues basta con que se instale en memoria y desde allí ataque a un determinado tipo de archivo o áreas del sistema y lo infecte. Con Internet se hace más fácil tener el total control de los virus informáticos, lo que resulta perjudicial a todos los usuarios.
El crecimiento veloz de los virus, hace necesario un rápido tratamiento usando las técnicas de prevención, detección y eliminación de virus informáticos, teniéndose que llevar a cabo de forma rápida y eficiente .
Como causa de éste crecimiento innumerable de los virus informáticos, aparece, paradójicamente la solución, mediante las actualizaciones de los antivirus.
HISTORIA DE LOS VIRUS
Desde la aparición de los virus informáticos en 1984 y tal como se les concibe hoy en día, han surgido muchos mitos y leyendas acerca de ellos. Esta situación se agravó con el advenimiento y auge de Internet. A continuación, un resumen de la verdadera historia de los virus que infectan los archivos y sistemas de las computadoras.
1939-1949 Los Precursores
| En 1939, el famoso científico matemático John Louis Von Neumann, de orígen húngaro, escribió un artículo, publicado en una revista científica de New York, exponiendo su "Teoría y organización de autómatas complejos", donde demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de similar estructura. Cabe mencionar que Von Neuman, en 1944 contribuyó en forma directa con John Mauchly y J. Presper Eckert, asesorándolos en la fabricación de la ENIAC, una de las computadoras de Primera Generación, quienes construyeran además la famosa UNIVAC en 1950. |
John Louis von Neumann (1903-1957)
En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en 1939.
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo un virus en ArpaNet, la precursora de Internet.
Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarlos totalmente. Este juego fue motivo de concursos en importantes centros de investigación como el de la Xerox en California y el Massachussets Technology Institute (MIT), entre otros.
Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato, debido a que por aquellos años la computación era manejada por una pequeña élite de intelectuales
A pesar de muchos años de clandestinidad, existen reportes acerca del virus Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360, emitiendo periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you can!" (Soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora), ya que por aquella época se desconocía el concepto de los softwares antivirus.
En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de América, precursora de Internet, emitió extraños mensajes que aparecían y desaparecían en forma aleatoria, asimismo algunos códigos ejecutables de los programas usados sufrían una mutación. Los altamente calificados técnicos del Pentágono se demoraron 3 largos días en desarrollar el programa antivirus correspondiente.
Hoy día los desarrolladores de antivirus resuelven un problema de virus en contados minutos.
1981 La IBM PC
En Agosto de 1981 la International Business Machine lanza al mercado su primera computadora personal, simplemente llamada IBM PC. Un año antes, la IBM habían buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los derechos de su sistema operativo CP/M, pero éste se hizo de rogar, viajando a Miami donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul".
Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y adquiere a la Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar dicho sistema, bajo el nombre de MS-DOS.
El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido y Rústico Sistema Operativo de Disco) y tenía varios errores de programación (bugs).
La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase de un buen sistema operativo y como resultado de esa imprevisión todas las versiones del llamado PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya que fundamentalmente heredaron muchos de los conceptos de programación del antiguo sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una rutina de apenas 256 bytes, que es ejecutada previamente a la ejecución de cualquier programa con extensión EXE o COM.
1983 Keneth Thompson
Este joven ingeniero, quien en 1969 creó el sistema operativo UNIX, resucitó las teorías de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un virus informático.
1984 Fred Cohen
| Al año siguiente, el Dr. Fred Cohen al ser galardonado en una graduación, en su discurso de agradecimiento incluyó las pautas para el desarrollo de un virus. Este y otros hechos posteriores lo convirtieron en el primer autor oficial de los virus, aunque hubo varios autores más que actuaron en el anonimato. El Dr. Cohen ese mismo año escribió su libro "Virus informáticos: teoría y experimentos", donde además de definirlos los califica como un grave problema relacionado con la Seguridad Nacional. Posteriormente este investigador escribió "El evangelio según Fred" (The Gospel according to Fred), desarrolló varias especies virales y experimentó con ellas en un computador VAX 11/750 de la Universidad de California del Sur. |
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la revista BYTE reportaron la presencia y difusión de algunos programas que actuaban como "caballos de Troya", logrando infectar a otros programas.
Al año siguiente los mensajes y quejas se incrementaron y fue en 1986 que se reportaron los primeros virus conocidos que ocasionaron serios daños en las IBM PC y sus clones.
1986 El comienzo de la gran epidemia
En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron las primeras especies representativas de difusión masiva. Estas 3 especies virales tan sólo infectaban el sector de arranque de los disckettes. Posteriormente aparecieron los virus que infectaban los archivos con extensión EXE y COM.
| El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores de los virus y recién graduado en Computer Science en la Universidad de Cornell, difundió un virus a través de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno de los terminales del MIT (Instituto Tecnológico de Massashussets). Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario. |
1991 La fiebre de los virus
En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba como director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria, escribió un interesante y polémico artículo en el cual, además de reconocer a su país como el líder mundial en la producción de virus da a saber que la primera especie viral búlgara, creada en 1988, fue el resultado de una mutación del virus Vienna, originario de Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de Sofía. Al año siguiente los autores búlgaros de virus, se aburrieron de producir mutaciones y empezaron a desarrollar sus propias creaciones.
En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se propagó por toda Europa y los Estados Unidos haciéndose terriblemente famoso por su ingeniosa programación, peligrosa y rápida técnica de infección, a tal punto que se han escrito muchos artículos y hasta más de un libro acerca de este virus, el mismo que posteriormente inspiró en su propio país la producción masiva de sistema generadores automáticos de virus, que permiten crearlos sin necesidad de programarlos.
1995 Los macro virus
A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de una nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin ser archivos ejecutables podían auto replicarse infectando a otros documentos. Los llamados macro virus tan sólo infectaban a los archivos de MS-Word, posteriormente apareció una especie que atacaba al Ami Pro, ambos procesadores de textos.
En 1997 se disemina a través de Internet el primer macro virus que infecta hojas de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor información sírvanse revisar la opción Macro Virus, en este mismo módulo.
1999 Los virus anexados (atachados)
A principios de 1999 se empezaron a propagar los virus anexados (atachados) a mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo año fue difundidos a través de Internet el peligroso CIH y el ExploreZip, entre otros muchos más.
A fines de Noviembre de este mismo año apareció el BubbleBoy, primer virus que infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS, primer virus oculto dentro del shell de la extensión .SHS.
Resultará imposible impedir que se sigan desarrollando virus en todo el mundo, por ser esencialmente una expresión cultural de "graffiti cibernético", así como los crackers jamás se detendrán en su intento de "romper" los sistemas de seguridad de las redes e irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha del bien y el mal ahora se ha extendido al ciber espacio.
HISTORIA DE LOS VIRUS EN EL PERU
En 1986 se detectan los primeros virus informáticos en el Perú: Stoned, Bouncing Ball y Brain
Al igual que la corriente búlgara, en 1991 apareció en el Perú el primer virus local, autodenominado Mensaje y que no era otra cosa que una simple mutación del virus Jerusalem-B y al que su autor le agregó una ventana con su nombre y número telefónico. Los virus con apellidos como Espejo, Martínez y Aguilar fueron variantes del Jerusalem-B y prácticamente se difundieron en el ámbito nacional.
Continuando con la lógica del tedio, en 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que formateaba el disco duro). La creación de los virus locales ocurre en cualquier país y el Perú no podía ser la excepción.
¡¡virus!!
DEFINICION DE LOS VIRUS INFORMÁTICOS
Los virus informáticos son programas que utilizan técnicas sofisticadas, diseñados por expertos programadores, los cuales tienen la capacidad de reproducirse por sí mismos, unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayoría de estas acciones son hechas con mala intención.
Un virus informático, ataca en cualquier momento, destruyendo toda la información que no esté protegida con un antivirus actualizado.
La mayoría de los virus suelen ser programas residentes en memoria, se van copiando dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras personas, también encontrarán en el interior archivos con virus.
Un virus tiene la capacidad de dañar información, modificar los archivos y hasta borrar la información un disco duro, dependiendo de su programador o creador.
En la actualidad los virus informáticos no solo afectan a los archivos ejecutables de extensión .EXE y .COM, sino también a los procesadores de texto, como los documentos de Word y hojas de cálculo como Excel, esta nueva técnica de elaboración de virus informático se llama Macro Virus.
