Actualmente los virus informáticos se han incrementado notablemente;
desde la primera aparición su crecimiento ha sido sorprendente. En la
actualidad se crean cinco virus diarios aproximadamente, los virus no
solamente copian sus códigos en forma parcial a otros programas sino que
además lo hacen en áreas importantes de un sistema (sector de arranque,
tabla de partición, entre otros).
Un virus no necesariamente
tiene que auto reproducirse, pues basta con que se instale en memoria y
desde allí ataque a un determinado tipo de archivo o áreas del sistema y
lo infecte. Con Internet se hace más fácil tener el total control de
los virus informáticos, lo que resulta perjudicial a todos los usuarios.
El
crecimiento veloz de los virus, hace necesario un rápido tratamiento
usando las técnicas de prevención, detección y eliminación de virus
informáticos, teniéndose que llevar a cabo de forma rápida y eficiente .
Como
causa de éste crecimiento innumerable de los virus informáticos,
aparece, paradójicamente la solución, mediante las actualizaciones de
los antivirus.
HISTORIA DE LOS VIRUS
Desde
la aparición de los virus informáticos en 1984 y tal como se les
concibe hoy en día, han surgido muchos mitos y leyendas acerca de ellos.
Esta situación se agravó con el advenimiento y auge de Internet. A continuación, un resumen de la verdadera historia de los virus que infectan los archivos y sistemas de las computadoras.
1939-1949 Los Precursores
En 1939, el famoso científico matemático John Louis Von Neumann,
de orígen húngaro, escribió un artículo, publicado en una revista
científica de New York, exponiendo su "Teoría y organización de
autómatas complejos", donde demostraba la posibilidad de desarrollar
pequeños programas que pudiesen tomar el control de otros, de similar
estructura. Cabe mencionar que Von Neuman, en 1944 contribuyó en forma directa con John Mauchly y J. Presper Eckert, asesorándolos en la fabricación de la ENIAC, una de las computadoras de Primera Generación, quienes construyeran además la famosa UNIVAC en 1950. |
John Louis von Neumann (1903-1957)
En
1949, en los laboratorios de la Bell Computer, subsidiaria de la
AT&T, 3 jóvenes programadores: Robert Thomas Morris, Douglas McIlory
y Victor Vysottsky, a manera de entretenimiento crearon un juego al que
denominaron CoreWar, inspirados en la teoría de John Von Neumann, escrita y publicada en 1939.
Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988 introdujo un virus en ArpaNet, la precursora de Internet.
Puesto en la práctica, los contendores del CoreWar
ejecutaban programas que iban paulatinamente disminuyendo la memoria
del computador y el ganador era el que finalmente conseguía eliminarlos
totalmente. Este juego fue motivo de concursos en importantes centros de
investigación como el de la Xerox en California y el Massachussets
Technology Institute (MIT), entre otros.
Sin embargo durante
muchos años el CoreWar fue mantenido en el anonimato, debido a que por
aquellos años la computación era manejada por una pequeña élite de
intelectuales
A pesar de muchos años de clandestinidad, existen reportes acerca del virus Creeper,
creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM
360, emitiendo periódicamente en la pantalla el mensaje: "I'm a
creeper... catch me if you can!" (Soy una enredadera, agárrenme si
pueden). Para eliminar este problema se creó el primer programa
antivirus denominado Reaper (segadora), ya que por aquella época se
desconocía el concepto de los softwares antivirus.
En 1980 la red
ArpaNet del ministerio de Defensa de los Estados Unidos de América,
precursora de Internet, emitió extraños mensajes que aparecían y
desaparecían en forma aleatoria, asimismo algunos códigos ejecutables de
los programas usados sufrían una mutación. Los altamente calificados
técnicos del Pentágono se demoraron 3 largos días en desarrollar el
programa antivirus correspondiente.
Hoy día los desarrolladores de antivirus resuelven un problema de virus en contados minutos.
1981 La IBM PC
En
Agosto de 1981 la International Business Machine lanza al mercado su
primera computadora personal, simplemente llamada IBM PC. Un año antes,
la IBM habían buscado infructuosamente a Gary Kildall, de la Digital
Research, para adquirirle los derechos de su sistema operativo CP/M,
pero éste se hizo de rogar, viajando a Miami donde ignoraba las
continuas llamadas de los ejecutivos del "gigante azul".
Es
cuando oportunamente surge Bill Gates, de la Microsoft Corporation y
adquiere a la Seattle Computer Products, un sistema operativo
desarrollado por Tim Paterson, que realmente era un "clone" del CP/M.
Gates le hizo algunos ligeros cambios y con el nombre de PC-DOS se lo
vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de explotar
dicho sistema, bajo el nombre de MS-DOS.
El nombre del sistema
operativo de Paterson era "Quick and Dirty DOS" (Rápido y Rústico
Sistema Operativo de Disco) y tenía varios errores de programación
(bugs).
La enorme prisa con la cual se lanzó la IBM PC impidió
que se le dotase de un buen sistema operativo y como resultado de esa
imprevisión todas las versiones del llamado PC-DOS y posteriormente del
MS-DOS fueron totalmente vulnerables a los virus, ya que
fundamentalmente heredaron muchos de los conceptos de programación del
antiguo sistema operativo CP/M, como por ejemplo el PSP (Program Segment
Prefix), una rutina de apenas 256 bytes, que es ejecutada previamente a
la ejecución de cualquier programa con extensión EXE o COM.
1983 Keneth Thompson
Este
joven ingeniero, quien en 1969 creó el sistema operativo UNIX,
resucitó las teorías de Von Neumann y la de los tres programadores de la
Bell y en 1983 siendo protagonista de una ceremonia pública presentó y
demostró la forma de desarrollar un virus informático.
1984 Fred Cohen
Al
año siguiente, el Dr. Fred Cohen al ser galardonado en una graduación,
en su discurso de agradecimiento incluyó las pautas para el desarrollo
de un virus. Este y otros hechos posteriores lo convirtieron en el
primer autor oficial de los virus, aunque hubo varios autores más que
actuaron en el anonimato. El Dr. Cohen ese mismo año escribió su libro "Virus informáticos: teoría y experimentos", donde además de definirlos los califica como un grave problema relacionado con la Seguridad Nacional. Posteriormente este investigador escribió "El evangelio según Fred" (The Gospel according to Fred), desarrolló varias especies virales y experimentó con ellas en un computador VAX 11/750 de la Universidad de California del Sur. |
La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS
de la revista BYTE reportaron la presencia y difusión de algunos
programas que actuaban como "caballos de Troya", logrando infectar a
otros programas.
Al año siguiente los mensajes y quejas se
incrementaron y fue en 1986 que se reportaron los primeros virus
conocidos que ocasionaron serios daños en las IBM PC y sus clones.
1986 El comienzo de la gran epidemia
En
ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y
que fueron las primeras especies representativas de difusión masiva.
Estas 3 especies virales tan sólo infectaban el sector de arranque de
los disckettes. Posteriormente aparecieron los virus que infectaban los
archivos con extensión EXE y COM.
El
2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los
precursores de los virus y recién graduado en Computer Science en la
Universidad de Cornell, difundió un virus a través de ArpaNet,
(precursora de Internet) logrando infectar 6,000 servidores
conectados a la red. La propagación la realizó desde uno de los
terminales del MIT (Instituto Tecnológico de Massashussets). Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y condenado a cumplir 400 horas de trabajo comunitario. |
1991 La fiebre de los virus
En
Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba
como director del Laboratorio de Virología de la Academia de Ciencias
de Bulgaria, escribió un interesante y polémico artículo en el cual,
además de reconocer a su país como el líder mundial en la producción de
virus da a saber que la primera especie viral búlgara, creada en 1988,
fue el resultado de una mutación del virus Vienna, originario de
Austria, que fuera desensamblado y modificado por estudiantes de la
Universidad de Sofía. Al año siguiente los autores búlgaros de virus, se
aburrieron de producir mutaciones y empezaron a desarrollar sus propias
creaciones.
