Sei sulla pagina 1di 42

Virus Informáticos

Montes B. Carlen M Página 1


Virus Informáticos

INTRODUCCION

Actualmente los virus informáticos se han incrementado notablemente; desde la primera


aparición su crecimiento ha sido sorprendente. En la actualidad se crean cinco virus
diarios aproximadamente, los virus no solamente copian sus códigos en forma parcial a
otros programas sino que además lo hacen en áreas importantes de un sistema (sector de
arranque, tabla de partición, entre otros).

Un virus no necesariamente tiene que auto reproducirse, pues basta con que se instale en
memoria y desde allí ataque a un determinado tipo de archivo o áreas del sistema y lo
infecte. Con Internet se hace más fácil tener el total control de los virus informáticos, lo
que resulta perjudicial a todos los usuarios.

El crecimiento veloz de los virus, hace necesario un rápido tratamiento usando las
técnicas de prevención, detección y eliminación de virus informáticos, teniéndose que
llevar a cabo de forma rápida y eficiente .

Como causa de éste crecimiento innumerable de los virus informáticos, aparece,


paradójicamente la solución, mediante las actualizaciones de los antivirus.

HISTORIA DE LOS VIRUS

Desde la aparición de los virus informáticos en 1984 y tal como se les concibe hoy en
día, han surgido muchos mitos y leyendas acerca de ellos. Esta situación se agravó con
el advenimiento y auge de Internet. A continuación, un resumen de la verdadera
historia de los virus que infectan los archivos y sistemas de las computadoras.

1939-1949 Los Precursores

En 1939, el famoso científico matemático John


Louis Von Neumann, de orígen húngaro, escribió
un artículo, publicado en una revista científica de
New York, exponiendo su "Teoría y organización de
autómatas complejos", donde demostraba la
posibilidad de desarrollar pequeños programas que
pudiesen tomar el control de otros, de similar
estructura.

Cabe mencionar que Von Neuman, en 1944


contribuyó en forma directa con John Mauchly y J.
Presper Eckert, asesorándolos en la fabricación de la
ENIAC, una de las computadoras de Primera
Generación, quienes construyeran además la famosa
UNIVAC en 1950.

John Louis von Neumann (1903-1957)

En 1949, en los laboratorios de la Bell Computer, subsidiaria de la AT&T, 3 jóvenes


programadores: Robert Thomas Morris, Douglas McIlory y Victor Vysottsky, a manera

Montes B. Carlen M Página 2


Virus Informáticos

de entretenimiento crearon un juego al que denominaron CoreWar, inspirados en la


teoría de John Von Neumann, escrita y publicada en 1939.

Robert Thomas Morris fue el padre de Robert Tappan Morris, quien en 1988
introdujo un virus en ArpaNet, la precursora de Internet.

Puesto en la práctica, los contendores del CoreWar ejecutaban programas que iban
paulatinamente disminuyendo la memoria del computador y el ganador era el que
finalmente conseguía eliminarlos totalmente. Este juego fue motivo de concursos en
importantes centros de investigación como el de la Xerox en California y el
Massachussets Technology Institute (MIT), entre otros.

Sin embargo durante muchos años el CoreWar fue mantenido en el anonimato, debido a
que por aquellos años la computación era manejada por una pequeña élite de
intelectuales

A pesar de muchos años de clandestinidad, existen reportes acerca del virus Creeper,
creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360,
emitiendo periódicamente en la pantalla el mensaje: "I'm a creeper... catch me if you
can!" (Soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el
primer programa antivirus denominado Reaper (segadora), ya que por aquella época se
desconocía el concepto de los softwares antivirus.

En 1980 la red ArpaNet del ministerio de Defensa de los Estados Unidos de América,
precursora de Internet, emitió extraños mensajes que aparecían y desaparecían en forma
aleatoria, asimismo algunos códigos ejecutables de los programas usados sufrían una
mutación. Los altamente calificados técnicos del Pentágono se demoraron 3 largos días
en desarrollar el programa antivirus correspondiente.

Hoy día los desarrolladores de antivirus resuelven un problema de virus en contados


minutos.

1981 La IBM PC

En Agosto de 1981 la International Business Machine lanza al mercado su primera


computadora personal, simplemente llamada IBM PC. Un año antes, la IBM habían
buscado infructuosamente a Gary Kildall, de la Digital Research, para adquirirle los
derechos de su sistema operativo CP/M, pero éste se hizo de rogar, viajando a Miami
donde ignoraba las continuas llamadas de los ejecutivos del "gigante azul".

Es cuando oportunamente surge Bill Gates, de la Microsoft Corporation y adquiere a la


Seattle Computer Products, un sistema operativo desarrollado por Tim Paterson, que
realmente era un "clone" del CP/M. Gates le hizo algunos ligeros cambios y con el
nombre de PC-DOS se lo vendió a la IBM. Sin embargo, Microsoft retuvo el derecho de
explotar dicho sistema, bajo el nombre de MS-DOS.

El nombre del sistema operativo de Paterson era "Quick and Dirty DOS" (Rápido y
Rústico Sistema Operativo de Disco) y tenía varios errores de programación (bugs).

Montes B. Carlen M Página 3


Virus Informáticos

La enorme prisa con la cual se lanzó la IBM PC impidió que se le dotase de un buen
sistema operativo y como resultado de esa imprevisión todas las versiones del llamado
PC-DOS y posteriormente del MS-DOS fueron totalmente vulnerables a los virus, ya
que fundamentalmente heredaron muchos de los conceptos de programación del antiguo
sistema operativo CP/M, como por ejemplo el PSP (Program Segment Prefix), una
rutina de apenas 256 bytes, que es ejecutada previamente a la ejecución de cualquier
programa con extensión EXE o COM.

1983 Keneth Thompson

Este joven ingeniero, quien en 1969 creó el sistema operativo UNIX, resucitó las teorías
de Von Neumann y la de los tres programadores de la Bell y en 1983 siendo
protagonista de una ceremonia pública presentó y demostró la forma de desarrollar un
virus informático.