¿POR QUÉ LLAMARLOS VIRUS?
La gran similitud entre el funcionamiento de los virus computacionales y los virus biológicos, propició que a estos pequeños programas se les denominara virus.
Los virus en informática son similares a los que atacan el organismo de los seres humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo objetivo es destruir o molestar el "huésped".
Al igual que los virus orgánicos, los virus en informática deben ser eliminados antes de que causen la "muerte" del huésped...
Los virus de las computadoras no son mas que programas; y estos virus casi siempre los acarrean las copias ilegales o piratas.
Provocan desde la pérdida de datos o archivos en los medios de almacenamiento de información (diskette, disco duro, cinta), hasta daños al sistema y, algunas veces, incluyen instrucciones que pueden ocasionar daños al equipo.
CARACTERÍSTICAS:
Estos programas tienen algunas características muy especiales:
-
Son muy pequeños.
-
Casi nunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha de creación.
-
Se reproducen a sí mismos.
-
Toman el control o modifican otros programas.
MOTIVOS PARA CREAR UN VIRUS:
A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de computadora no ocurren en forma natural, cada uno debe ser programado. No existen virus benéficos.
Algunas veces son escritos como una broma, quizá para irritar a la gente desplegando un mensaje humorístico. En estos casos, el virus no es mas que una molestia. Pero cuando un virus es malicioso y causa daño real, ¿quién sabe realmente la causa? ¿Aburrimiento? ¿Coraje? ¿Reto intelectual? Cualquiera que sea el motivo, los efectos pueden ser devastadores.
Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su identificación.
FASES DE INFECCION DE UN VIRUS
Primera Fase (Infección)
El virus pasa a la memoria del computador, tomando el control del mismo, después de intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de ejecutar un archivo infectado.
El virus pasa a la memoria y el sistema se ejecuta, el programa funciona aparentemente con normalidad, de esta forma el usuario no se da cuenta de que su sistema está siendo infectado.
Segunda Fase (Latencia)
Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema cuando son ejecutados o atacando el
sector de arranque del disco duro.
De esta forma el virus toma el control del sistema siempre que se encienda el computador, ya que intervendrá el sector de arranque del disco, y los archivos del sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura, dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar el sistema.
Tercera Fase (Activación)
Esta es la última fase de la vida de un virus y es la fase en donde el virus se hace presente.
La activación del virus trae como consecuencia el despliegue de todo su potencial destructivo, y se puede producir por muchos motivos, dependiendo de como lo creó su autor y de la versión de virus que se trate, debido a que en estos tiempo encontramos diversas mutaciones de los virus.
Algunos virus se activan después de un cierto número de ejecuciones de un programa infectado o de encender el sistema operativo; otros simplemente esperan a que se escriba el nombre de un archivo o de un programa.
La mayoría de los virus se activan mediante el reloj del sistema para comprobar la fecha y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna condición y por último atacan, el daño que causan depende de su autor.
CLASES DE VIRUS:
VIRUS POLIMORFICOS
-
Muy difíciles de detectar y eliminar, debido a que cada copia del virus es diferente de otras copias.
-
Sus instrucciones cambian cada vez que se autoencriptan.
-
El virus produce varias copias diferentes de sí mismo.
-
Cambian su forma (código) cada vez que infectan un sistema, de esta manera parece siempre un virus distinto y es más difícil que puedan ser detectados por un programa antivirus.
-
Pero existe un fallo en está técnica, y es que un virus no puede codificarse por completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta rutina la que buscan los antivirus para la detección del virus.
VIRUS ESTATICOS
-
Tipo de virus más antiguos y poco frecuentes.
-
Su medio de propagación es a través de programas ejecutables.
-
Su forma de actuar es sencilla.
-
Cuando abrimos un archivo infectado, el virus toma el control y contamina otro archivo que no este todavía infectado.
-
Normalmente infectan archivos del mismo directorio, o puede ser que tengan objetivos fijos como el COMMAND.COM del Sistema Operativo.
-
No permanecen en memoria más que el tiempo necesario para infectar uno o varios archivos.
-
Pueden ser virus destructivos en el caso de que sobrescriban la información del programa principal con su código de manera irreversible.
-
A veces bloquean el control del sistema operativo, sobrescribiéndolo.
VIRUS RESIDENTES
-
Virus que permanecen indefinidamente en memoria incluso después de haber finalizado el programa portador del virus.
-
Una vez ejecutado el programa portador del virus, éste pasa a la memoria del computador y se queda allí hasta que apaguemos el ordenador. Mientras tanto va infectando todos aquellos programas ejecutables que utilicemos.
VIRUS DESTRUCTIVOS
-
Microprogramas muy peligrosos para la integridad de nuestro sistema y nuestros datos.
-
Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco duro.
-
Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestión de segundos inutilizan los datos del disco duro.
-
VIRUS BIPARTIDOS
-
Es un virus poco frecuente.
-
Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su código (el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero puede haber otra versión del mismo virus que incorpore ese algoritmo. Si ambos virus coinciden en nuestro computador, y se unen en uno sólo, se convierten en un virus destructivo.
-
VIRUS COMPAÑEROS
-
Son los virus más sencillos de hacer.
-
Cuando en un mismo directorio existen dos programas ejecutables con el mismo nombre pero uno con extensión .COM y el otro con extensión .EXE, el MS-DOS carga primero el archivo con extensión .COM.
-
Si se crea un archivo .COM oculto, con el mismo nombre que el otro archivo ejecutable de extensión .EXE. Primero se cargará en la memoria el archivo .COM que contiene el virus. Después el virus llamaría al programa original.
-
El archivo infectado no podría ser visto con un simple comando DIR en C :\, porque contiene el atributo de oculto.
-
VIRUS DE BOOT (SECTOR DE ARRANQUE)
-
Como su nombre lo indica, infecta el sector de arranque del disco duro.
-
Dicha infección se produce cuando se intenta cargar el sistema operativo desde un disco infectado.
-
Infecta los diskettes o discos duros, alojándose en el boot sector.
-
Cuando se enciende el computador, lo primero que hace la BIOS es inicializar todo (tarjetas de vídeo, unidades de disco, chequear memoria, entre otros).
-
Normalmente es un pequeño programa que se encarga de preparar al Sistema Operativo.
-
Lo que hace este tipo de virus es sustituir el boot sector original por el programa con el virus informático para que se cargue en el Sistema Operativo.
-
Almacenando el boot sector original en otra parte del disco o simplemente lo reemplaza en su totalidad.
-
También localiza un sitio en el Disco Duro para guardar la antigua rutina que había en el BOOT.
-
AUTOREPLICABLES
-
Realizan funciones parecidas a los virus biológicos. Ya que se autoreplican e infectan los programas ejecutables que se encuentren en el disco.
-
Se activan en una fecha, hora programada, cada determinado tiempo, contando a partir de su última ejecución o simplemente al sentir que se les trata de detectar.
-
ESQUEMA DE PROTECCIÓN
-
No son virus destructivos.
-
Se activan cuando se intenta copiar un archivo que está protegido contra escritura.
-
También se ejecutan cuando se intenta copiar softwares o programas.
-
VIRUS INFECTORES DE PROGRAMAS EJECUTABLES
-
La infección se produce al ejecutar el programa que contiene el virus, en ese momento busca todos los programas cuyas extensiones sean .COM o .EXE.
-
Cuando un programa infectado está ejecutándose, el virus puede permanecer residente en memoria e infectar cada programa que se ejecute.
-
Los virus de este tipo tienen dos formas de alojarse en el ejecutable.
-
Graban su código de inicio al principio del archivo, realizando un salto para ejecutar el programa básico y regresar al programa infectado.
-
Sobrescribiendo en los sectores del disco, haciendo prácticamente imposible su recuperación, si no cuenta con los originales.
-
VIRUS INVISIBLES
-
Este tipo de virus intenta esconderse del Sistema Operativo mediante varias técnicas.
-
Pueden modificar el tamaño del archivo infectado, para que no se note que se le ha añadido un virus.
-
Pueden utilizar varias técnicas para que no se les pueda encontrar en la memoria del ordenador engañando a los antivirus.
-
Normalmente utilizan la técnica de Stealth o Tunneling.
-
PROGRAMAS MALIGNOS
-
Bombas Lógicas
-
Bombas de Tiempo
-
Jokes
-
Gusanos
-
Caballos de Troya
-
Son programas ocultos en la memoria del sistema o en el disco, o en los archivos de programas ejecutables con extensión .COM y .EXE.