En 1989 su connacional, el virus Dark Avenger o el
"vengador de la oscuridad", se propagó por toda Europa y los Estados
Unidos haciéndose terriblemente famoso por su ingeniosa programación,
peligrosa y rápida técnica de infección, a tal punto que se han
escrito muchos artículos y hasta más de un libro acerca de este virus,
el mismo que posteriormente inspiró en su propio país la producción
masiva de sistema generadores automáticos de virus, que permiten
crearlos sin necesidad de programarlos.
1995 Los macro virus
A
mediados de 1995 se reportaron en diversas ciudades del mundo la
aparición de una nueva familia de virus que no solamente infectaban
documentos, sino que a su vez, sin ser archivos ejecutables podían auto
replicarse infectando a otros documentos. Los llamados macro virus
tan sólo infectaban a los archivos de MS-Word, posteriormente apareció
una especie que atacaba al Ami Pro, ambos procesadores de textos.
En
1997 se disemina a través de Internet el primer macro virus que infecta
hojas de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra
especie de esta misma familia de virus que ataca a los archivos de bases
de datos de MS-Access. Para mayor información sírvanse revisar la
opción Macro Virus, en este mismo módulo.
1999 Los virus anexados (atachados)
A principios de 1999 se empezaron a propagar los virus anexados (atachados) a mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo año fue difundidos a través de Internet el peligroso CIH y el ExploreZip, entre otros muchos más.
A fines de Noviembre de este mismo año apareció el BubbleBoy,
primer virus que infecta los sistemas con tan sólo leer el mensaje de
correo, el mismo que se muestra en formato HTML. En Junio del 2000 se
reportó el VBS/Stages.SHS, primer virus oculto dentro del shell de la
extensión .SHS.
Resultará imposible impedir que se sigan
desarrollando virus en todo el mundo, por ser esencialmente una
expresión cultural de "graffiti cibernético", así como los crackers
jamás se detendrán en su intento de "romper" los sistemas de seguridad
de las redes e irrumpir en ellas con diversas intencionalidades. Podemos
afirmar que la eterna lucha del bien y el mal ahora se ha extendido al
ciber espacio.
HISTORIA DE LOS VIRUS EN EL PERU
En 1986 se detectan los primeros virus informáticos en el Perú: Stoned, Bouncing Ball y Brain
Al
igual que la corriente búlgara, en 1991 apareció en el Perú el primer
virus local, autodenominado Mensaje y que no era otra cosa que una
simple mutación del virus Jerusalem-B y al que su autor le agregó una
ventana con su nombre y número telefónico. Los virus con apellidos como
Espejo, Martínez y Aguilar fueron variantes del Jerusalem-B y
prácticamente se difundieron en el ámbito nacional.
Continuando
con la lógica del tedio, en 1993 empezaron a crearse y diseminarse
especies nacionales desarrolladas con creatividad propia, siendo alguno
de ellos sumamente originales, como los virus Katia, Rogue o F03241 y
los polimórficos Rogue II y Please Wait (que formateaba el disco duro).
La creación de los virus locales ocurre en cualquier país y el Perú no
podía ser la excepción.
¡¡virus!!
Los
virus informáticos son programas que utilizan técnicas sofisticadas,
diseñados por expertos programadores, los cuales tienen la capacidad de
reproducirse por sí mismos, unirse a otros programas, ejecutando
acciones no solicitadas por el usuario, la mayoría de estas acciones son
hechas con mala intención.
Un virus informático, ataca en
cualquier momento, destruyendo toda la información que no esté protegida
con un antivirus actualizado.
La mayoría de los virus suelen
ser programas residentes en memoria, se van copiando dentro de nuestros
softwares. De esta manera cada vez que prestamos softwares a otras
personas, también encontrarán en el interior archivos con virus.
Un
virus tiene la capacidad de dañar información, modificar los archivos y
hasta borrar la información un disco duro, dependiendo de su
programador o creador.
En la actualidad los virus informáticos
no solo afectan a los archivos ejecutables de extensión .EXE y .COM,
sino también a los procesadores de texto, como los documentos de Word y
hojas de cálculo como Excel, esta nueva técnica de elaboración de virus
informático se llama Macro Virus.
La
gran similitud entre el funcionamiento de los virus computacionales y
los virus biológicos, propició que a estos pequeños programas se les
denominara virus.
Los virus en informática son
similares a los que atacan el organismo de los seres humanos. Es decir
son "organismos" generalmente capaces de auto reproducirse, y cuyo
objetivo es destruir o molestar el "huésped".
Al igual que los virus orgánicos, los virus en informática deben ser eliminados antes de que causen la "muerte" del huésped...
Los virus de las computadoras no son mas que programas; y estos virus casi siempre los acarrean las copias ilegales o piratas.
Provocan
desde la pérdida de datos o archivos en los medios de almacenamiento de
información (diskette, disco duro, cinta), hasta daños al sistema y,
algunas veces, incluyen instrucciones que pueden ocasionar daños al
equipo.
Estos programas tienen algunas características muy especiales:
- Son muy pequeños.
- Casi nunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha de creación.
- Se reproducen a sí mismos.
- Toman el control o modifican otros programas.
A
diferencia de los virus que causan resfriados y enfermedades en
humanos, los virus de computadora no ocurren en forma natural, cada uno
debe ser programado. No existen virus benéficos.
Algunas veces
son escritos como una broma, quizá para irritar a la gente desplegando
un mensaje humorístico. En estos casos, el virus no es mas que una
molestia. Pero cuando un virus es malicioso y causa daño real, ¿quién
sabe realmente la causa? ¿Aburrimiento? ¿Coraje? ¿Reto intelectual?
Cualquiera que sea el motivo, los efectos pueden ser devastadores.
Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su identificación.
El
virus pasa a la memoria del computador, tomando el control del mismo,
después de intentar inicializar el sistema con un disco, o con el sector
de arranque infectado o de ejecutar un archivo infectado.
El
virus pasa a la memoria y el sistema se ejecuta, el programa funciona
aparentemente con normalidad, de esta forma el usuario no se da cuenta
de que su sistema está siendo infectado.
Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema cuando son ejecutados o atacando el
sector de arranque del disco duro.
sector de arranque del disco duro.
De
esta forma el virus toma el control del sistema siempre que se encienda
el computador, ya que intervendrá el sector de arranque del disco, y
los archivos del sistema. Si durante esta fase utilizamos discos
flexibles no protegidos contra escritura, dichos discos quedan
infectados y listos para pasar el virus a otro computador e infectar el
sistema.
Esta es la última fase de la vida de un virus y es la fase en donde el virus se hace presente.
La
activación del virus trae como consecuencia el despliegue de todo su
potencial destructivo, y se puede producir por muchos motivos,
dependiendo de como lo creó su autor y de la versión de virus que se
trate, debido a que en estos tiempo encontramos diversas mutaciones de
los virus.
Algunos virus se activan después de un cierto
número de ejecuciones de un programa infectado o de encender el sistema
operativo; otros simplemente esperan a que se escriba el nombre de un
archivo o de un programa.