1984 Fred Cohen

Al año siguiente, el Dr. Fred Cohen al ser


galardonado en una graduación, en su discurso
de agradecimiento incluyó las pautas para el
desarrollo de un virus. Este y otros hechos
posteriores lo convirtieron en el primer autor
oficial de los virus, aunque hubo varios autores
más que actuaron en el anonimato.

El Dr. Cohen ese mismo año escribió su libro


"Virus informáticos: teoría y experimentos",
donde además de definirlos los califica como
un grave problema relacionado con la
Seguridad Nacional. Posteriormente este
investigador escribió "El evangelio según
Fred" (The Gospel according to Fred),
desarrolló varias especies virales y
experimentó con ellas en un computador VAX
11/750 de la Universidad de California del
Sur.

La verdadera voz de alarma se dio en 1984 cuando los usuarios del BIX BBS de la
revista BYTE reportaron la presencia y difusión de algunos programas que actuaban
como "caballos de Troya", logrando infectar a otros programas.

Al año siguiente los mensajes y quejas se incrementaron y fue en 1986 que se


reportaron los primeros virus conocidos que ocasionaron serios daños en las IBM PC y
sus clones.

1986 El comienzo de la gran epidemia

En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron
las primeras especies representativas de difusión masiva. Estas 3 especies virales tan

Montes B. Carlen M Página 4


Virus Informáticos

sólo infectaban el sector de arranque de los disckettes. Posteriormente aparecieron los


virus que infectaban los archivos con extensión EXE y COM.

El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de


los precursores de los virus y recién graduado en Computer
Science en la Universidad de Cornell, difundió un virus a través
de ArpaNet, (precursora de Internet) logrando infectar 6,000
servidores conectados a la red. La propagación la realizó desde
uno de los terminales del MIT (Instituto Tecnológico de
Massashussets).

Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema


operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado
y condenado en la corte de Syracuse, estado de Nueva York, a 4
años de prisión y el pago de US $ 10,000 de multa, pena que fue
conmutada a libertad bajo palabra y condenado a cumplir 400
horas de trabajo comunitario.

1991 La fiebre de los virus

En Junio de 1991 el Dr. Vesselin Bontchev, que por entonces se desempeñaba como
director del Laboratorio de Virología de la Academia de Ciencias de Bulgaria, escribió
un interesante y polémico artículo en el cual, además de reconocer a su país como el
líder mundial en la producción de virus da a saber que la primera especie viral búlgara,
creada en 1988, fue el resultado de una mutación del virus Vienna, originario de
Austria, que fuera desensamblado y modificado por estudiantes de la Universidad de
Sofía. Al año siguiente los autores búlgaros de virus, se aburrieron de producir
mutaciones y empezaron a desarrollar sus propias creaciones.

En 1989 su connacional, el virus Dark Avenger o el "vengador de la oscuridad", se


propagó por toda Europa y los Estados Unidos haciéndose terriblemente famoso por su
ingeniosa programación, peligrosa y rápida técnica de infección, a tal punto que se han
escrito muchos artículos y hasta más de un libro acerca de este virus, el mismo que
posteriormente inspiró en su propio país la producción masiva de sistema generadores
automáticos de virus, que permiten crearlos sin necesidad de programarlos.

1995 Los macro virus

A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de una


nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin
ser archivos ejecutables podían auto replicarse infectando a otros documentos. Los
llamados macro virus tan sólo infectaban a los archivos de MS-Word, posteriormente
apareció una especie que atacaba al Ami Pro, ambos procesadores de textos.

En 1997 se disemina a través de Internet el primer macro virus que infecta hojas de
cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma
familia de virus que ataca a los archivos de bases de datos de MS-Access. Para mayor
información sírvanse revisar la opción Macro Virus, en este mismo módulo.

Montes B. Carlen M Página 5


Virus Informáticos

1999 Los virus anexados (atachados)

A principios de 1999 se empezaron a propagar los virus anexados (atachados) a


mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo año fue
difundidos a través de Internet el peligroso CIH y el ExploreZip, entre otros muchos
más.

A fines de Noviembre de este mismo año apareció el BubbleBoy, primer virus que
infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en
formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS, primer virus oculto
dentro del shell de la extensión .SHS.

Resultará imposible impedir que se sigan desarrollando virus en todo el mundo, por ser
esencialmente una expresión cultural de "graffiti cibernético", así como los crackers
jamás se detendrán en su intento de "romper" los sistemas de seguridad de las redes e
irrumpir en ellas con diversas intencionalidades. Podemos afirmar que la eterna lucha
del bien y el mal ahora se ha extendido al ciber espacio.

DEFINICION DE LOS VIRUS INFORMÁTICOS

Los virus informáticos son programas que utilizan técnicas sofisticadas, diseñados por
expertos programadores, los cuales tienen la capacidad de reproducirse por sí mismos,
unirse a otros programas, ejecutando acciones no solicitadas por el usuario, la mayoría
de estas acciones son hechas con mala intención.

Un virus informático, ataca en cualquier momento, destruyendo toda la información que


no esté protegida con un antivirus actualizado.

La mayoría de los virus suelen ser programas residentes en memoria, se van copiando
dentro de nuestros softwares. De esta manera cada vez que prestamos softwares a otras
personas, también encontrarán en el interior archivos con virus.

Un virus tiene la capacidad de dañar información, modificar los archivos y hasta borrar
la información un disco duro, dependiendo de su programador o creador.

En la actualidad los virus informáticos no solo afectan a los archivos ejecutables de


extensión .EXE y .COM, sino también a los procesadores de texto, como los
documentos de Word y hojas de cálculo como Excel, esta nueva técnica de elaboración
de virus informático se llama Macro Virus.

¿POR QUÉ LLAMARLOS VIRUS?