-
Una Bomba de Tiempo se activa en una fecha, hora o año determinado.
-
Puede formatear el disco duro.
-
El daño que las bombas de tiempo puedan causar depende de su autor.
-
Una Bomba Lógica se activa al darse una condición específica.
-
Tanto las bombas lógicas como las bombas de tiempo, aparentan el mal funcionamiento del computador, hasta causar la pérdida de la información.
-
Son programas desarrollados con el objetivo de hacer bromas, de mal gusto, ocasionando distracción y molestias a los usuarios.
-
Simulan el comportamiento de Virus, constituyen Bombas Lógicas o de Tiempo.
-
Muestran en la pantalla mensajes extraños con la única intención de fastidiar al usuario.
-
Es un programa que se autoreproduce.
-
No infecta otros programas como lo haría un virus, pero crea copias de él, las cuales crean más copias.
-
Son más usados para atacar en grandes sistemas informáticos mediante una red de comunicaciones como Intranet o Internet, donde el gusano creará más copias rápidamente, obstruyendo el sistema.
-
Se propagan rápidamente en las computadoras.
-
Utilizan gran cantidad de memoria del computador, disminuyendo la velocidad de éste.
-
Son aquellos programas que se introducen en el sistema bajo una apariencia totalmente diferente a la de su objetivo final.
-
Se presentan como información perdida o basura sin ningún sentido.
-
Pero al cabo de un determinado tiempo y esperando la indicación del programa, se activan y comienzan a
ejecutarse. -
Sus autores lo introducen en los programas más utilizados o softwares ilegales como por ejemplo :
-
No se autoreproducen.
-
Su misión es destruir toda la información que se encuentra en los discos.
-
TÉCNICAS DE VIRUS
-
¿QUE ES UNA MUTACION ?
-
SINTOMAS DE UN EQUIPO INFECTADO
-
Del procedimiento de Detección
-
El Procedimiento de Detección de los virus informáticos debe garantizar que la posible existencia de un virus en un medio magnético u óptico no ingrese directamente al Sistema.
-
Se consideran medios de infección por virus a los siguientes :
-
De un diskette infectado proveniente de una fuente exterior al equipo de cómputo.
-
A través de la adquisición o movimiento de máquinas infectadas en el centro de cómputo.
-
A través de los diferentes tipos de comunicación entre equipos de cómputo.
-
Cuando un Sistema Operativo está infectado, se presenta cualquiera de los siguientes síntomas :
-
El cargado de los programas toma más tiempo de lo normal.
-
Demora excesiva en los accesos al disco, cuando se efectúan operaciones sencillas de escritura.
-
Se producen inusuales mensajes de errores.
-
Se encienden las luces de acceso a los dispositivos, cuando no son requeridos en ese momento.
-
Disposición de menos memoria de lo normal.
-
Desaparecen programas o archivos misteriosamente.
-
Se reduce repentinamente el espacio del disco.
-
Los archivos ejecutables cambian de tamaño.
-
Aparecen, inexplicablemente, algunos archivos escondidos.
-
Aparece en la pantalla una serie de caracteres especiales sin ninguna explicación lógica.
-
Algunos comandos no pueden ser ejecutados, principalmente los archivos con extensión .COM y .EXE.
-
A veces infectan primero el COMMAND.COM, pero como su función es la de seguir infectando éste continuará operando.
-
La razón por la que ciertos ejecutables no pueden ser activados se debe a que simplemente el virus puede haberlos borrado.
-
Al prender el equipo no se puede accesar al disco duro, esto es debido a que el virus ya malogró el comando COMMAND.COM y se muestra el siguiente mensaje :
-
Los archivos ejecutables de los gestores de bases de datos como dBase, Clipper, FoxPro, etc., están operativos, sin embargo la estructura de los archivos DBF están averiados o cambiados. Lo mismo puede ocurrir con las hojas de cálculo como Lotus 1-2-3, Q-Pro, Excel, etc.
-
El sistema empieza a ´colgarse´. Puede ser un virus con la orden de provocar reseteos aleatorios.
-
Cierto periféricos tales como : la impresora, módem, tarjeta de sonido, entre otros no funcionan.
-
El sistema no carga normalmente o se interrumpe en los procesos.
-
Los archivos ejecutables seguirán existiendo pero como el código del virus está presente en la mayoría de los casos aumentará el tamaño de los archivos infectados.
-
La pantalla muestra símbolos ASCII muy raros comúnmente conocidos como basura, se escuchan sonidos intermitentes, se producen bloqueos de ciertas teclas.
-
COMO PREVENIR LOS VIRUS INFORMATICOS
-
Control de la Información Ingresada :
-
No deben utilizarse diskettes usados, provenientes del exterior de la Institución.
-
Utilizar siempre software comercial original.
-
Mantener la protección de escritura en todos los discos de programas originales y de las copias de seguridad
-
Si por razones de trabajo fuera necesario la utilización de un medio magnético u óptico venido del exterior, éste deberá necesariamente pasar por los controles siguientes :
-
Identificar el medio de almacenamiento que contiene la información. Los medios magnéticos u ópticos de almacenamiento(diskettes, cintas, cartuchos, discos u otros) que contienen archivos de información, deben estar debidamente etiquetados, tanto interna como externamente.
-
Chequear el medio magnético u óptico, mediante un procedimiento de detección de virus, establecido por el organismo competente de la Institución.
-
Registrar el medio magnético u óptico, su origen y la persona que lo porta.
-
Del Personal Usuario de las Computadoras :
-
El personal que tiene acceso a las computadoras en forma monousuaria, deberá encargarse de detectar y eliminar en los medios magnéticos u ópticos, la infección o contagio con virus. A tal efecto, utilizará los procedimientos establecidos por el órgano competente de la Institución.
-
Las computadoras conectadas a una Red, preferentemente, no deberán tener unidades de diskettes, a fin de prevenir la infección de virus informáticos. El uso de los diskettes deberá ser efectuado por el administrador de red.
-
Otras Medidas de Prevención Contra Virus :
-
Semanalmente deberá efectuarse un respaldo de toda la información útil que se encuentra almacenada en el disco duro.
-
En caso de que se labore en red o en modo multiusuario, el administrador de la red hará un respaldo diario de la información útil del disco.
-
Por ningún motivo debe usarse los servidores de red como estaciones de trabajo.
-
Sólo los archivos de datos y no los programas ejecutables deberán ser copiados de una computadora a otra.
-
Todo diskette debe, normalmente, estar protegido contra escritura para evitar su posible infección al momento de la lectura.
-
El Sistema debe cargarse desde un diskette que sea original, o en su defecto desde una copia, especialmente preparada y verificada para que no contenga virus informáticos.
-
Nunca se debe de ejecutar programas de origen desconocidos.
-
No se debe añadir archivos de datos o programas a diskettes que contienen programas originales.
-
Efectuar periódicamente la depuración de archivos en los discos duros de la computadora.
-
DAÑOS TRIVIALES.
-
DAÑOS MENORES.
-
DAÑOS MODERADOS.
-
DAÑOS MAYORES.
-
DAÑOS SEVEROS.
-
DAÑOS ILIMITADOS.
-
CARACTERISTICAS DE LOS MACRO VIRUS :
-
Infectan únicamente documentos de MS-Word o Ami Pro y hojas de cálculo Excel.
-
Poseen la capacidad de infectar y propagarse por sí mismos.
-
CAP : Es un conjunto de diez macros encriptados (el usuario infectado no puede verlos ni editarlos), muestra el siguiente texto en la pantalla :
-
WM.CONCEPT : Es un macro virus MS-Word que usa cinco macros para infectar, y propagarse. Los macros se llaman :
-
WAZZU : Es un macro virus que infecta documentos de Microsoft Word para Windows, solo contiene la macro Autoopen. Cuando un documento es abierto el virus genera un número aleatorio mayor a 0 y menor a 1. Si este número es menor que 0.2, el virus mueve la palabra a otro lugar al azar, dentro del mismo documento, si el número es menor que 0.25, el virus insertará la palabra :
-
MDMA : Es un virus que borra archivos específicos de Windows 95, haciendo uso de la macro AutoClose, o el FORMAT.C, el virus dentro de la macro AutoOpen ordena formatear el disco duro.