La mayoría de los virus se activan
mediante el reloj del sistema para comprobar la fecha y activar el
virus, dependiendo de la fecha u hora del sistema o mediante alguna
condición y por último atacan, el daño que causan depende de su autor.
- Muy difíciles de detectar y eliminar, debido a que cada copia del virus es diferente de otras copias.
- Sus instrucciones cambian cada vez que se autoencriptan.
- El virus produce varias copias diferentes de sí mismo.
- Cambian su forma (código) cada vez que infectan un sistema, de esta manera parece siempre un virus distinto y es más difícil que puedan ser detectados por un programa antivirus.
- Pero existe un fallo en está técnica, y es que un virus no puede codificarse por completo. Por lo menos tiene que quedar la rutina desencriptadora, es esta rutina la que buscan los antivirus para la detección del virus.
- Tipo de virus más antiguos y poco frecuentes.
- Su medio de propagación es a través de programas ejecutables.
- Su forma de actuar es sencilla.
- Cuando abrimos un archivo infectado, el virus toma el control y contamina otro archivo que no este todavía infectado.
- Normalmente infectan archivos del mismo directorio, o puede ser que tengan objetivos fijos como el COMMAND.COM del Sistema Operativo.
- No permanecen en memoria más que el tiempo necesario para infectar uno o varios archivos.
- Pueden ser virus destructivos en el caso de que sobrescriban la información del programa principal con su código de manera irreversible.
- A veces bloquean el control del sistema operativo, sobrescribiéndolo.
- Virus que permanecen indefinidamente en memoria incluso después de haber finalizado el programa portador del virus.
- Una vez ejecutado el programa portador del virus, éste pasa a la memoria del computador y se queda allí hasta que apaguemos el ordenador. Mientras tanto va infectando todos aquellos programas ejecutables que utilicemos.
- Microprogramas muy peligrosos para la integridad de nuestro sistema y nuestros datos.
- Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco duro.
- Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestión de segundos inutilizan los datos del disco duro.
- VIRUS BIPARTIDOS
- Es un virus poco frecuente.
- Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su código (el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero puede haber otra versión del mismo virus que incorpore ese algoritmo. Si ambos virus coinciden en nuestro computador, y se unen en uno sólo, se convierten en un virus destructivo.
- VIRUS COMPAÑEROS
- Son los virus más sencillos de hacer.
- Cuando en un mismo directorio existen dos programas ejecutables con el mismo nombre pero uno con extensión .COM y el otro con extensión .EXE, el MS-DOS carga primero el archivo con extensión .COM.
- Si se crea un archivo .COM oculto, con el mismo nombre que el otro archivo ejecutable de extensión .EXE. Primero se cargará en la memoria el archivo .COM que contiene el virus. Después el virus llamaría al programa original.
- El archivo infectado no podría ser visto con un simple comando DIR en C :\, porque contiene el atributo de oculto.
- VIRUS DE BOOT (SECTOR DE ARRANQUE)
- Como su nombre lo indica, infecta el sector de arranque del disco duro.
- Dicha infección se produce cuando se intenta cargar el sistema operativo desde un disco infectado.
- Infecta los diskettes o discos duros, alojándose en el boot sector.
- Cuando se enciende el computador, lo primero que hace la BIOS es inicializar todo (tarjetas de vídeo, unidades de disco, chequear memoria, entre otros).
- Normalmente es un pequeño programa que se encarga de preparar al Sistema Operativo.
- Lo que hace este tipo de virus es sustituir el boot sector original por el programa con el virus informático para que se cargue en el Sistema Operativo.
- Almacenando el boot sector original en otra parte del disco o simplemente lo reemplaza en su totalidad.
- También localiza un sitio en el Disco Duro para guardar la antigua rutina que había en el BOOT.
- AUTOREPLICABLES
- Realizan funciones parecidas a los virus biológicos. Ya que se autoreplican e infectan los programas ejecutables que se encuentren en el disco.
- Se activan en una fecha, hora programada, cada determinado tiempo, contando a partir de su última ejecución o simplemente al sentir que se les trata de detectar.
- ESQUEMA DE PROTECCIÓN
- No son virus destructivos.
- Se activan cuando se intenta copiar un archivo que está protegido contra escritura.
- También se ejecutan cuando se intenta copiar softwares o programas.
- VIRUS INFECTORES DE PROGRAMAS EJECUTABLES
- La infección se produce al ejecutar el programa que contiene el virus, en ese momento busca todos los programas cuyas extensiones sean .COM o .EXE.
- Cuando un programa infectado está ejecutándose, el virus puede permanecer residente en memoria e infectar cada programa que se ejecute.
- Los virus de este tipo tienen dos formas de alojarse en el ejecutable.
- Graban su código de inicio al principio del archivo, realizando un salto para ejecutar el programa básico y regresar al programa infectado.
- Sobrescribiendo en los sectores del disco, haciendo prácticamente imposible su recuperación, si no cuenta con los originales.
- VIRUS INVISIBLES
- Este tipo de virus intenta esconderse del Sistema Operativo mediante varias técnicas.
- Pueden modificar el tamaño del archivo infectado, para que no se note que se le ha añadido un virus.
- Pueden utilizar varias técnicas para que no se les pueda encontrar en la memoria del ordenador engañando a los antivirus.
- Normalmente utilizan la técnica de Stealth o Tunneling.
- PROGRAMAS MALIGNOS
- Bombas Lógicas
- Bombas de Tiempo
- Jokes
- Gusanos
- Caballos de Troya
- Son programas ocultos en la memoria del sistema o en el disco, o en los archivos de programas ejecutables con extensión .COM y .EXE.
- Una Bomba de Tiempo se activa en una fecha, hora o año determinado.
- Puede formatear el disco duro.
- El daño que las bombas de tiempo puedan causar depende de su autor.
- Una Bomba Lógica se activa al darse una condición específica.
- Tanto las bombas lógicas como las bombas de tiempo, aparentan el mal funcionamiento del computador, hasta causar la pérdida de la información.
- Son programas desarrollados con el objetivo de hacer bromas, de mal gusto, ocasionando distracción y molestias a los usuarios.
- Simulan el comportamiento de Virus, constituyen Bombas Lógicas o de Tiempo.
- Muestran en la pantalla mensajes extraños con la única intención de fastidiar al usuario.
- Es un programa que se autoreproduce.
- No infecta otros programas como lo haría un virus, pero crea copias de él, las cuales crean más copias.
- Son más usados para atacar en grandes sistemas informáticos mediante una red de comunicaciones como Intranet o Internet, donde el gusano creará más copias rápidamente, obstruyendo el sistema.
- Se propagan rápidamente en las computadoras.
- Utilizan gran cantidad de memoria del computador, disminuyendo la velocidad de éste.
- Son aquellos programas que se introducen en el sistema bajo una apariencia totalmente diferente a la de su objetivo final.
- Se presentan como información perdida o basura sin ningún sentido.
- Pero al cabo de un determinado tiempo y esperando la indicación del programa, se activan y comienzan a
ejecutarse. - Sus autores lo introducen en los programas más utilizados o softwares ilegales como por ejemplo :
- No se autoreproducen.
- Su misión es destruir toda la información que se encuentra en los discos.
- TÉCNICAS DE VIRUS
- ¿QUE ES UNA MUTACION ?
- SINTOMAS DE UN EQUIPO INFECTADO
- Del procedimiento de Detección
- El Procedimiento de Detección de los virus informáticos debe garantizar que la posible existencia de un virus en un medio magnético u óptico no ingrese directamente al Sistema.
- Se consideran medios de infección por virus a los siguientes :
- De un diskette infectado proveniente de una fuente exterior al equipo de cómputo.