La gran similitud entre el funcionamiento de los virus computacionales y los virus


biológicos, propició que a estos pequeños programas se les denominara virus.

Montes B. Carlen M Página 6


Virus Informáticos

Los virus en informática son similares a los que atacan el organismo de los seres
humanos. Es decir son "organismos" generalmente capaces de auto reproducirse, y cuyo
objetivo es destruir o molestar el "huésped".

Al igual que los virus orgánicos, los virus en informática deben ser eliminados antes de
que causen la "muerte" del huésped...

Los virus de las computadoras no son mas que programas; y estos virus casi siempre
los acarrean las copias ilegales o piratas.

Provocan desde la pérdida de datos o archivos en los medios de almacenamiento de


información (diskette, disco duro, cinta), hasta daños al sistema y, algunas veces,
incluyen instrucciones que pueden ocasionar daños al equipo.

CARACTERÍSTICAS:

Estos programas tienen algunas características muy especiales:

 Son muy pequeños.

 Casi nunca incluyen el nombre del autor, ni el registro o


copyright, ni la fecha de creación.

 Se reproducen a sí mismos.

 Toman el control o modifican otros programas.

MOTIVOS PARA CREAR UN VIRUS:

A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus de
computadora no ocurren en forma natural, cada uno debe ser programado. No existen
virus benéficos.

Algunas veces son escritos como una broma, quizá para irritar a la gente desplegando
un mensaje humorístico. En estos casos, el virus no es mas que una molestia. Pero
cuando un virus es malicioso y causa daño real, ¿quién sabe realmente la causa?
¿Aburrimiento? ¿Coraje? ¿Reto intelectual? Cualquiera que sea el motivo, los efectos
pueden ser devastadores.

Los fabricantes de virus por lo general no revelan su identidad, y algunos retan a su


identificación.

Montes B. Carlen M Página 7


Virus Informáticos

FASES DE INFECCION DE UN VIRUS

Primera Fase (Infección)

El virus pasa a la memoria del computador, tomando el control del mismo, después de
intentar inicializar el sistema con un disco, o con el sector de arranque infectado o de
ejecutar un archivo infectado.

El virus pasa a la memoria y el sistema se ejecuta, el programa funciona aparentemente


con normalidad, de esta forma el usuario no se da cuenta de que su sistema está siendo
infectado.

Segunda Fase (Latencia)

Durante esta fase el virus, intenta replicarse infectando otros archivos del sistema

cuando son ejecutados o atacando el


sector de arranque del disco duro.

De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendrá el sector de arranque del disco, y los archivos del
sistema. Si durante esta fase utilizamos discos flexibles no protegidos contra escritura,
dichos discos quedan infectados y listos para pasar el virus a otro computador e infectar
el sistema.

Tercera Fase (Activación)

Esta es la última fase de la vida de un virus y es la fase en donde el virus se hace


presente.

La activación del virus trae como consecuencia el despliegue de todo su potencial


destructivo, y se puede producir por muchos motivos, dependiendo de como lo creó su
autor y de la versión de virus que se trate, debido a que en estos tiempo encontramos
diversas mutaciones de los virus.

Algunos virus se activan después de un cierto número de ejecuciones de un programa


infectado o de encender el sistema operativo; otros simplemente esperan a que se
escriba el nombre de un archivo o de un programa.

La mayoría de los virus se activan mediante el reloj del sistema para comprobar la fecha
y activar el virus, dependiendo de la fecha u hora del sistema o mediante alguna
condición y por último atacan, el daño que causan depende de su autor.

Montes B. Carlen M Página 8


Virus Informáticos

CLASES DE VIRUS:

VIRUS POLIMORFICOS

o Muy difíciles de detectar y eliminar, debido a que cada copia del virus es
diferente de otras copias.

o Sus instrucciones cambian cada vez que se autoencriptan.

o El virus produce varias copias diferentes de sí mismo.

o Cambian su forma (código) cada vez que infectan un sistema, de esta


manera parece siempre un virus distinto y es más difícil que puedan ser detectados por
un programa antivirus.

o Pero existe un fallo en está técnica, y es que un virus no puede


codificarse por completo. Por lo menos tiene que quedar la rutina desencriptadora, es
esta rutina la que buscan los antivirus para la detección del virus.

VIRUS ESTATICOS

Tipo de virus más antiguos y poco frecuentes.

Su medio de propagación es a través de programas ejecutables.

Su forma de actuar es sencilla.

Cuando abrimos un archivo infectado, el virus toma el control y contamina otro


archivo que no este todavía infectado.

Normalmente infectan archivos del mismo directorio, o puede ser que tengan
objetivos fijos como el COMMAND.COM del Sistema Operativo.

No permanecen en memoria más que el tiempo necesario para infectar uno o


varios archivos.

Pueden ser virus destructivos en el caso de que sobrescriban la información del


programa principal con su código de manera irreversible.

A veces bloquean el control del sistema operativo, sobrescribiéndolo.

VIRUS RESIDENTES

Virus que permanecen indefinidamente en memoria incluso después de haber


finalizado el programa portador del virus.

Una vez ejecutado el programa portador del virus, éste pasa a la memoria del
computador y se queda allí hasta que apaguemos el ordenador. Mientras tanto va
infectando todos aquellos programas ejecutables que utilicemos.

Montes B. Carlen M Página 9


Virus Informáticos

VIRUS DESTRUCTIVOS

Microprogramas muy peligrosos para la integridad de nuestro sistema y nuestros


datos.

Su finalidad es destruir, corromper, eliminar, borrar, aniquilar datos del disco


duro.

Estos virus atacan directamente a la FAT (File Allocation Table) y en cuestión


de segundos inutilizan los datos del disco duro.