-
XM.LAROUX :Es el primer macro virus funcional en EXCEL, descubierto en julio de 1996. El código del macro consiste de dos macros llamados : Auto_Open y Check_Files. Los macros son almacenados en una hoja de datos escondida, llamada ´Laroux´.
-
XM.SOFA : Descubierto en diciembre de 1996, se propaga por medio de un archivo llamado BOOK.XLT. Este virus contiene cuatro macros :
-
METODO DE INFECCION Y EFECTOS DE LOS MACRO VIRUS
-
ELIMINACION DE UN MACRO VIRUS MANUALMENTE.
-
El documento infectado se convierte en plantilla.
-
En el menú de herramientas el virus oculta la opción "Macros".
-
Para descubrirlo :
-
Menú "Ver" se escoge la opción "Barra de Herramientas"
-
Se pulsa el botón "personalizar".
-
Se escoge la opción "Herramientas", después "Menú" y por último "Lista de Macros"
-
Se pulsa el botón "Agregar".
-
Abrimos el menú "Herramientas", hacemos click en la opción Macros, luego la opción Normal.dot, ahí observaremos las macros del virus.
-
Crear un nuevo directorio de archivos.
-
Abrir el documento infectado.
-
Seleccionar el documento y en el menú "Edición", darle la opción copiar.
-
Abrir el Word Pad o el Write y en el menú "Edición" escoger la opción "Pegar".
-
Guardar el documento en el directorio previamente creado.
-
Repetir todos los pasos anteriores con los documentos infectados.
-
Eliminar todos los documentos infectados.
-
Borrar la plantilla "Normal.dot".
-
Antivirus Detectores o Rastreadores : Son aquellos antivirus que usan técnicas de búsqueda y detección explorando o rastreando todo el sistema en busca de un virus. Estos programas se utilizan para detectar virus que pueden estar en la memoria, en el sector de arranque del disco duro, en la zona de partición del disco y en algunos programas. Dependiendo de la forma de analizar los archivos los podemos clasificar a su vez en antivirus de patrón y heurístico.
-
Antivirus de Patrón : Realizan el análisis de los archivos por medio de la búsqueda en el archivo de una cualidad particular de los virus. Existen antivirus específicos para un determinado virus, conociendo su forma de atacar y actuar.
-
Antivirus Heurístico : Este antivirus busca situaciones sospechosas en los programas, simulando la ejecución y observando el comportamiento del programa.
-
Limpiadores o Eliminadores : Una vez desactivada la estructura del virus procede a eliminar o erradicar el virus de un archivo, del sector de arranque de un disco, en la zona de partición de un disco y en algunos programas.
-
Protectores o Inmunizadores: Es un programa para prevenir la contaminación de virus, estos programas no son muy usados porque utilizan mucha memoria y disminuyen la velocidad de la ejecución de algunos programas y hasta del computador.
-
Residentes: Permanecen en memoria para el reconocimiento de un virus desde que es ejecutado. Cada vez que cargamos un programa, el antivirus lo analiza para verificar si el archivo esta infectado o no, con algún virus informático.
-
Escaneo de Firmas : La mayoría de los programas antivirus utilizan esta técnica. Revisan los programas para localizar una secuencia de instrucciones que son únicas de los virus.
-
Chequeo de Integridad: Utilizan el Chequeo de Redundancia Cíclica (CRC), es decir toman las instrucciones de un programa como si fuesen datos y se hace un cálculo, se graban en un archivo los resultados, y luego se revisa si el programa fué modificado o alterado.
-
Monitoreo: Interceptan o bloquean instrucciones sospechosas o riesgosas, por ejemplo cuando un programa pide cargarse en memoria y permanecer residente, alterar el área de arranque o modificar un archivo de algún programa. Esta técnica funciona residente en memoria supervisando continuamente cuando se ejecuta un programa, entonces intercepta los llamados a funciones sospechosas.
-
Análisis Heurístico : Analiza cada programa sospechoso sin ejecutar sus instrucciones, lo que hace es desensamblar el código de máquina para saber que haría el programa si se ejecuta. Avisa al usuario si el programa tiene instrucciones para hacer algo raro en un programa normal, pero que es común en los virus, puede revisar varios o todos los programas de un disco, e indica que puede suceder algo raro cuando se ejecute el programa.
-
TBAV : THUNDERBYTE ANTIVIRUS
-
F-PROT ANTIVIRUS
-
ANTIVIRUS ANYWARE
-
VIRUSSCAN DE MCAFEE
-
Cheyenne Antivirus
-
Forefront Antivirus
-
IBM Antivirus
-
Pc-Cillin II
-
Panda Software
-
THE HACKER
-
PER ANTIVIRUS
-
No todo lo que afecte el normal funcionamiento de una computadora es un virus.
-
TODO virus es un programa y, como tal, debe ser ejecutado para activarse.
-
Es imprescindible contar con herramientas de detección y desinfección.
-
NINGÚN sistema de seguridad es 100% seguro. Por eso todo usuario de computadoras debería tratar de implementar estrategias de seguridad antivirus, no sólo para proteger su propia información sino para no convertirse en un agente de dispersión de algo que puede producir daños graves e indiscriminados.
-
UN DISCO DE SISTEMA PROTEGIDO CONTRA ESCRITURA Y LIBRE DE VIRUS: Un disco que contenga el sistema operativo ejecutable (es decir, que la máquina pueda ser arrancada desde este disco) con protección contra escritura y que contenga, por lo menos, los siguientes comandos: FORMAT, FDISK, MEM y CHKDSK (o SCANDISK en versiones recientes del MS-DOS).
-
POR LO MENOS UN PROGRAMA ANTIVIRUS ACTUALIZADO: Se puede considerar actualizado a un antivirus que no tiene más de tres meses desde su fecha de creación (o de actualización del archivo de strings). Es muy recomendable tener por lo menos dos antivirus.
-
UNA FUENTE DE INFORMACIÓN SOBRE VIRUS ESPECÍFICOS: Es decir, algún programa, libro o archivo de texto que contenga la descripción, síntomas y características de por lo menos los cien virus más comunes.
-
UN PROGRAMA DE RESPALDO DE ÁREAS CRÍTICAS: Algún programa que obtenga respaldo (backup) de los sectores de arranque de los disquetes y sectores de arranque maestro (MBR, Master Boot Record) de los discos rígidos. Muchos programas antivirus incluyen funciones de este tipo.
-
LISTA DE LUGARES DÓNDE ACUDIR: Una buena precaución es no esperar a necesitar ayuda para comenzar a buscar quién puede ofrecerla, sino ir elaborando una agenda de direcciones, teléfonos y direcciones electrónicas de las personas y lugares que puedan servirnos más adelante.
-
UN SISTEMA DE PROTECCIÓN RESIDENTE: Muchos antivirus incluyen programas residentes que previenen (en cierta medida), la intrusión de virus y programas desconocidos a la computadora.
-
TENER RESPALDOS: Se deben tener respaldados en disco los archivos de datos más importantes, además, se recomienda respaldar todos los archivos ejecutables. Para archivos muy importantes, es bueno tener un respaldo doble, por si uno de los discos de respaldo se daña. Los respaldos también pueden hacerse en cinta (tape backup), aunque para el usuario normal es preferible hacerlo en discos, por el costo que las unidades de cinta representan.
-
REVISAR TODOS LOS DISCOS NUEVOS ANTES DE UTILIZARLOS: Cualquier disco que no haya sido previamente utilizado debe ser revisado, inclusive los programas originales (pocas veces sucede que se distribuyan discos de programas originales infectados, pero es factible) y los que se distribuyen junto con revistas de computación.
-
REVISAR TODOS LOS DISCOS QUE SE HAYAN PRESTADO: Cualquier disco que se haya prestado a algún amigo o compañero de trabajo, aún aquellos que sólo contengan archivos de datos, deben ser revisados antes de usarse nuevamente.
-
REVISAR TODOS LOS PROGRAMAS QUE SE OBTENGAN POR MÓDEM O REDES: Una de las grandes vías de contagio la constituyen Internet y los BBS, sistemas en los cuales es común la transferencia de archivos, pero no siempre se sabe desde dónde se está recibiendo información.
-
REVISAR PERIÓDICAMENTE LA COMPUTADORA: Se puede considerar que una buena frecuencia de análisis es, por lo menos, mensual.