- A través de la adquisición o movimiento de máquinas infectadas en el centro de cómputo.
- A través de los diferentes tipos de comunicación entre equipos de cómputo.
- Cuando un Sistema Operativo está infectado, se presenta cualquiera de los siguientes síntomas :
- El cargado de los programas toma más tiempo de lo normal.
- Demora excesiva en los accesos al disco, cuando se efectúan operaciones sencillas de escritura.
- Se producen inusuales mensajes de errores.
- Se encienden las luces de acceso a los dispositivos, cuando no son requeridos en ese momento.
- Disposición de menos memoria de lo normal.
- Desaparecen programas o archivos misteriosamente.
- Se reduce repentinamente el espacio del disco.
- Los archivos ejecutables cambian de tamaño.
- Aparecen, inexplicablemente, algunos archivos escondidos.
- Aparece en la pantalla una serie de caracteres especiales sin ninguna explicación lógica.
- Algunos comandos no pueden ser ejecutados, principalmente los archivos con extensión .COM y .EXE.
- A veces infectan primero el COMMAND.COM, pero como su función es la de seguir infectando éste continuará operando.
- La razón por la que ciertos ejecutables no pueden ser activados se debe a que simplemente el virus puede haberlos borrado.
- Al prender el equipo no se puede accesar al disco duro, esto es debido a que el virus ya malogró el comando COMMAND.COM y se muestra el siguiente mensaje :
- Los archivos ejecutables de los gestores de bases de datos como dBase, Clipper, FoxPro, etc., están operativos, sin embargo la estructura de los archivos DBF están averiados o cambiados. Lo mismo puede ocurrir con las hojas de cálculo como Lotus 1-2-3, Q-Pro, Excel, etc.
- El sistema empieza a ´colgarse´. Puede ser un virus con la orden de provocar reseteos aleatorios.
- Cierto periféricos tales como : la impresora, módem, tarjeta de sonido, entre otros no funcionan.
- El sistema no carga normalmente o se interrumpe en los procesos.
- Los archivos ejecutables seguirán existiendo pero como el código del virus está presente en la mayoría de los casos aumentará el tamaño de los archivos infectados.
- La pantalla muestra símbolos ASCII muy raros comúnmente conocidos como basura, se escuchan sonidos intermitentes, se producen bloqueos de ciertas teclas.
- COMO PREVENIR LOS VIRUS INFORMATICOS
- Control de la Información Ingresada :
- No deben utilizarse diskettes usados, provenientes del exterior de la Institución.
- Utilizar siempre software comercial original.
- Mantener la protección de escritura en todos los discos de programas originales y de las copias de seguridad
- Si por razones de trabajo fuera necesario la utilización de un medio magnético u óptico venido del exterior, éste deberá necesariamente pasar por los controles siguientes :
- Identificar el medio de almacenamiento que contiene la información. Los medios magnéticos u ópticos de almacenamiento(diskettes, cintas, cartuchos, discos u otros) que contienen archivos de información, deben estar debidamente etiquetados, tanto interna como externamente.
- Chequear el medio magnético u óptico, mediante un procedimiento de detección de virus, establecido por el organismo competente de la Institución.
- Registrar el medio magnético u óptico, su origen y la persona que lo porta.
- Del Personal Usuario de las Computadoras :
- El personal que tiene acceso a las computadoras en forma monousuaria, deberá encargarse de detectar y eliminar en los medios magnéticos u ópticos, la infección o contagio con virus. A tal efecto, utilizará los procedimientos establecidos por el órgano competente de la Institución.
- Las computadoras conectadas a una Red, preferentemente, no deberán tener unidades de diskettes, a fin de prevenir la infección de virus informáticos. El uso de los diskettes deberá ser efectuado por el administrador de red.
- Otras Medidas de Prevención Contra Virus :
- Semanalmente deberá efectuarse un respaldo de toda la información útil que se encuentra almacenada en el disco duro.
- En caso de que se labore en red o en modo multiusuario, el administrador de la red hará un respaldo diario de la información útil del disco.
- Por ningún motivo debe usarse los servidores de red como estaciones de trabajo.
- Sólo los archivos de datos y no los programas ejecutables deberán ser copiados de una computadora a otra.
- Todo diskette debe, normalmente, estar protegido contra escritura para evitar su posible infección al momento de la lectura.
- El Sistema debe cargarse desde un diskette que sea original, o en su defecto desde una copia, especialmente preparada y verificada para que no contenga virus informáticos.
- Nunca se debe de ejecutar programas de origen desconocidos.
- No se debe añadir archivos de datos o programas a diskettes que contienen programas originales.
- Efectuar periódicamente la depuración de archivos en los discos duros de la computadora.
- DAÑOS TRIVIALES.
- DAÑOS MENORES.
- DAÑOS MODERADOS.
- DAÑOS MAYORES.
- DAÑOS SEVEROS.
- DAÑOS ILIMITADOS.
- CARACTERISTICAS DE LOS MACRO VIRUS :
- Infectan únicamente documentos de MS-Word o Ami Pro y hojas de cálculo Excel.
- Poseen la capacidad de infectar y propagarse por sí mismos.
- CAP : Es un conjunto de diez macros encriptados (el usuario infectado no puede verlos ni editarlos), muestra el siguiente texto en la pantalla :
- WM.CONCEPT : Es un macro virus MS-Word que usa cinco macros para infectar, y propagarse. Los macros se llaman :
- WAZZU : Es un macro virus que infecta documentos de Microsoft Word para Windows, solo contiene la macro Autoopen. Cuando un documento es abierto el virus genera un número aleatorio mayor a 0 y menor a 1. Si este número es menor que 0.2, el virus mueve la palabra a otro lugar al azar, dentro del mismo documento, si el número es menor que 0.25, el virus insertará la palabra :
- MDMA : Es un virus que borra archivos específicos de Windows 95, haciendo uso de la macro AutoClose, o el FORMAT.C, el virus dentro de la macro AutoOpen ordena formatear el disco duro.
- XM.LAROUX :Es el primer macro virus funcional en EXCEL, descubierto en julio de 1996. El código del macro consiste de dos macros llamados : Auto_Open y Check_Files. Los macros son almacenados en una hoja de datos escondida, llamada ´Laroux´.
- XM.SOFA : Descubierto en diciembre de 1996, se propaga por medio de un archivo llamado BOOK.XLT. Este virus contiene cuatro macros :
- METODO DE INFECCION Y EFECTOS DE LOS MACRO VIRUS
- ELIMINACION DE UN MACRO VIRUS MANUALMENTE.
- El documento infectado se convierte en plantilla.
- En el menú de herramientas el virus oculta la opción "Macros".
- Para descubrirlo :
- Menú "Ver" se escoge la opción "Barra de Herramientas"
Y entonces lee el primer sector del disco duro, colocándolo en la memoria.
Son
programas que deliberadamente borran archivos o software indicados por
sus autores eliminándose así mismo cuando terminan de destruir la
información.
Entre los principales programas malignos tenemos :
Bombas Lógicas y de Tiempo
Jokes
Gusanos
Caballos de Troya
Windows 95
Las
tecnologías de software han evolucionado asombrosamente en los últimos
tiempos al igual que las arquitecturas de hardware y continúan
haciéndolo día a día. De este avance no se podría dejar de mencionar la
creación de los virus y sus programas antivirus, lo cual ha motivado que
ahora se empleen nuevas técnicas y sofisticadas estrategias de
programación, con el objeto de lograr especies más dañinas y menos
detectables y por consiguiente los software antivirus tienen que ser más
acuciosos y astutos.