VIRUS BIPARTIDOS
o Es un virus poco frecuente.
o Son virus incompletos, ejemplo, a veces a un virus le falta la parte de su
código (el algoritmo destructivo), de este modo el virus es totalmente inofensivo. Pero
puede haber otra versión del mismo virus que incorpore ese algoritmo. Si ambos virus
coinciden en nuestro computador, y se unen en uno sólo, se convierten en un virus
destructivo.

VIRUS COMPAÑEROS
o Son los virus más sencillos de hacer.
o Cuando en un mismo directorio existen dos programas ejecutables con el
mismo nombre pero uno con extensión .COM y el otro con extensión .EXE, el MS-DOS
carga primero el archivo con extensión .COM.
o Si se crea un archivo .COM oculto, con el mismo nombre que el otro
archivo ejecutable de extensión .EXE. Primero se cargará en la memoria el archivo
.COM que contiene el virus. Después el virus llamaría al programa original.
o El archivo infectado no podría ser visto con un simple comando DIR en
C :\, porque contiene el atributo de oculto.

o VIRUS DE BOOT (SECTOR DE ARRANQUE)


 Como su nombre lo indica, infecta el sector de arranque del disco
duro.
 Dicha infección se produce cuando se intenta cargar el sistema
operativo desde un disco infectado.
 Infecta los diskettes o discos duros, alojándose en el boot sector.
 Cuando se enciende el computador, lo primero que hace la BIOS
es inicializar todo (tarjetas de vídeo, unidades de disco, chequear memoria, entre otros).

Y entonces lee el primer sector del disco duro, colocándolo en la memoria.

 Normalmente es un pequeño programa que se


encarga de preparar al Sistema Operativo.
 Lo que hace este tipo de virus es sustituir el boot
sector original por el programa con el virus informático para que se cargue en el
Sistema Operativo.

Montes B. Carlen M Página 10


Virus Informáticos

 Almacenando el boot sector original en otra parte


del disco o simplemente lo reemplaza en su totalidad.
 También localiza un sitio en el Disco Duro para
guardar la antigua rutina que había en el BOOT.

o AUTOREPLICABLES

 Realizan funciones parecidas a los virus biológicos. Ya que se


autoreplican e infectan los programas ejecutables que se encuentren en el disco.
 Se activan en una fecha, hora programada, cada determinado
tiempo, contando a partir de su última ejecución o simplemente al sentir que se les trata
de detectar.

o ESQUEMA DE PROTECCIÓN
 No son virus destructivos.
 Se activan cuando se intenta copiar un archivo que está protegido
contra escritura.
 También se ejecutan cuando se intenta copiar softwares o
programas.
o VIRUS INFECTORES DE PROGRAMAS EJECUTABLES
 La infección se produce al ejecutar el programa que contiene el
virus, en ese momento busca todos los programas cuyas extensiones sean .COM o
.EXE.
 Cuando un programa infectado está ejecutándose, el virus puede
permanecer residente en memoria e infectar cada programa que se ejecute.
 Los virus de este tipo tienen dos formas de alojarse en el
ejecutable.
 Graban su código de inicio al principio del archivo, realizando un
salto para ejecutar el programa básico y regresar al programa infectado.
 Sobrescribiendo en los sectores del disco, haciendo prácticamente
imposible su recuperación, si no cuenta con los originales.

o VIRUS INVISIBLES
 Este tipo de virus intenta esconderse del Sistema Operativo
mediante varias técnicas.
 Pueden modificar el tamaño del archivo infectado, para que no se
note que se le ha añadido un virus.
 Pueden utilizar varias técnicas para que no se les pueda encontrar
en la memoria del ordenador engañando a los antivirus.
 Normalmente utilizan la técnica de Stealth o Tunneling.
o PROGRAMAS MALIGNOS

Montes B. Carlen M Página 11


Virus Informáticos

Son programas que deliberadamente borran archivos o software indicados por sus
autores eliminándose así mismo cuando terminan de destruir la información.

Entre los principales programas malignos tenemos :

 Bombas Lógicas
 Bombas de Tiempo
 Jokes
 Gusanos
 Caballos de Troya

Bombas Lógicas y de Tiempo

 Son programas ocultos en la memoria del sistema


o en el disco, o en los archivos de programas ejecutables con extensión .COM y .EXE.
 Una Bomba de Tiempo se activa en una fecha,
hora o año determinado.
 Puede formatear el disco duro.
 El daño que las bombas de tiempo puedan causar
depende de su autor.
 Una Bomba Lógica se activa al darse una
condición específica.
 Tanto las bombas lógicas como las bombas de
tiempo, aparentan el mal funcionamiento del computador, hasta causar la pérdida de la
información.

Jokes

 Son programas desarrollados con el objetivo de


hacer bromas, de mal gusto, ocasionando distracción y molestias a los usuarios.
 Simulan el comportamiento de Virus, constituyen
Bombas Lógicas o de Tiempo.
 Muestran en la pantalla mensajes extraños con la
única intención de fastidiar al usuario.

Gusanos

 Es un programa que se autoreproduce.


 No infecta otros programas como lo haría un virus,
pero crea copias de él, las cuales crean más copias.
 Son más usados para atacar en grandes sistemas
informáticos mediante una red de comunicaciones como Intranet o Internet, donde el
gusano creará más copias rápidamente, obstruyendo el sistema.
 Se propagan rápidamente en las computadoras.
 Utilizan gran cantidad de memoria del
computador, disminuyendo la velocidad de éste.

Montes B. Carlen M Página 12


Virus Informáticos

Caballos de Troya

 Son aquellos programas que se introducen en el


sistema bajo una apariencia totalmente diferente a la de su objetivo final.
 Se presentan como información perdida o basura
sin ningún sentido.
 Pero al cabo de un determinado tiempo y
esperando la indicación del programa, se activan y comienzan a
ejecutarse.