-
Cuando se va a revisar o desinfectar una computadora, es conveniente apagarla por más de 5 segundos y arrancar desde un disco con sistema, libre de virus y protegido contra escritura, para eliminar virus residentes en memoria. No se deberá ejecutar ningún programa del disco rígido, sino que el antivirus deberá estar en el disquete. De esta manera, existe la posibilidad de detectar virus stealth.
-
Cuando un sector de arranque (boot sector) o de arranque maestro (MBR) ha sido infectado, es preferible restaurar el sector desde algún respaldo, puesto que en ocasiones, los sectores de arranque genéricos utilizados por los antivirus no son perfectamente compatibles con el sistema operativo instalado. Además, los virus no siempre dejan un respaldo del sector original donde el antivirus espera encontrarlo.
-
Antes de restaurar los respaldos es importante no olvidar apagar la computadora por más de cinco segundos y arrancar desde el disco libre de virus.
-
Cuando se encuentran archivos infectados, es preferible borrarlos y restaurarlos desde respaldos, aún cuando el programa antivirus que usemos pueda desinfectar los archivos. Esto es porque no existe seguridad sobre si el virus detectado es el mismo para el cual fueron diseñadas las rutinas de desinfección del antivirus, o es una mutación del original.
-
Cuando se va a formatear un disco rígido para eliminar algún virus, debe recordarse apagar la máquina por más de cinco segundos y posteriormente arrancar el sistema desde nuestro disquete limpio, donde también debe encontrarse el programa que se utilizará para dar formato al disco.
-
Cuando, por alguna causa, no se puede erradicar un virus, deberá buscarse la asesoría de un experto directamente pues, si se pidiera ayuda a cualquier aficionado, se correrá el riesgo de perder definitivamente datos si el procedimiento sugerido no es correcto.
-
Cuando se ha detectado y erradicado un virus es conveniente reportar la infección a algún experto, grupo de investigadores de virus, soporte técnico de programas antivirus, etc. Esto que en principio parecería innecesario, ayuda a mantener estadísticas, rastrear focos de infección e identificar nuevos virus, lo cual en definitiva, termina beneficiando al usuario mismo.
Y entonces lee el primer sector del disco duro, colocándolo en la memoria.
Son programas que deliberadamente borran archivos o software indicados por sus autores eliminándose así mismo cuando terminan de destruir la información.
Entre los principales programas malignos tenemos :
Bombas Lógicas y de Tiempo
Jokes
Gusanos
Caballos de Troya
Windows 95
Las tecnologías de software han evolucionado asombrosamente en los últimos tiempos al igual que las arquitecturas de hardware y continúan haciéndolo día a día. De este avance no se podría dejar de mencionar la creación de los virus y sus programas antivirus, lo cual ha motivado que ahora se empleen nuevas técnicas y sofisticadas estrategias de programación, con el objeto de lograr especies más dañinas y menos detectables y por consiguiente los software antivirus tienen que ser más acuciosos y astutos.
El lenguaje de programación por excelencia para desarrollar virus, es el Assembler pues los denominados lenguajes de alto nivel como Turbo Pascal, C, gestores de bases de datos, etc. han sido diseñados para producir software aplicativos. Una excepción a la regla son los Macro Virus, tratados por separado y los virus desarrollados en Java Scripts, Visual Basic Scripts y de Controles Activex, a partir de 1999.
Estos hechos demuestran fehacientemente que no existe ningún impedimento para que se puedan programar virus en lenguajes diferentes al assembler, aunque con ninguno de ellos se podría generar las órdenes directas para tomar control de las interrupciones, o saltar de un programa anfitrión (host) o receptor, a otro en forma tan rápida y versátil.
El autor de virus por lo general vive muy de prisa y tal pareciera que además de haber incrementado sus conocimientos, ha analizado los errores cometidos por los anteriores programadores de virus que han permitido que sus especies virales sean fácilmente detectadas, y es por ello que sin dejar de lado las formas tradicionales de programación, ha creado además sofisticadas rutinas y nuevas metodologías.
Han transcurrido más de 16 años desde que el Dr. Fred Cohen expusiese sus conceptos y teorías y los autores de virus no solamente se han convertido en más creativos e ingeniosos, sino que continuarán apareciendo nuevas Técnicas de Programación, aprovechando de la facilidad de propagación de sus especies virales, a causa del auge de Internet.
Algunas técnicas y estrategias de programación de virus:
INFECTOR RAPIDO
Un virus infector rápido es aquel que cuando está activo en la memoria infecta no solamente a los programas cuando son ejecutados sino a aquellos que son simplemente abiertos para ser leídos. Como resultado de esto sucede que al ejecutar un explorador (scanner) o un verificador de la integridad (integrity checker), por ejemplo, puede dar como resultado que todos o por lo menos gran parte de los programas sean infectados.
Esta técnica usa la función 3dh de la interrupción 21h para abrir un archivo ejecutable en forma muy rápida, empezando preferentemente con el COMMAND.COM y ubicándose en clusters vacios detrás de un comando interno, por ejemplo DIR, de tal modo que no solamente no incrementa el tamaño del archivo infectado sino que además su presencia es inadvertible.
Puede darse el caso además, de que cuando se ejecuta un archivo EXE o COM éste no es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son alterados. Si bajo esta técnica se ha decidido atacar a las áreas del sistema el código viral reemplaza a los 512 bytes del sector de arranque y envia el sector original a otra posición en el disco, pero a su vez emulará al verdadero, y al ser un "clon" de boot le le será muy fácil infectar a la FAT y al Master Boot Record o a la Tabla de Particiones, imposibilitando el acceso al disco.
El término de infector lento se refiere a un virus que solamente infecta a los archivos en la medida que éstos son ejecutados, modificados o creados, pero con una salvedad: puede emplear también parte de la técnica del infector rápido pero sin la instrucción de alteración o daño inmediato al abrirse un archivo. Con la interrupción 1Ch del TIMER su autor programa una fecha, la misma que puede ser específica o aleatoria (ramdom) para manifestarse.
Mientras tanto el virus permanece inactivo y encriptado en el archivo o área afectada esperando su tiempo de activación. Los virus del tipo "infector lento" suelen emplear rutinas de anti-detección sumamente eficientes, algunas de las cuales inhabilitan a las vacunas de los antivirus mas conocidos.
Existen muchísimos software Utilitarios u otras herramientas Tools), que se obtienen en forma gratutita por Internet, que muestran las interrupciones que usan las vacunas al cargarse en memoria. Una vez conocidos estos IRQ's resultará muy fácil para un desarrollador de virus encontrar la forma de deshabilitar o saltear el control de ciertas vacunas.
Esta técnica consiste en instruir al virus para que infecte ocasionalmente, por ejemplo, cada 10 veces que se ejecute un programa. Otras veces, infecta únicamente a los archivos de menor extensión y al infectarlos en forma ocasional se minimiza la posibilidad de descubrirlo fácilmente.
Por otro lado, el contador de ejecuciones de los archivos infectados con virus que emplea esta modalidad, tiene por lo general más de una rutina de auto encriptamiento.
La técnica "parse" no es tan comunmente usada, pero sus efectos y estragos son muy lamentables.
MODALIDAD COMPANION (acompañante)
Modalidad Companion (acompañante) es aquella por la cual el virus en lugar de modificar un archivo existente, al infectarlo crea un nuevo archivo del mismo nombre, el cual es inadvertido por el usuario. Resulta poco menos que imposible que alguien recuerde el nombre de todos los archivos de los sub-directorios de su disco duro.
Cuando un programa es ejecutado, por ejemplo ejemplo WP.EXE, éste invoca al conocido procesador de textos, pero el virus ya ha creado un falso WP.COM, de tal modo que éste es ejecutado en primer lugar, por ser un archivo COM de una sóla imágen (máximo 64k) y puede arrastrar el código viral sin que el usuario se percate. Y así continuará haciéndolo. Mas aún, los verificadores de integridad (integrity checkers) fallarán en la acción de detectar este tipo de virus ya que éstos utilitarios solo buscan los archivos existentes.
Debido a que ésta no es una técnica frecuentemente empleada, algunos investigadores de virus denominan a los virus ANEXADOS, como virus COMPANION, que a nuestro criterio no es su exacto concepto y clasificación.
También conocido como virus blindado, es una forma muy peculiar de programación, donde el autor programa una serie de rutinas que usa como cubiertas o escudos (shells), en el archivo que contiene el virus, para que éste no pueda ser fácilmente "rastreado" y mucho menos desensamblado.