El lenguaje de programación por excelencia
para desarrollar virus, es el Assembler pues los denominados lenguajes
de alto nivel como Turbo Pascal, C, gestores de bases de datos, etc. han
sido diseñados para producir software aplicativos. Una excepción a la
regla son los Macro Virus, tratados por separado y los virus
desarrollados en Java Scripts, Visual Basic Scripts y de Controles
Activex, a partir de 1999.
Estos hechos demuestran
fehacientemente que no existe ningún impedimento para que se puedan
programar virus en lenguajes diferentes al assembler, aunque con ninguno
de ellos se podría generar las órdenes directas para tomar control de
las interrupciones, o saltar de un programa anfitrión (host) o receptor,
a otro en forma tan rápida y versátil.
El autor de virus por lo
general vive muy de prisa y tal pareciera que además de haber
incrementado sus conocimientos, ha analizado los errores cometidos por
los anteriores programadores de virus que han permitido que sus especies
virales sean fácilmente detectadas, y es por ello que sin dejar de lado
las formas tradicionales de programación, ha creado además sofisticadas
rutinas y nuevas metodologías.
Han transcurrido más de 16 años
desde que el Dr. Fred Cohen expusiese sus conceptos y teorías y los
autores de virus no solamente se han convertido en más creativos e
ingeniosos, sino que continuarán apareciendo nuevas Técnicas de
Programación, aprovechando de la facilidad de propagación de sus
especies virales, a causa del auge de Internet.
Algunas técnicas y estrategias de programación de virus:
INFECTOR RAPIDO
Un
virus infector rápido es aquel que cuando está activo en la memoria
infecta no solamente a los programas cuando son ejecutados sino a
aquellos que son simplemente abiertos para ser leídos. Como resultado de
esto sucede que al ejecutar un explorador (scanner) o un verificador de
la integridad (integrity checker), por ejemplo, puede dar como
resultado que todos o por lo menos gran parte de los programas sean
infectados.
Esta técnica usa la función 3dh de la interrupción 21h
para abrir un archivo ejecutable en forma muy rápida, empezando
preferentemente con el COMMAND.COM y ubicándose en clusters vacios
detrás de un comando interno, por ejemplo DIR, de tal modo que no
solamente no incrementa el tamaño del archivo infectado sino que además
su presencia es inadvertible.
Puede darse el caso además, de
que cuando se ejecuta un archivo EXE o COM éste no es infectado, en
cambio sus archivos relacionados tales como OVL o DBF's son alterados.
Si bajo esta técnica se ha decidido atacar a las áreas del sistema el
código viral reemplaza a los 512 bytes del sector de arranque y envia el
sector original a otra posición en el disco, pero a su vez emulará al
verdadero, y al ser un "clon" de boot le le será muy fácil infectar a la
FAT y al Master Boot Record o a la Tabla de Particiones,
imposibilitando el acceso al disco.
El término de infector lento
se refiere a un virus que solamente infecta a los archivos en la medida
que éstos son ejecutados, modificados o creados, pero con una salvedad:
puede emplear también parte de la técnica del infector rápido pero sin
la instrucción de alteración o daño inmediato al abrirse un archivo. Con
la interrupción 1Ch del TIMER su autor programa una fecha, la misma que puede ser específica o aleatoria (ramdom) para manifestarse.
Mientras
tanto el virus permanece inactivo y encriptado en el archivo o área
afectada esperando su tiempo de activación. Los virus del tipo "infector
lento" suelen emplear rutinas de anti-detección sumamente eficientes,
algunas de las cuales inhabilitan a las vacunas de los antivirus mas
conocidos.
Existen muchísimos software Utilitarios u otras herramientas Tools), que se obtienen en forma gratutita por Internet,
que muestran las interrupciones que usan las vacunas al cargarse en
memoria. Una vez conocidos estos IRQ's resultará muy fácil para un
desarrollador de virus encontrar la forma de deshabilitar o saltear el
control de ciertas vacunas.
Esta técnica consiste en instruir al virus para que infecte ocasionalmente,
por ejemplo, cada 10 veces que se ejecute un programa. Otras veces,
infecta únicamente a los archivos de menor extensión y al infectarlos en
forma ocasional se minimiza la posibilidad de descubrirlo fácilmente.
Por
otro lado, el contador de ejecuciones de los archivos infectados con
virus que emplea esta modalidad, tiene por lo general más de una rutina
de auto encriptamiento.
La técnica "parse" no es tan comunmente usada, pero sus efectos y estragos son muy lamentables.
Modalidad Companion
(acompañante) es aquella por la cual el virus en lugar de modificar un
archivo existente, al infectarlo crea un nuevo archivo del mismo nombre,
el cual es inadvertido por el usuario. Resulta poco menos que imposible
que alguien recuerde el nombre de todos los archivos de los
sub-directorios de su disco duro.
Cuando un programa es
ejecutado, por ejemplo ejemplo WP.EXE, éste invoca al conocido
procesador de textos, pero el virus ya ha creado un falso WP.COM, de tal
modo que éste es ejecutado en primer lugar, por ser un archivo COM de
una sóla imágen (máximo 64k) y puede arrastrar el código viral sin que
el usuario se percate. Y así continuará haciéndolo. Mas aún, los
verificadores de integridad (integrity checkers) fallarán en la acción
de detectar este tipo de virus ya que éstos utilitarios solo buscan los
archivos existentes.
Debido a que ésta no es una técnica frecuentemente empleada, algunos investigadores de virus denominan a los virus ANEXADOS, como virus COMPANION, que a nuestro criterio no es su exacto concepto y clasificación.
También conocido como virus blindado,
es una forma muy peculiar de programación, donde el autor programa una
serie de rutinas que usa como cubiertas o escudos (shells), en el
archivo que contiene el virus, para que éste no pueda ser fácilmente
"rastreado" y mucho menos desensamblado.
Pueden ser una o más
rutinas de encriptamiento, sobrepuestas unas sobre otras. Se les conoce
también como "virus anti-debuggers". El Dark Avenger, producido
en Bulgaria en 1987 fué el primer virus que usó conjuntamente las
tecnologías ARMORED y STEALTH. En Junio del 2000 se reportó el gusano VBS/Stages.SHS, el primer virus oculto propagado masivamente a través de mensajes de correo electrónico en Internet.
Un virus "stealth"
es aquel que cuando está activado esconde las modificaciones hechas a
los archivos o al sector de arranque que están infectados. Esta técnica
hace uso de todos los medios posibles para que la presencia del virus
pase totalmente desapercibida, anulan efectos tales como el tamaño de
los archivos, los cambios de la fecha, hora o atributo, hasta el
decremento de la memoria RAM. Un ejemplo simple lo constituye el primer
virus (c) Brain que infectaba el sector de arranque, monitoreando los
I/O (entrada y salida) y redireccionando cualquier intento de leer este
sector infectado.
Cuando un virus "Stealth" está activo en
memoria cualquiera de estos cambios pasarán desapercibidos al realizar
un DIR, por ejemplo, ya que el virus habrá tomado control de todo el
sistema. Para lograr este efecto, sus creadores usan la interrupción 21h función 57h.
Sin
embargo, si se arranca el equipo desde un diskette de sistema limpio de
virus y con la protección contra escritura, al efectuar la misma orden
DIR se detectarán los cambios causados a los archivos infectados. Un
virus de boot programado con esta técnica reemplaza perfectamente al
verdadero sector de arranque, que tiene apenas 512 bytes y al cual mueve
hacia otro lugar del disco pero que con una instrucción de salto vuelve
otra vez a utilizarlo.