 Sus autores lo introducen en los programas más


utilizados o softwares ilegales como por ejemplo :

Windows 95

 No se autoreproducen.
 Su misión es destruir toda la información que se
encuentra en los discos.
 TÉCNICAS DE VIRUS

Las tecnologías de software han evolucionado asombrosamente en los últimos


tiempos al igual que las arquitecturas de hardware y continúan haciéndolo día a día. De
este avance no se podría dejar de mencionar la creación de los virus y sus programas
antivirus, lo cual ha motivado que ahora se empleen nuevas técnicas y sofisticadas
estrategias de programación, con el objeto de lograr especies más dañinas y menos
detectables y por consiguiente los software antivirus tienen que ser más acuciosos y
astutos.

El lenguaje de programación por excelencia para desarrollar virus, es el Assembler pues


los denominados lenguajes de alto nivel como Turbo Pascal, C, gestores de bases de
datos, etc. han sido diseñados para producir software aplicativos. Una excepción a la
regla son los Macro Virus, tratados por separado y los virus desarrollados en Java
Scripts, Visual Basic Scripts y de Controles Activex, a partir de 1999.

Estos hechos demuestran fehacientemente que no existe ningún impedimento para que
se puedan programar virus en lenguajes diferentes al assembler, aunque con ninguno de
ellos se podría generar las órdenes directas para tomar control de las interrupciones, o
saltar de un programa anfitrión (host) o receptor, a otro en forma tan rápida y versátil.

El autor de virus por lo general vive muy de prisa y tal pareciera que además de haber
incrementado sus conocimientos, ha analizado los errores cometidos por los anteriores
programadores de virus que han permitido que sus especies virales sean fácilmente
detectadas, y es por ello que sin dejar de lado las formas tradicionales de programación,
ha creado además sofisticadas rutinas y nuevas metodologías.

Han transcurrido más de 16 años desde que el Dr. Fred Cohen expusiese sus conceptos
y teorías y los autores de virus no solamente se han convertido en más creativos e
ingeniosos, sino que continuarán apareciendo nuevas Técnicas de Programación,

Montes B. Carlen M Página 13


Virus Informáticos

aprovechando de la facilidad de propagación de sus especies virales, a causa del auge de


Internet.

Algunas técnicas y estrategias de programación de virus:

INFECTOR RAPIDO

Un virus infector rápido es aquel que cuando está activo en la memoria infecta no
solamente a los programas cuando son ejecutados sino a aquellos que son simplemente
abiertos para ser leídos. Como resultado de esto sucede que al ejecutar un explorador
(scanner) o un verificador de la integridad (integrity checker), por ejemplo, puede dar
como resultado que todos o por lo menos gran parte de los programas sean infectados.

Esta técnica usa la función 3dh de la interrupción 21h para abrir un archivo ejecutable
en forma muy rápida, empezando preferentemente con el COMMAND.COM y
ubicándose en clusters vacios detrás de un comando interno, por ejemplo DIR, de tal
modo que no solamente no incrementa el tamaño del archivo infectado sino que además
su presencia es inadvertible.

Puede darse el caso además, de que cuando se ejecuta un archivo EXE o COM éste no
es infectado, en cambio sus archivos relacionados tales como OVL o DBF's son
alterados. Si bajo esta técnica se ha decidido atacar a las áreas del sistema el código
viral reemplaza a los 512 bytes del sector de arranque y envia el sector original a otra
posición en el disco, pero a su vez emulará al verdadero, y al ser un "clon" de boot le le
será muy fácil infectar a la FAT y al Master Boot Record o a la Tabla de Particiones,
imposibilitando el acceso al disco.

INFECTOR LENTO

El término de infector lento se refiere a un virus que solamente infecta a los archivos en
la medida que éstos son ejecutados, modificados o creados, pero con una salvedad:
puede emplear también parte de la técnica del infector rápido pero sin la instrucción de
alteración o daño inmediato al abrirse un archivo. Con la interrupción 1Ch del TIMER
su autor programa una fecha, la misma que puede ser específica o aleatoria (ramdom)
para manifestarse.

Mientras tanto el virus permanece inactivo y encriptado en el archivo o área afectada


esperando su tiempo de activación. Los virus del tipo "infector lento" suelen emplear
rutinas de anti-detección sumamente eficientes, algunas de las cuales inhabilitan a las
vacunas de los antivirus mas conocidos.

Existen muchísimos software Utilitarios u otras herramientas Tools), que se obtienen en


forma gratutita por Internet, que muestran las interrupciones que usan las vacunas al
cargarse en memoria. Una vez conocidos estos IRQ's resultará muy fácil para un
desarrollador de virus encontrar la forma de deshabilitar o saltear el control de ciertas
vacunas.

Montes B. Carlen M Página 14


Virus Informáticos

ESTRATEGIA PARSE

Esta técnica consiste en instruir al virus para que infecte ocasionalmente, por ejemplo,
cada 10 veces que se ejecute un programa. Otras veces, infecta únicamente a los
archivos de menor extensión y al infectarlos en forma ocasional se minimiza la
posibilidad de descubrirlo fácilmente.

Por otro lado, el contador de ejecuciones de los archivos infectados con virus que
emplea esta modalidad, tiene por lo general más de una rutina de auto encriptamiento.

La técnica "parse" no es tan comunmente usada, pero sus efectos y estragos son muy
lamentables.

MODALIDAD COMPANION (acompañante)

Modalidad Companion (acompañante) es aquella por la cual el virus en lugar de


modificar un archivo existente, al infectarlo crea un nuevo archivo del mismo nombre,
el cual es inadvertido por el usuario. Resulta poco menos que imposible que alguien
recuerde el nombre de todos los archivos de los sub-directorios de su disco duro.

Cuando un programa es ejecutado, por ejemplo ejemplo WP.EXE, éste invoca al


conocido procesador de textos, pero el virus ya ha creado un falso WP.COM, de tal
modo que éste es ejecutado en primer lugar, por ser un archivo COM de una sóla
imágen (máximo 64k) y puede arrastrar el código viral sin que el usuario se percate. Y
así continuará haciéndolo. Mas aún, los verificadores de integridad (integrity checkers)
fallarán en la acción de detectar este tipo de virus ya que éstos utilitarios solo buscan los
archivos existentes.