Pueden ser una o más rutinas de encriptamiento, sobrepuestas unas sobre otras. Se les conoce también como "virus anti-debuggers". El Dark Avenger, producido en Bulgaria en 1987 fué el primer virus que usó conjuntamente las tecnologías ARMORED y STEALTH. En Junio del 2000 se reportó el gusano VBS/Stages.SHS, el primer virus oculto propagado masivamente a través de mensajes de correo electrónico en Internet.
Un virus "stealth" es aquel que cuando está activado esconde las modificaciones hechas a los archivos o al sector de arranque que están infectados. Esta técnica hace uso de todos los medios posibles para que la presencia del virus pase totalmente desapercibida, anulan efectos tales como el tamaño de los archivos, los cambios de la fecha, hora o atributo, hasta el decremento de la memoria RAM. Un ejemplo simple lo constituye el primer virus (c) Brain que infectaba el sector de arranque, monitoreando los I/O (entrada y salida) y redireccionando cualquier intento de leer este sector infectado.
Cuando un virus "Stealth" está activo en memoria cualquiera de estos cambios pasarán desapercibidos al realizar un DIR, por ejemplo, ya que el virus habrá tomado control de todo el sistema. Para lograr este efecto, sus creadores usan la interrupción 21h función 57h.
Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de virus y con la protección contra escritura, al efectuar la misma orden DIR se detectarán los cambios causados a los archivos infectados. Un virus de boot programado con esta técnica reemplaza perfectamente al verdadero sector de arranque, que tiene apenas 512 bytes y al cual mueve hacia otro lugar del disco pero que con una instrucción de salto vuelve otra vez a utilizarlo.
Hoy día es posible crear virus con la técnica Stealth, en cualquier lenguaje de programación, además del Assembler.
Son quizás los más difíciles de detectar y en consecuencia de eliminar. Sus valores en la programación van cambiando secuencialmente cada vez que se autoencriptan, de tal forma que sus cadenas no son las mismas. El virus polimórfico produce varias, pero diferentes copias de sí mismo, manteniendo operativo su microcódigo viral.
Un fácil método de evadir a los detectores consiste en producir rutinas auto encriptadoras pero con una "llave variable". La técnica polimórfica o "mutante" es muy sofisticada y demanda mucho conocimiento, ingenio y trabajo de programación tal como se puede apreciar en el código fuente del virus DARK AVENGER.
Sin embargo existe uno de los más ingeniosos generadores automáticos de virus, llamado "Mutation Engine" (distribuido gratuitamente en Internet), que emplea un polimorfismo en la forma de módulo objeto. Con este generador cualquier virus puede convertirse en polimórfico al agregarle ciertas llamadas a su código assembler y "enlazándolas" al Mutation Engine, por medio de un generador de números aleatorios.
Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier área vital del sistema, especialmente el MBR, ya sea individualmente, en forma combinada o en su totalidad. Este estilo de programación también emplea el control de memoria dinámica así como algoritmos de compresión y descompresión de datos.
FUNCION DESACTIVADORA o TUNNELING
Un virus que emplea la técnica del " túnel" intercepta los manipuladores de la interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse, habiéndose descubierto virus que usan originales artimañas para infectar a un sistema sin ser descubiertos. Mencionaremos el caso particular del búlgaro DARK AVENGER-D, el virus peruano ROGUE II y el chileno CPW Arica.
Todos ellos tienen rutinas que en forma muy rápida se superponen a los IRQ's ocupados por las vacunas logrando desactivarlas para acceder directamente a los servicios del DOS y del BIOS tomando absoluto control del sistema y sin restricción alguna.
Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de Microsoft y otros antivirus son muy conocidas por los creadores de virus.
Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar a algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus suelen utilizar esta técnica en su necesidad de "by-pasear" un virus nuevo y desconocido que podría estar activo cuando se está explorando un sistema.
PROGRAMADORES DEL PPI
La mayoría de virus "musicales" y los que afectan a los periféricos pertenecen a esta categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya sea una tarjeta de sonido, un módem o CD-ROM por ejemplo, el software instalador de cada uno de éstos se encarga de programar automáticamente el PPI (Interfase Programable de Periféricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ (interrupt request), los cuales son asignados para ser usados específicamente por cada periférico, para evitar que tengan conflictos con otros ya existentes.
Programar el PPI por medio del lenguaje assembler es relativamente fácil y si a esta programación se le incluye la función correspondiente al TIMER y caracteres de sonido, se estará creando un virus "musical". Del mismo modo, pero con otras instrucciones se podrá afectar a las impresoras, tarjetas de sonido, de redes o módems, provocando diferentes efectos o manifestaciones.
Las técnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se pueden programar virus combinando cualquiera de las modalidades explicadas en este módulo.
El virus anexado (attached) no es una técnica de programación de virus, es una nueva modalidad de difundirlo.
Con el incremento del intercambio de información por correo electrónico, a causa de la gran demanda de uso de los servicios de Internet, los desarrolladores de virus han hallado una nueva forma de difundir sus creaciones. Ella consiste en enviar un mesaje de correo con un archivo anexado o adjunto, el cual al ser abierto ejecuta el virus con consecuencias de daño inmediato a los sistemas de los usuarios, que por motivos de curiosidad cometan el error de abrir estos archivos.
Para lograr este propósito de despertar la curiosidad innata en el ser humano, los autores de esta modalidad de difusión emplean argumentos en el cuerpo del mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te adjunto una información muy interesante que te va a convenir", etc., etc.
Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP, ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o archivos con extensión .SHS y si además contienen instrucciones de auto-enviarse a la Libreta de Direcciones del software de correo del usuario, su propagación tendrá un efecto multiplicador.
Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orígen totalmente desconocido se evite aperturar el archivo adjunto y se proceda a eliminarlo, asi como también el mensaje de orígen.
El virus Melissa, difundido en Marzo de 1999, así como el virus Papa son muestras de esta modalidad de difusión y recientemente el ExploreZip, el LoveLetter y el VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas en todo el mundo.
En 1991 Sun Microsystems, empezó a desarrollar un proyecto de lenguaje, con el código GREEN, bajo la dirección de James Goslin, inicialmente con el propósito de administrar y controlar interactivamente los dispositivos conectados a las redes. Surgieron algunas situaciones frustrantes, pero por suerte, en pocos años se empezó a popularizar Internet.
Entonces el proyecto se convirtió en un intento de resolver simultáneamente, todos los problemas que se le planteaban a los desarrolladores de software por la diversidad de arquitecturas incompatibles, los sistemas operativos y lenguajes de programación y la dificultad de crear aplicaciones distribuidas en Internet.
Java fué inicialemente desarrollado en C++, pero paulatinamente se fué independizando, escribiendo su propio lenguaje denominado Oak, que finalmente terminó convirtiéndose en Java. En 23 de Mayo de 1995 fué lanzado al mercado el HotJava Browser, y ese mismo año Netscape decidió habilitar a Java en su versión 2.0 de 1996. Es a partir de esa oportunidad que Java empezó a popularirase en todo el mundo.
Las características mas importantes de Java son:
1. Es de arquitectura portable, neutral y robusta. |
2. Es simple, orientada a objeto y muy versátil. |
3. Es interpretado. El intérprete Java (system run-time) puede ejecutar directamente el código objeto. |
Un Applet de Java es un programa dinámico e interactivo que puede ser ejecutado dentro de un archivo HTML y mostrado por un navegador con capacidad Java. Un programa Java puede ser ejecutado por sí mismo. En todos los casos, bajo una jerarquía de Clase, Sub-Clase o Super Clase.
Con todas estas características de un poderoso lenguaje, los creadores de virus pensaron también en Java, como un medio para producir especies virales. Debido a ciertas restricciones definidas en las propiedades de seguridad, tanto de los sistemas operativos, así como de los navegadores, hasta la fecha existen solamente 2 virus de Java notables:
Java.Beanhive
La tecnología empleada en este virus tiene varias ventajas. La forma multi-componente de infección permite al virus esconder su código en los archivos infectados: su longitud crece en muy pequeños valores y después de una ligera observación el código insertado pareciera no ser dañino.
La combinación del llamado starter-main también le permite a su autor, "actualizar" el virus con nuevas versiones al reemplazar el código principal en su servidor. Cabe mencionar que este virus o cualquier virus de Java se puede propagar y reproducir en condiciones limitadas. La protección estándar de seguridad de los navegadores cancela cualquier intento de acceder a las unidades de disco o recoger (download) archivos como una aplicación Java, aún en modo remoto.