Hoy día es posible crear virus con la técnica Stealth, en cualquier lenguaje de programación, además del Assembler.
Son quizás los más difíciles de detectar y en consecuencia de eliminar. Sus valores en la programación van cambiando secuencialmente cada vez que se autoencriptan,
de tal forma que sus cadenas no son las mismas. El virus polimórfico
produce varias, pero diferentes copias de sí mismo, manteniendo
operativo su microcódigo viral.
Un fácil método de evadir a los
detectores consiste en producir rutinas auto encriptadoras pero con una
"llave variable". La técnica polimórfica o "mutante" es muy sofisticada y
demanda mucho conocimiento, ingenio y trabajo de programación tal como
se puede apreciar en el código fuente del virus DARK AVENGER.
Sin
embargo existe uno de los más ingeniosos generadores automáticos de
virus, llamado "Mutation Engine" (distribuido gratuitamente en Internet),
que emplea un polimorfismo en la forma de módulo objeto. Con este
generador cualquier virus puede convertirse en polimórfico al agregarle
ciertas llamadas a su código assembler y "enlazándolas" al Mutation
Engine, por medio de un generador de números aleatorios.
Los
objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier
área vital del sistema, especialmente el MBR, ya sea individualmente, en
forma combinada o en su totalidad. Este estilo de programación también
emplea el control de memoria dinámica así como algoritmos de compresión y
descompresión de datos.
Un
virus que emplea la técnica del " túnel" intercepta los manipuladores
de la interrupciones del DOS y el BIOS y las invoca directamente,
evadiendo de este modo cualquier actividad de monitoreo de las vacunas
antivirus. Aunque no existen, por ahora, gran cantidad de estas especies
virales, existe la tendencia a incrementarse, habiéndose descubierto
virus que usan originales artimañas para infectar a un sistema sin ser
descubiertos. Mencionaremos el caso particular del búlgaro DARK
AVENGER-D, el virus peruano ROGUE II y el chileno CPW Arica.
Todos
ellos tienen rutinas que en forma muy rápida se superponen a los IRQ's
ocupados por las vacunas logrando desactivarlas para acceder
directamente a los servicios del DOS y del BIOS tomando absoluto control
del sistema y sin restricción alguna.
Las interrupciones
empleadas por las vacunas del VirusScan de McAfee, MSAV de Microsoft y
otros antivirus son muy conocidas por los creadores de virus.
Las
especies virales tipo "tunneling" emplean estas rutinas para saltear y
sobrepasar a algunas de las vacunas residentes en memoria. Del mismo
modo, algunos antivirus suelen utilizar esta técnica en su necesidad de
"by-pasear" un virus nuevo y desconocido que podría estar activo cuando
se está explorando un sistema.
PROGRAMADORES DEL PPI
La mayoría de virus "musicales"
y los que afectan a los periféricos pertenecen a esta categoria.
Recordemos que cuando instalamos un nuevo dispositivo, ya sea una
tarjeta de sonido, un módem o CD-ROM por ejemplo, el software instalador
de cada uno de éstos se encarga de programar automáticamente el PPI (Interfase Programable de Periféricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ
(interrupt request), los cuales son asignados para ser usados
específicamente por cada periférico, para evitar que tengan conflictos
con otros ya existentes.
Programar el PPI por medio del lenguaje
assembler es relativamente fácil y si a esta programación se le incluye
la función correspondiente al TIMER y caracteres de sonido, se estará
creando un virus "musical". Del mismo modo, pero con otras instrucciones
se podrá afectar a las impresoras, tarjetas de sonido, de redes o
módems, provocando diferentes efectos o manifestaciones.
Las
técnicas tratadas son enunciativas mas no limitativas, ello quiere decir
que se pueden programar virus combinando cualquiera de las modalidades
explicadas en este módulo.
El virus anexado (attached) no es una técnica de programación de virus, es una nueva modalidad de difundirlo.
Con el incremento del intercambio de información por correo electrónico, a causa de la gran demanda de uso de los servicios de Internet,
los desarrolladores de virus han hallado una nueva forma de difundir
sus creaciones. Ella consiste en enviar un mesaje de correo con un
archivo anexado o adjunto, el cual al ser abierto ejecuta el virus con
consecuencias de daño inmediato a los sistemas de los usuarios, que por
motivos de curiosidad cometan el error de abrir estos archivos.
Para
lograr este propósito de despertar la curiosidad innata en el ser
humano, los autores de esta modalidad de difusión emplean argumentos en
el cuerpo del mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te
adjunto una información muy interesante que te va a convenir", etc.,
etc.
Los virus suelen venir en documentos (.DOC), archivos
comprimidos en formato ZIP, ejecutables EXE, en controles Activex de
archivos HTML, Visual Basic Scripts o archivos con extensión .SHS y si
además contienen instrucciones de auto-enviarse a la Libreta de
Direcciones del software de correo del usuario, su propagación tendrá un
efecto multiplicador.
Por eso es recomendable que cuando se
reciba un mensaje de este tipo, de orígen totalmente desconocido se
evite aperturar el archivo adjunto y se proceda a eliminarlo, asi como
también el mensaje de orígen.
El virus Melissa, difundido en Marzo de 1999, así como el virus Papa son muestras de esta modalidad de difusión y recientemente el ExploreZip, el LoveLetter y el VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas en todo el mundo.
En 1991 Sun Microsystems, empezó a desarrollar un proyecto de lenguaje, con el código GREEN,
bajo la dirección de James Goslin, inicialmente con el propósito de
administrar y controlar interactivamente los dispositivos conectados a
las redes. Surgieron algunas situaciones frustrantes, pero por suerte,
en pocos años se empezó a popularizar Internet.
Entonces
el proyecto se convirtió en un intento de resolver simultáneamente,
todos los problemas que se le planteaban a los desarrolladores de
software por la diversidad de arquitecturas incompatibles, los sistemas
operativos y lenguajes de programación y la dificultad de crear
aplicaciones distribuidas en Internet.
Java fué inicialemente
desarrollado en C++, pero paulatinamente se fué independizando,
escribiendo su propio lenguaje denominado Oak, que finalmente terminó
convirtiéndose en Java. En 23 de Mayo de 1995 fué lanzado al mercado el HotJava Browser, y ese mismo año Netscape
decidió habilitar a Java en su versión 2.0 de 1996. Es a partir de esa
oportunidad que Java empezó a popularirase en todo el mundo.
Las características mas importantes de Java son:
1. Es de arquitectura portable, neutral y robusta. |
2. Es simple, orientada a objeto y muy versátil. |
3. Es interpretado. El intérprete Java (system run-time) puede ejecutar directamente el código objeto. |
Un
Applet de Java es un programa dinámico e interactivo que puede ser
ejecutado dentro de un archivo HTML y mostrado por un navegador con
capacidad Java. Un programa Java puede ser ejecutado por sí mismo. En
todos los casos, bajo una jerarquía de Clase, Sub-Clase o Super Clase.
Con
todas estas características de un poderoso lenguaje, los creadores de
virus pensaron también en Java, como un medio para producir especies
virales. Debido a ciertas restricciones definidas en las propiedades de
seguridad, tanto de los sistemas operativos, así como de los
navegadores, hasta la fecha existen solamente 2 virus de Java notables:
Java.Beanhive
La
tecnología empleada en este virus tiene varias ventajas. La forma
multi-componente de infección permite al virus esconder su código en los
archivos infectados: su longitud crece en muy pequeños valores y
después de una ligera observación el código insertado pareciera no ser
dañino.