Debido a que ésta no es una técnica frecuentemente empleada, algunos investigadores


de virus denominan a los virus ANEXADOS, como virus COMPANION, que a nuestro
criterio no es su exacto concepto y clasificación.

ESTILO ARMORED

También conocido como virus blindado, es una forma muy peculiar de programación,
donde el autor programa una serie de rutinas que usa como cubiertas o escudos (shells),
en el archivo que contiene el virus, para que éste no pueda ser fácilmente "rastreado" y
mucho menos desensamblado.

Pueden ser una o más rutinas de encriptamiento, sobrepuestas unas sobre otras. Se les
conoce también como "virus anti-debuggers". El Dark Avenger, producido en Bulgaria
en 1987 fué el primer virus que usó conjuntamente las tecnologías ARMORED y
STEALTH. En Junio del 2000 se reportó el gusano VBS/Stages.SHS, el primer virus
oculto propagado masivamente a través de mensajes de correo electrónico en Internet.

Montes B. Carlen M Página 15


Virus Informáticos

TECNICA STEALTH

Un virus "stealth" es aquel que cuando está activado esconde las modificaciones hechas
a los archivos o al sector de arranque que están infectados. Esta técnica hace uso de
todos los medios posibles para que la presencia del virus pase totalmente desapercibida,
anulan efectos tales como el tamaño de los archivos, los cambios de la fecha, hora o
atributo, hasta el decremento de la memoria RAM. Un ejemplo simple lo constituye el
primer virus (c) Brain que infectaba el sector de arranque, monitoreando los I/O
(entrada y salida) y redireccionando cualquier intento de leer este sector infectado.

Cuando un virus "Stealth" está activo en memoria cualquiera de estos cambios pasarán
desapercibidos al realizar un DIR, por ejemplo, ya que el virus habrá tomado control de
todo el sistema. Para lograr este efecto, sus creadores usan la interrupción 21h función
57h.

Sin embargo, si se arranca el equipo desde un diskette de sistema limpio de virus y con
la protección contra escritura, al efectuar la misma orden DIR se detectarán los cambios
causados a los archivos infectados. Un virus de boot programado con esta técnica
reemplaza perfectamente al verdadero sector de arranque, que tiene apenas 512 bytes y
al cual mueve hacia otro lugar del disco pero que con una instrucción de salto vuelve
otra vez a utilizarlo.

Hoy día es posible crear virus con la técnica Stealth, en cualquier lenguaje de
programación, además del Assembler.

VIRUS POLIMORFICOS (mutantes)

Son quizás los más difíciles de detectar y en consecuencia de eliminar. Sus valores en la
programación van cambiando secuencialmente cada vez que se autoencriptan, de tal
forma que sus cadenas no son las mismas. El virus polimórfico produce varias, pero
diferentes copias de sí mismo, manteniendo operativo su microcódigo viral.

Un fácil método de evadir a los detectores consiste en producir rutinas auto


encriptadoras pero con una "llave variable". La técnica polimórfica o "mutante" es muy
sofisticada y demanda mucho conocimiento, ingenio y trabajo de programación tal
como se puede apreciar en el código fuente del virus DARK AVENGER.

Sin embargo existe uno de los más ingeniosos generadores automáticos de virus,
llamado "Mutation Engine" (distribuido gratuitamente en Internet), que emplea un
polimorfismo en la forma de módulo objeto. Con este generador cualquier virus puede
convertirse en polimórfico al agregarle ciertas llamadas a su código assembler y
"enlazándolas" al Mutation Engine, por medio de un generador de números aleatorios.

Los objetivos de ataque pueden ser el Boot, archivos COM o EXE y cualquier área vital
del sistema, especialmente el MBR, ya sea individualmente, en forma combinada o en
su totalidad. Este estilo de programación también emplea el control de memoria
dinámica así como algoritmos de compresión y descompresión de datos.

Montes B. Carlen M Página 16


Virus Informáticos

FUNCION DESACTIVADORA o TUNNELING

Un virus que emplea la técnica del " túnel" intercepta los manipuladores de la
interrupciones del DOS y el BIOS y las invoca directamente, evadiendo de este modo
cualquier actividad de monitoreo de las vacunas antivirus. Aunque no existen, por
ahora, gran cantidad de estas especies virales, existe la tendencia a incrementarse,
habiéndose descubierto virus que usan originales artimañas para infectar a un sistema
sin ser descubiertos. Mencionaremos el caso particular del búlgaro DARK AVENGER-
D, el virus peruano ROGUE II y el chileno CPW Arica.

Todos ellos tienen rutinas que en forma muy rápida se superponen a los IRQ's ocupados
por las vacunas logrando desactivarlas para acceder directamente a los servicios del
DOS y del BIOS tomando absoluto control del sistema y sin restricción alguna.

Las interrupciones empleadas por las vacunas del VirusScan de McAfee, MSAV de
Microsoft y otros antivirus son muy conocidas por los creadores de virus.

Las especies virales tipo "tunneling" emplean estas rutinas para saltear y sobrepasar a
algunas de las vacunas residentes en memoria. Del mismo modo, algunos antivirus
suelen utilizar esta técnica en su necesidad de "by-pasear" un virus nuevo y desconocido
que podría estar activo cuando se está explorando un sistema.

PROGRAMADORES DEL PPI

La mayoría de virus "musicales" y los que afectan a los periféricos pertenecen a esta
categoria. Recordemos que cuando instalamos un nuevo dispositivo, ya sea una tarjeta
de sonido, un módem o CD-ROM por ejemplo, el software instalador de cada uno de
éstos se encarga de programar automáticamente el PPI (Interfase Programable de
Periféricos) definiendo un canal DMA (acceso directo a memoria) y un IRQ (interrupt
request), los cuales son asignados para ser usados específicamente por cada periférico,
para evitar que tengan conflictos con otros ya existentes.