Consecuentemente el virus puede ser propagado únicamente cuando es ejecutado en un archivo de disco, como una aplicación Java, al usar el Java machine.
Detalles Técnicos
El ejecutor del virus es un pequeño programa Java de apenas 40 líneas de código, que cuando toma el control de un sistema, se conecta al servidor WEB remoto, envía (download) el código del virus que es guardado en el archivo BeanHive.class y se ejecuta como una sub-rutina. El código viral está dividido en 6 partes y es almacenado en 6 diferentes archivos Java:
BeanHive.class : búsqueda de archivos en un árbol de directorio
+--- e89a763c.class : analiza el formateo de archivo
|--- a98b34f2.class : acceso a las funciones del archivo
|--- be93a29f.class : preparación para la infección (parte 1)
|--- c8f67b45.class : preparación para la infección (parte 2)
+--- dc98e742.class : insertado del virus en el sistema infectado
Al infectar el virus, analiza los formatos internos de Java, escribe en el archivo el código de inicio como una sub-rutina "loadClass" y agrega al archivo constructor de códigos, la invocación para su sub-rutina loadClass "BeanHive". El parámetro enviado "BeanHive" apunta al nombre del archivo remoto en el servidor WEB y empieza la infección con su código viral.
Debido al auge de Internet los creadores de virus han encontrado una forma de propagación masiva y espectacular de sus creaciones a través mensajes de correo electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión .VBS
El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT y 2000 este tipo de archivos dejó de ser empleado y fué reemplazado por los Visual Basic Scripts.
Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas secuencialmente para realizar una determinada acción al iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una aplicación, almacenadas bajo un nombre de archivo y extensión adecuada.
Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows, Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.
Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como medios de propagación. Asimismo, un VBS puede contener instrucciones que afecten a los sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con la extensión .VBS.
Actualmente existen 2 medios de mayor difusión de virus en VBS:
1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas")
El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación entre usuarios de Internet en "tiempo real', haciendo uso de software especiales, llamados "clientes IRC" (tales como el mIRC, PIRCH, Microsoft Chat).
Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC, pero es necesario que primero se conecte a un servidor chat, el cual a su vez, está conectado a otros servidores similares, los cuales conforman una red IRC. Los programas "clientes IRC" facilitan al usuario las operaciones de conexión, haciendo uso del comando /JOIN, para poder conectarse a uno o mas canales.
Las conversaciones pueden ser públicas (todo el canal visualiza lo que el usuario digita) o privadas (comunicación entre 2 personas).
Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat, elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado "bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas operaciones de manera intuitiva y proporcionando al usuario un entorno grafico amigable.
Como atacan los gusanos (VBS/Worms)
Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat, además de otras instrucciones dentro de un Visual Basic Script.
Este script que contiene el código viral sobrescribe al original, en el sistema remoto del usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez, en ese mismo canal.
Este tipo de propagación de archivos infectados, se debe a la vulnerabilidad de las versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de PIRCH98.
2. Re-envio de mensajes de la libreta de direcciones Microsot Outlook.
Office 95/97 y 2000, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que permiten invocar la ejecución de determinadas instrucciones. En MS Word y Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque también pueden editar instrucciones y comandos con el NotePad y archivarlo con la extensión .VBS
Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for Aplications, tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es controlado por las instrucciones del VBS y recibe la orden de re-enviar el mensaje con el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones del sistema de usuario infectado.
Estas infecciones también se reproducen entre todos los usuarios de una red, una vez que uno de sus usuarios ha sido infectado.
La última modalidad de propagación masiva de virus, a través de Internet ha surgido a partir de la creación de un gusano denominado VBS/Stages.SHS, el mismo que ya tiene algunas variantes,
VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaña a los usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS), pero con la extensión .SHS
Los archivos con extensión .SHS (Shell Scraps), son ejecutables de WINDOWS RUNDLL32, también conocidos como Scrap Object Files (Archivos Objeto Basura).
Un archivo copiado dentro de un documento abierto de Microsoft Office, y luego copiado y empastado sobre el Windows Desktop crea un archivo "Scrap" con la extensión .SHS. Los archivos Scrap fueron creados desde la primera versión de Windows 95, para permitir que los textos y gráficos puedan ser arrastrados y colocados (drag and drop) dentro de las aplicaciones de Microsoft Office.
Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensión y ejecutará el programa que contiene en forma oculta, al hacerle un doble click. Cuando es distribuido a través del correo electrónico, transferido como mensaje dentro de la Red u otro medio basado en la Web, la extensión .SHS se hace visible, pero una vez que es grabado al disco duro, desaparecerá otra vez.
Al tener estas características, puede ocultar archivos ejecutables, mayormente usados como troyanos en Windows 95/98, Millenium, Windows 2000 y NT.
Con esta nueva modalidad de propagación se facilita e incrementa el factor de riesgo de infección de virus entre los usuarios de Internet, quienes a su vez infectarán a los que se conecten sus estaciones de trabajo, dentro de redes locales o Intranets.
Se conoce con el nombre de mutación a la alteración intencional o accidental de un virus informático que ya fue creado con anterioridad.
Decimos que es una mutación accidentada cuando son ocasionadas por programadores que buscan la eliminación de estos virus, provocando en sus investigaciones variaciones en el código original del virus, dando lugar a nuevas versiones del mismo virus.
Pero también hay mutaciones intencionales cuando los programadores solo buscan causar daños perjudiciales a las computadoras, haciendo que estos virus se vuelvan cada vez más peligrosos.
Para ello, el programa de detección de virus debe ser instalado en la memoria, a fin de que permanentemente se controle cualquier medio de almacenamiento que sea utilizado con el equipo de cómputo.
<>"bad or missing command interpreter" |
En especial de los discos del sistema operativo y de las herramientas antivirus.
Los medios de detección de virus deben ser actualizados mensualmente, de acuerdo a las nuevas versiones de los detectores de virus que adquiera la Institución. Deberá utilizarse programas antivirus originales.
Este personal es responsable del control de los medios magnéticos u ópticos venidos del exterior así como de la posible introducción de virus en el equipo de computo.
Dicha actividad será realizada por el responsable designado para este fin.
11. DAÑOS DE LOS VIRUS.
Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad.
Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica, generalmente, segundos o minutos.
Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos.
Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File Allocation Table, Tabla de Ubicación de Archivos), o sobrescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una hora.
Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere in time" (Eddie vive … en algún lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último backup notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.
Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ...).
Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.
LOS MACRO VIRUS
los macro virus, son las especies virales que rompieron los esquemas de programación y ejecución de los virus tradicionales
Los macro virus son una nueva familia de virus que infectan documentos y hojas de cálculo. Fueron reportados a partir de 1995, cambiando el concepto que los virus tan sólo podían infectar o propagarse a través de archivos ejecutables.
Los daños que ocasionan estos virus depende de sus autores siendo capaz desde cambiar la configuración del Windows, borrar archivos de nuestro disco duro, enviar por correo cualquier archivo que no nos demos cuenta, mandar a imprimir documentos inesperadamente, guardar los documentos como plantillas, entre otros.
Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.
Los macro virus tienen 2 características básicas :
Los macro virus, no pueden grabar los documentos infectados en ningún otro formato que no sean las plantillas, el archivo es convertido a plantilla y tiende a no permitir grabar el archivo o documento en ningún otro directorio, usando el comando SAVE AS.
Estos son algunos de los virus más conocidos que afectan a las macros :
C.A.P : Un virus social...Y ahora digital... PD : Que haces gochito ? Nunca serás Simón Bolívar...Bolsa ! |
Cuando infecta el Word, el virus modifica cinco menús existentes, redireccionándolos al código del virus. Los problemas que crea son diferentes, dependiendo del tipo de instalación y el lenguaje del Word que este en uso. Al infectar los documentos, borra todos los macros preexistentes, pero no tiene un efecto destructivo en sí mismo. Oculta en el menú de Herramientas la opción Macros.
AAAZAO, AAAZFS, AutoOpen, FileSavesAs, Payload.
"wazzu" |
Auto_Open, Auto_Range, Current_Open y Auto_Close.
Cuando se abre un archivo infectado, el virus toma el control y cambia el título arriba de la ventana a ´Microsofa Excel´ en lugar de ´Microsoft Excel´.