La combinación del llamado starter-main también le
permite a su autor, "actualizar" el virus con nuevas versiones al
reemplazar el código principal en su servidor. Cabe mencionar que este
virus o cualquier virus de Java se puede propagar y reproducir en
condiciones limitadas. La protección estándar de seguridad de los
navegadores cancela cualquier intento de acceder a las unidades de disco
o recoger (download) archivos como una aplicación Java, aún en modo
remoto.
Consecuentemente el virus puede ser propagado
únicamente cuando es ejecutado en un archivo de disco, como una
aplicación Java, al usar el Java machine.
Detalles Técnicos
El
ejecutor del virus es un pequeño programa Java de apenas 40 líneas de
código, que cuando toma el control de un sistema, se conecta al servidor
WEB remoto, envía (download) el código del virus que es guardado en el
archivo BeanHive.class y se ejecuta como una sub-rutina. El código viral
está dividido en 6 partes y es almacenado en 6 diferentes archivos
Java:
BeanHive.class : búsqueda de archivos en un árbol de directorio
+--- e89a763c.class : analiza el formateo de archivo
|--- a98b34f2.class : acceso a las funciones del archivo
|--- be93a29f.class : preparación para la infección (parte 1)
|--- c8f67b45.class : preparación para la infección (parte 2)
+--- dc98e742.class : insertado del virus en el sistema infectado
Al
infectar el virus, analiza los formatos internos de Java, escribe en el
archivo el código de inicio como una sub-rutina "loadClass" y agrega al
archivo constructor de códigos, la invocación para su sub-rutina
loadClass "BeanHive". El parámetro enviado "BeanHive" apunta al
nombre del archivo remoto en el servidor WEB y empieza la infección con
su código viral.
Debido
al auge de Internet los creadores de virus han encontrado una forma de
propagación masiva y espectacular de sus creaciones a través mensajes de
correo electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la extensión .VBS
El antiguo D.O.S.
empleaba archivos .BAT (Batch), que eran un conjunto de instrucciones o
comandos en lotes. Con el advenimiento de Windows 95/98/NT y 2000 este
tipo de archivos dejó de ser empleado y fué reemplazado por los Visual Basic Scripts.
Un
Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas
secuencialmente para realizar una determinada acción al iniciar un
sistema operativo, al hacer un Login en un Servidor de Red, o al
ejecutar una aplicación, almacenadas bajo un nombre de archivo y
extensión adecuada.
Los Scripts pueden ser interpretados y
ejecutados por el Sistema Operativo Windows, Novell, etc. o por una
aplicación mIRC, pIRC, AutoCad, etc.
Los virus pueden ser
desarrollados en cualquier lenguaje y tener determinados objetivos de
daño y algunos simplemente usan las instrucciones Visual Basic Scripts,
como medios de propagación. Asimismo, un VBS puede contener
instrucciones que afecten a los sistemas. También es posible editar
instrucciones en la Libreta de Notas (NotePad) y guardar el archivo con
la extensión .VBS.
Actualmente existen 2 medios de mayor difusión de virus en VBS:
1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas")
El
IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la
comunicación entre usuarios de Internet en "tiempo real', haciendo uso
de software especiales, llamados "clientes IRC" (tales como el mIRC,
PIRCH, Microsoft Chat).
Mediante un software de chat, el usuario
puede conectarse a uno o mas canales IRC, pero es necesario que primero
se conecte a un servidor chat, el cual a su vez, está conectado a otros
servidores similares, los cuales conforman una red IRC. Los programas
"clientes IRC" facilitan al usuario las operaciones de conexión,
haciendo uso del comando /JOIN, para poder conectarse a uno o mas
canales.
Las conversaciones pueden ser públicas (todo el canal
visualiza lo que el usuario digita) o privadas (comunicación entre 2
personas).
Para "cargar" una sesión de chat los usuarios deben
registrarse en un servidor chat, elegir un canal y un apodo (nickname).
Todo esto se hace mediante un denominado "bachero", que emplea comandos
propios del protocolo IRC, permitiendo ejecutar estas operaciones de
manera intuitiva y proporcionando al usuario un entorno grafico
amigable.
Como atacan los gusanos (VBS/Worms)
Todos
los gusanos del Chat, siguen el mismo principio de infección. Usando el
comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las personas conectadas al canal chat, además de otras instrucciones dentro de un Visual Basic Script.
Este
script que contiene el código viral sobrescribe al original, en el
sistema remoto del usuario, logrando infectarlo, así como a todos los
usuarios conectados a la vez, en ese mismo canal.
Este tipo de
propagación de archivos infectados, se debe a la vulnerabilidad de las
versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH,
antes de PIRCH98.
2. Re-envio de mensajes de la libreta de direcciones Microsot Outlook.
Office 95/97 y 2000, respectivamente, integran sus programas MS Word, Excel, Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications,
que permiten invocar la ejecución de determinadas instrucciones. En MS
Word y Excel, el usuario tiene acceso a un Editor de Visual Basic.
Aunque también pueden editar instrucciones y comandos con el NotePad y
archivarlo con la extensión .VBS
Virus como el W97M/Melissa o el VBS/Loveletter,
al ser escritos en Visual Basic for Aplications, tienen un fácil y
poderoso acceso a los recursos de otros usuarios de MS Office. El mas
afectado es la libreta de direcciones de MS Outlook, el cual es
controlado por las instrucciones del VBS y recibe la orden de re-enviar
el mensaje con el archivo anexado, en formato VBS, a todos los nombres
de la libreta de direcciones del sistema de usuario infectado.
Estas infecciones también se reproducen entre todos los usuarios de una red, una vez que uno de sus usuarios ha sido infectado.
La
última modalidad de propagación masiva de virus, a través de Internet
ha surgido a partir de la creación de un gusano denominado VBS/Stages.SHS, el mismo que ya tiene algunas variantes,
VBS/Stages,
si bien es un Visual Basic Script, es el primer gusano que engaña a los
usuarios al mostrarse como un archivo normal de texto
(LIFE_STAGES.TXT.SHS), pero con la extensión .SHS
Los archivos
con extensión .SHS (Shell Scraps), son ejecutables de WINDOWS RUNDLL32,
también conocidos como Scrap Object Files (Archivos Objeto Basura).
Un
archivo copiado dentro de un documento abierto de Microsoft Office, y
luego copiado y empastado sobre el Windows Desktop crea un archivo
"Scrap" con la extensión .SHS. Los archivos Scrap fueron creados desde
la primera versión de Windows 95, para permitir que los textos y
gráficos puedan ser arrastrados y colocados (drag and drop) dentro de
las aplicaciones de Microsoft Office.
Este nuevo archivo Scrap,
puede ser renombrado con cualquier otra extensión y ejecutará el
programa que contiene en forma oculta, al hacerle un doble click. Cuando
es distribuido a través del correo electrónico, transferido como
mensaje dentro de la Red u otro medio basado en la Web, la extensión
.SHS se hace visible, pero una vez que es grabado al disco duro,
desaparecerá otra vez.
Al tener estas características, puede
ocultar archivos ejecutables, mayormente usados como troyanos en Windows
95/98, Millenium, Windows 2000 y NT.
Con esta nueva modalidad
de propagación se facilita e incrementa el factor de riesgo de infección
de virus entre los usuarios de Internet, quienes a su vez infectarán a
los que se conecten sus estaciones de trabajo, dentro de redes locales o
Intranets.
Se
conoce con el nombre de mutación a la alteración intencional o
accidental de un virus informático que ya fue creado con anterioridad.