Programar el PPI por medio del lenguaje assembler es relativamente fácil y si a esta
programación se le incluye la función correspondiente al TIMER y caracteres de sonido,
se estará creando un virus "musical". Del mismo modo, pero con otras instrucciones se
podrá afectar a las impresoras, tarjetas de sonido, de redes o módems, provocando
diferentes efectos o manifestaciones.

Las técnicas tratadas son enunciativas mas no limitativas, ello quiere decir que se
pueden programar virus combinando cualquiera de las modalidades explicadas en este
módulo.

VIRUS ANEXADO

El virus anexado (attached) no es una técnica de programación de virus, es una nueva


modalidad de difundirlo.

Montes B. Carlen M Página 17


Virus Informáticos

Con el incremento del intercambio de información por correo electrónico, a causa de la


gran demanda de uso de los servicios de Internet, los desarrolladores de virus han
hallado una nueva forma de difundir sus creaciones. Ella consiste en enviar un mesaje
de correo con un archivo anexado o adjunto, el cual al ser abierto ejecuta el virus con
consecuencias de daño inmediato a los sistemas de los usuarios, que por motivos de
curiosidad cometan el error de abrir estos archivos.

Para lograr este propósito de despertar la curiosidad innata en el ser humano, los autores
de esta modalidad de difusión emplean argumentos en el cuerpo del mensaje, tales
como: "Buenas nuevas", "Gane dinero", "Te adjunto una información muy interesante
que te va a convenir", etc., etc.

Los virus suelen venir en documentos (.DOC), archivos comprimidos en formato ZIP,
ejecutables EXE, en controles Activex de archivos HTML, Visual Basic Scripts o
archivos con extensión .SHS y si además contienen instrucciones de auto-enviarse a la
Libreta de Direcciones del software de correo del usuario, su propagación tendrá un
efecto multiplicador.

Por eso es recomendable que cuando se reciba un mensaje de este tipo, de orígen
totalmente desconocido se evite aperturar el archivo adjunto y se proceda a eliminarlo,
asi como también el mensaje de orígen.

El virus Melissa, difundido en Marzo de 1999, así como el virus Papa son muestras de
esta modalidad de difusión y recientemente el ExploreZip, el LoveLetter y el
VBS/Stages, fueron causantes de serios estragos en cientos de miles de sistemas en todo
el mundo.

VIRUS EN JAVA

En 1991 Sun Microsystems, empezó a desarrollar un proyecto de lenguaje, con el


código GREEN, bajo la dirección de James Goslin, inicialmente con el propósito de
administrar y controlar interactivamente los dispositivos conectados a las redes.
Surgieron algunas situaciones frustrantes, pero por suerte, en pocos años se empezó a
popularizar Internet.

Entonces el proyecto se convirtió en un intento de resolver simultáneamente, todos los


problemas que se le planteaban a los desarrolladores de software por la diversidad de
arquitecturas incompatibles, los sistemas operativos y lenguajes de programación y la
dificultad de crear aplicaciones distribuidas en Internet.

Java fué inicialemente desarrollado en C++, pero paulatinamente se fué


independizando, escribiendo su propio lenguaje denominado Oak, que finalmente
terminó convirtiéndose en Java. En 23 de Mayo de 1995 fué lanzado al mercado el
HotJava Browser, y ese mismo año Netscape decidió habilitar a Java en su versión 2.0
de 1996. Es a partir de esa oportunidad que Java empezó a popularirase en todo el
mundo.

Montes B. Carlen M Página 18


Virus Informáticos

Las características mas importantes de Java son:

1. Es de arquitectura portable, neutral y robusta.


2. Es simple, orientada a objeto y muy versátil.
3. Es interpretado. El intérprete Java (system run-time) puede ejecu
código objeto.

Un Applet de Java es un programa dinámico e interactivo que puede ser ejecutado


dentro de un archivo HTML y mostrado por un navegador con capacidad Java. Un
programa Java puede ser ejecutado por sí mismo. En todos los casos, bajo una jerarquía
de Clase, Sub-Clase o Super Clase.

Con todas estas características de un poderoso lenguaje, los creadores de virus pensaron
también en Java, como un medio para producir especies virales. Debido a ciertas
restricciones definidas en las propiedades de seguridad, tanto de los sistemas operativos,
así como de los navegadores, hasta la fecha existen solamente 2 virus de Java notables:

Java.Beanhive

La tecnología empleada en este virus tiene varias ventajas. La forma multi-componente


de infección permite al virus esconder su código en los archivos infectados: su longitud
crece en muy pequeños valores y después de una ligera observación el código insertado
pareciera no ser dañino.

La combinación del llamado starter-main también le permite a su autor, "actualizar" el


virus con nuevas versiones al reemplazar el código principal en su servidor. Cabe
mencionar que este virus o cualquier virus de Java se puede propagar y reproducir en
condiciones limitadas. La protección estándar de seguridad de los navegadores cancela
cualquier intento de acceder a las unidades de disco o recoger (download) archivos
como una aplicación Java, aún en modo remoto.

Consecuentemente el virus puede ser propagado únicamente cuando es ejecutado en un


archivo de disco, como una aplicación Java, al usar el Java machine.

Detalles Técnicos

El ejecutor del virus es un pequeño programa Java de apenas 40 líneas de código, que
cuando toma el control de un sistema, se conecta al servidor WEB remoto, envía
(download) el código del virus que es guardado en el archivo BeanHive.class y se
ejecuta como una sub-rutina. El código viral está dividido en 6 partes y es almacenado
en 6 diferentes archivos Java:

BeanHive.class : búsqueda de archivos en un árbol de directorio

+--- e89a763c.class : analiza el formateo de archivo

|--- a98b34f2.class : acceso a las funciones del archivo

|--- be93a29f.class : preparación para la infección (parte 1)

Montes B. Carlen M Página 19


Virus Informáticos

|--- c8f67b45.class : preparación para la infección (parte 2)

+--- dc98e742.class : insertado del virus en el sistema infectado

Al infectar el virus, analiza los formatos internos de Java, escribe en el archivo el


código de inicio como una sub-rutina "loadClass" y agrega al archivo constructor de
códigos, la invocación para su sub-rutina loadClass "BeanHive". El parámetro enviado
"BeanHive" apunta al nombre del archivo remoto en el servidor WEB y empieza la
infección con su código viral.