INFECCIÓN
Cuando un documento es abierto por primera vez, la aplicación (Word, Excel, etc.) buscan la presencia del macro AutoOpen, si lo encuentra y la variable global DisableAutoMacros no está seleccionada, entonces Word o Excel automáticamente ejecutan el macro AutoOpen (sin notificar nada al usuario). Al igual sucede cuando se cierra la aplicación, se ejecuta la macro AutoClose si está presente.
En Word, los macros son guardados en archivos denominados "plantillas", así que durante una infección, los macro virus son capaces de convertir los documentos a plantillas y copiarse en ellos.
Al momento de ser infectado, los datos son mezclados con código ejecutable, que normalmente están escondidos a la vista del usuario. Entonces cuando se vea el documento, este estará infectado, se podrá trabajar normalmente pero la plantilla con virus seguirá infectando documentos y las macros que utilice.
Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se graban automáticamente al final de cada sesión de trabajo.
EFECTOS
Una vez que se infecta un documento u hoja de cálculo, los macro virus son capaces de adueñarse de las funciones de la aplicación, evitando por ejemplo, que el usuario guarde la información que ha estado escribiendo por minutos u horas, no se puede mandar a imprimir, entre otros.
En el caso de Word los macro virus se instalan en la plantilla Normal.dot, que es la que el usuario utiliza para crear archivos nuevos. Cuando abramos un archivo o lo guardemos, estaremos infectando los documentos. En Excel ocurre algo similar con el archivo Personal.XLS. En el menú de la Barra de Herramientas desaparece la opción Macros.
Los macros virus más conocidos actualmente son de documentos de Microsoft Word.
Los macros son un conjunto de instrucciones y comandos. El lenguaje de macros, es una herramienta poderosa, nos permite ejecutar tareas como por ejemplo : copiar archivos, ejecutar programas, cambiar archivos, etc.
ANTIVIRUS
¿QUÉ ES UN ANTIVIRUS?.
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada uno de los virus existentes.
Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora.
Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
LOS ANTIVIRUS INFORMATICOS
Un antivirus es cualquier metodología, programa o sistema para prevenir la activación de los virus, su propagación y contagio dentro de un sistema y su inmediata eliminación y la reconstrucción de archivos o de áreas afectadas por los virus informáticos.
Los antivirus permiten la detección y eliminación de virus. Un virus es identificado mediante una cadena del antivirus que busca, encuentra y elimina los distintos virus informáticos.
El software antivirus contrarresta de varias maneras los efectos de los virus informáticos para detectarlos. La mayoría de las soluciones se basan en tres componentes para la detección : exploración de acceso, exploración requerida, y suma de comprobación.
La exploración de acceso : Inicia automáticamente una exploración de virus, cuando se accede a un archivo, es decir al introducir un disco, copiar archivos, ejecutar un programa, etc.
La exploración requerida : El usuario inicia la exploración de virus. Las exploraciones se pueden ejecutar inmediatamente, en un directorio o volumen determinado.
La suma de comprobación o comprobación de integridad : Método por el que un producto antivirus determina si se ha modificado un archivo.
Como el código vírico se une físicamente a otro archivo, se puede determinar tal modificación guardando la información del archivo antes de la infección.
La suma de comprobación es generalmente exacta y no necesita actualizaciones. Sin embargo la suma de comprobación no proporciona ni el nombre, ni el tipo de virus.
Los programas antivirus se componen fundamentalmente de dos partes : un programa que rastrea (SCAN), si en los dispositivos de almacenamiento se encuentra alojado algún virus, y otro programa que desinfecta (CLEAN) a la computadora del virus detectado.
TIPOS DE ANTIVIRUS
Estos antivirus deben tener una base de datos con información de cada virus para saber que método de desinfección deben usar para eliminar el virus.
Dependiendo de los efectos de la especie viral procederá a reconstruir las partes afectadas por el virus informático.
TECNICAS DE LOS ANTIVIRUS
ANTIVIRUS INTERNACIONALES
La primera generación de antivirus eran vacunas TSR o eliminadores para cada especie de virus. Entre ellos estaban el BBSTOP para el Bouncing Ball, BRSTOP para el Brain, MBSTOP para el Marihuana, los cuales debían instalarse en el Autoexec.bat para poder proteger el sistema contra estos virus. Cuando la programación de virus aumentó se volvió imposible ubicar las diferentes vacunas residentes en la memoria y ello motivó la generación de los softwares antivirus.
Uno de los primeros programas antivirus fueron : FLU-SHOT, VPROTECT y VIRUSCAN.
Actualmente existen muchos programas antivirus, con diversos estilos de programación nombres como el Dr. SOLOMON´S Toolkit de Alan Solomon, NORTON ANTIVIRUS de Symantec, CPAV de Central Point, F-PROT de Fridrik Skulason, VIRUSSCAN de McAfee entre otros.
A continuación algunos antivirus extranjeros y sus características :
El Thunderbyte Antivirus provee : Detección por firmas (TbScan), chequeo de integridad por cálculo (TbSetup y TbScan), bloqueo de instrucciones sospechosas (TbMem, TbFile y TbDisk).
Brinda detección de virus por firmas y detección heurística de instrucciones sospechosas.
Protección permanente, reconoce y elimina más de 11,400 virus, incluyendo los macro virus. Detecta virus no conocidos mediante el método heurístico, analiza los archivos comprimidos.
Fácil de instalar no ocupa mucha memoria, tiene una grande base de datos, incluyendo los virus macros, permanece en memoria, se actualiza constantemente por Internet.
Entre otros antivirus extranjeros tenemos :
ANTIVIRUS NACIONALES
Hacksoft es una empresa peruana dedicada al desarrollo de software de seguridad de datos.
La empresa tiene un prestigio ganado por su producto THE HACKER, el cual protege, detecta y elimina a virus informáticos, esta empresa también brinda el servicio de asesoramiento y recuperación de la información.
Las primeras investigaciones en el área se inician a finales de 1,990 la primera versión del antivirus THE HACKER es emitida en agosto de 1,992.
En 1,993 se crea PER SYSTEM S.A., que tiene como principal servicio el desarrollo de software aplicativo para PC´s, haciendo uso en primera instancia del Lenguaje BASIC, luego del Quick BASIC y posteriormente del Turbo Pascal.
En 1,985, inicia sus investigaciones sobre los virus informáticos debido a la aparición en Lima y rápida propagación de los virus (c) Brain y Bouncing Ball (Bolita Saltarina), concibiendo así el antivirus PER cumpliendo con las expectativas de los usuarios de esa época, desarrollando permanentemente estudios de investigación como aporte empresarial para la detección, eliminación y prevención de virus a las diferentes Instituciones y Entidades Públicas como a usuarios.
CONCLUSIONES GENERALES
En razón de lo expresado pueden extraerse algunos conceptos que pueden considerarse necesarios para tener en cuenta en materia de virus informáticos:
Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:
Si se cuenta con un antivirus comercial o registrado, deberán tenerse siempre a mano los teléfonos de soporte técnico.
Finalmente, es importante tener en cuenta estas sugerencias referentes al comportamiento a tener en cuenta frente a diferentes situaciones:
Ranking de los más difundidos
1) VBS/LoveLetter: Este virus se distribuye a través del e-mail, en un
archivo llamado LOVE-LETTER-FOR-YOU.TXT.vbs. El LoveLetter worm se activa sobresescribiendo archivos de imágenes y música en drives locales y de red, específicamente archivos con extensión JPG, JPEG, MP3 y MP2
2) Win32/SKA: Este virus generalmente es enviado con el nombre
Happy99.exe. Este troyano se encarga de enviar una copia de si mismo a todas las personas a las cuales se les envía un E-mail.
3) W97/Melissa: El virus se propaga tomando las primeras 50 direcciones del Outlook Global Address Book del usuario
4) Win32/Pretty Park: Este programa cuando corre se copia a si mismo al FILES32.VXD, Y usa al VXD vía el entorno para ejecutar algunos archivos ejecutables. Esto hace que el virus se re-envía a si mismo a toda la libreta de direcciones
5) W97M/Ethan.A: es un virus de macro de Word97, El virus se propaga a si mismo por la Normal.dot. Hay 3 de 10 chances que el virus modifique las propiedades del documento in fectado de archivos infectados.
¡¡HACKERS!!
Descargar
Enviado por: | Xtian |
Idioma: | castellano |
País: | Perú |