Decimos
que es una mutación accidentada cuando son ocasionadas por
programadores que buscan la eliminación de estos virus, provocando en
sus investigaciones variaciones en el código original del virus, dando
lugar a nuevas versiones del mismo virus.
Pero también hay
mutaciones intencionales cuando los programadores solo buscan causar
daños perjudiciales a las computadoras, haciendo que estos virus se
vuelvan cada vez más peligrosos.
Para ello, el programa de
detección de virus debe ser instalado en la memoria, a fin de que
permanentemente se controle cualquier medio de almacenamiento que sea
utilizado con el equipo de cómputo.
<>"bad or missing command interpreter" |
En especial de los discos del sistema operativo y de las herramientas antivirus.
Los
medios de detección de virus deben ser actualizados mensualmente, de
acuerdo a las nuevas versiones de los detectores de virus que adquiera
la Institución. Deberá utilizarse programas antivirus originales.
Este
personal es responsable del control de los medios magnéticos u ópticos
venidos del exterior así como de la posible introducción de virus en el
equipo de computo.
Dicha actividad será realizada por el responsable designado para este fin.
11. DAÑOS DE LOS VIRUS.
Definiremos
daño como acción una indeseada, y los clasificaremos según la cantidad
de tiempo necesaria para reparar dichos daños. Existen seis categorías
de daños hechos por los virus, de acuerdo a la gravedad.
Sirva
como ejemplo la forma de trabajo del virus FORM (el más común): En el
día 18 de cada mes cualquier tecla que presionemos hace sonar el beep.
Deshacerse del virus implica, generalmente, segundos o minutos.
Un
buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra,
los viernes 13, todos los programas que uno trate de usar después de que
el virus haya infectado la memoria residente. En el peor de los casos,
tendremos que reinstalar los programas perdidos. Esto nos llevará
alrededor de 30 minutos.
Cuando
un virus formatea el disco rígido, mezcla los componentes de la FAT
(File Allocation Table, Tabla de Ubicación de Archivos), o sobrescribe
el disco rígido. En este caso, sabremos inmediatamente qué es lo que
está sucediendo, y podremos reinstalar el sistema operativo y utilizar
el último backup. Esto quizás nos lleve una hora.
Algunos
virus, dada su lenta velocidad de infección y su alta capacidad de
pasar desapercibidos, pueden lograr que ni aún restaurando un backup
volvamos al último estado de los datos. Un ejemplo de esto es el virus
DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones
que realizó. Cuando este contador llega a 16, elige un sector del disco
al azar y en él escribe la frase: "Eddie lives … somewhere in time"
(Eddie vive … en algún lugar del tiempo).
Esto puede haber
estado pasando por un largo tiempo sin que lo notemos, pero el día en
que detectemos la presencia del virus y queramos restaurar el último
backup notaremos que también él contiene sectores con la frase, y
también los backups anteriores a ese.
Puede que lleguemos a
encontrar un backup limpio, pero será tan viejo que muy probablemente
hayamos perdido una gran cantidad de archivos que fueron creados con
posterioridad a ese backup.
Los
daños severos son hechos cuando un virus realiza cambios mínimos,
graduales y progresivos. No sabemos cuándo los datos son correctos o han
cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER
(es decir, no podemos buscar la frase Eddie lives ...).
Algunos
programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la
clave del administrador del sistema y la pasan a un tercero. Cabe
aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea
un nuevo usuario con los privilegios máximos, fijando el nombre del
usuario y la clave. El daño es entonces realizado por la tercera
persona, quien ingresará al sistema y haría lo que quisiera.
LOS MACRO VIRUS
los macro virus, son las especies virales que rompieron los esquemas de programación y ejecución de los virus tradicionales
Los
macro virus son una nueva familia de virus que infectan documentos y
hojas de cálculo. Fueron reportados a partir de 1995, cambiando el
concepto que los virus tan sólo podían infectar o propagarse a través de
archivos ejecutables.
Los daños que ocasionan estos virus
depende de sus autores siendo capaz desde cambiar la configuración del
Windows, borrar archivos de nuestro disco duro, enviar por correo
cualquier archivo que no nos demos cuenta, mandar a imprimir documentos
inesperadamente, guardar los documentos como plantillas, entre otros.
Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.
Los macro virus tienen 2 características básicas :
Los
macro virus, no pueden grabar los documentos infectados en ningún otro
formato que no sean las plantillas, el archivo es convertido a plantilla
y tiende a no permitir grabar el archivo o documento en ningún otro
directorio, usando el comando SAVE AS.
Estos son algunos de los virus más conocidos que afectan a las macros :
C.A.P : Un virus social...Y ahora digital... "j4cKy Qw3rTy" (jqw3rty@hotmail.com) Venezuela, Maracay, Dic 1996 PD : Que haces gochito ? Nunca serás Simón Bolívar...Bolsa ! |
Cuando
infecta el Word, el virus modifica cinco menús existentes,
redireccionándolos al código del virus. Los problemas que crea son
diferentes, dependiendo del tipo de instalación y el lenguaje del Word
que este en uso. Al infectar los documentos, borra todos los macros
preexistentes, pero no tiene un efecto destructivo en sí mismo. Oculta
en el menú de Herramientas la opción Macros.
AAAZAO, AAAZFS, AutoOpen, FileSavesAs, Payload.
"wazzu" |
Auto_Open, Auto_Range, Current_Open y Auto_Close.
Cuando
se abre un archivo infectado, el virus toma el control y cambia el
título arriba de la ventana a ´Microsofa Excel´ en lugar de ´Microsoft
Excel´.
INFECCIÓN
Cuando
un documento es abierto por primera vez, la aplicación (Word, Excel,
etc.) buscan la presencia del macro AutoOpen, si lo encuentra y la
variable global DisableAutoMacros no está seleccionada, entonces Word o
Excel automáticamente ejecutan el macro AutoOpen (sin notificar nada al
usuario). Al igual sucede cuando se cierra la aplicación, se ejecuta la
macro AutoClose si está presente.
En Word, los macros son
guardados en archivos denominados "plantillas", así que durante una
infección, los macro virus son capaces de convertir los documentos a
plantillas y copiarse en ellos.
Al momento de ser infectado, los
datos son mezclados con código ejecutable, que normalmente están
escondidos a la vista del usuario. Entonces cuando se vea el documento,
este estará infectado, se podrá trabajar normalmente pero la plantilla
con virus seguirá infectando documentos y las macros que utilice.
Los
macro Virus infectan la macro global Normal.dot y FileSaveAs, las
cuales se graban automáticamente al final de cada sesión de trabajo.
EFECTOS
Una
vez que se infecta un documento u hoja de cálculo, los macro virus son
capaces de adueñarse de las funciones de la aplicación, evitando por
ejemplo, que el usuario guarde la información que ha estado escribiendo
por minutos u horas, no se puede mandar a imprimir, entre otros.
En
el caso de Word los macro virus se instalan en la plantilla Normal.dot,
que es la que el usuario utiliza para crear archivos nuevos. Cuando
abramos un archivo o lo guardemos, estaremos infectando los documentos.
En Excel ocurre algo similar con el archivo Personal.XLS. En el menú de
la Barra de Herramientas desaparece la opción Macros.
Los macros virus más conocidos actualmente son de documentos de Microsoft Word.
Los
macros son un conjunto de instrucciones y comandos. El lenguaje de
macros, es una herramienta poderosa, nos permite ejecutar tareas como
por ejemplo : copiar archivos, ejecutar programas, cambiar archivos,
etc.
No hay comentarios:
Publicar un comentario
hola