VIRUS EN VBS

Debido al auge de Internet los creadores de virus han encontrado una forma de
propagación masiva y espectacular de sus creaciones a través mensajes de correo
electrónico, que contienen archivos Visual Basic Scripts, anexados, los cuales tienen la
extensión .VBS

El antiguo D.O.S. empleaba archivos .BAT (Batch), que eran un conjunto de


instrucciones o comandos en lotes. Con el advenimiento de Windows 95/98/NT y 2000
este tipo de archivos dejó de ser empleado y fué reemplazado por los Visual Basic
Scripts.

Un Visual Basic Script es un conjunto de instrucciones lógicas, ordenadas


secuencialmente para realizar una determinada acción al iniciar un sistema operativo, al
hacer un Login en un Servidor de Red, o al ejecutar una aplicación, almacenadas bajo
un nombre de archivo y extensión adecuada.

Los Scripts pueden ser interpretados y ejecutados por el Sistema Operativo Windows,
Novell, etc. o por una aplicación mIRC, pIRC, AutoCad, etc.

Los virus pueden ser desarrollados en cualquier lenguaje y tener determinados objetivos
de daño y algunos simplemente usan las instrucciones Visual Basic Scripts, como
medios de propagación. Asimismo, un VBS puede contener instrucciones que afecten a
los sistemas. También es posible editar instrucciones en la Libreta de Notas (NotePad) y
guardar el archivo con la extensión .VBS.

Actualmente existen 2 medios de mayor difusión de virus en VBS:

1. Infeccion de canales IRC (el chat convoca a una enorme cantidad de "victimas")

El IRC (Internet Relay Chat) es un protocolo desarrollado para permitir la comunicación


entre usuarios de Internet en "tiempo real', haciendo uso de software especiales,
llamados "clientes IRC" (tales como el mIRC, PIRCH, Microsoft Chat).

Mediante un software de chat, el usuario puede conectarse a uno o mas canales IRC,
pero es necesario que primero se conecte a un servidor chat, el cual a su vez, está
conectado a otros servidores similares, los cuales conforman una red IRC. Los

Montes B. Carlen M Página 20


Virus Informáticos

programas "clientes IRC" facilitan al usuario las operaciones de conexión, haciendo uso
del comando /JOIN, para poder conectarse a uno o mas canales.

Las conversaciones pueden ser públicas (todo el canal visualiza lo que el usuario digita)
o privadas (comunicación entre 2 personas).

Para "cargar" una sesión de chat los usuarios deben registrarse en un servidor chat,
elegir un canal y un apodo (nickname). Todo esto se hace mediante un denominado
"bachero", que emplea comandos propios del protocolo IRC, permitiendo ejecutar estas
operaciones de manera intuitiva y proporcionando al usuario un entorno grafico
amigable.

Como atacan los gusanos (VBS/Worms)

Todos los gusanos del Chat, siguen el mismo principio de infección. Usando el
comando SEND file, envían automáticamente una copia del SCRIPT.INI a todas las
personas conectadas al canal chat, además de otras instrucciones dentro de un Visual
Basic Script.

Este script que contiene el código viral sobrescribe al original, en el sistema remoto del
usuario, logrando infectarlo, así como a todos los usuarios conectados a la vez, en ese
mismo canal.

Este tipo de propagación de archivos infectados, se debe a la vulnerabilidad de las


versiones de mIRC anteriores a la 5.31 y todas las versiones de PIRCH, antes de
PIRCH98.

2. Re-envio de mensajes de la libreta de direcciones Microsot Outlook.

Office 95/97 y 2000, respectivamente, integran sus programas MS Word, Excel,


Outlook y Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que
permiten invocar la ejecución de determinadas instrucciones. En MS Word y Excel, el
usuario tiene acceso a un Editor de Visual Basic. Aunque también pueden editar
instrucciones y comandos con el NotePad y archivarlo con la extensión .VBS

Virus como el W97M/Melissa o el VBS/Loveletter, al ser escritos en Visual Basic for


Aplications, tienen un fácil y poderoso acceso a los recursos de otros usuarios de MS
Office. El mas afectado es la libreta de direcciones de MS Outlook, el cual es
controlado por las instrucciones del VBS y recibe la orden de re-enviar el mensaje con
el archivo anexado, en formato VBS, a todos los nombres de la libreta de direcciones
del sistema de usuario infectado.

Estas infecciones también se reproducen entre todos los usuarios de una red, una vez
que uno de sus usuarios ha sido infectado.

Montes B. Carlen M Página 21


Virus Informáticos

VIRUS EN .SHS

La última modalidad de propagación masiva de virus, a través de Internet ha surgido a


partir de la creación de un gusano denominado VBS/Stages.SHS, el mismo que ya tiene
algunas variantes,

VBS/Stages, si bien es un Visual Basic Script, es el primer gusano que engaña a los
usuarios al mostrarse como un archivo normal de texto (LIFE_STAGES.TXT.SHS),
pero con la extensión .SHS

Los archivos con extensión .SHS (Shell Scraps), son ejecutables de WINDOWS
RUNDLL32, también conocidos como Scrap Object Files (Archivos Objeto Basura).

Un archivo copiado dentro de un documento abierto de Microsoft Office, y luego


copiado y empastado sobre el Windows Desktop crea un archivo "Scrap" con la
extensión .SHS. Los archivos Scrap fueron creados desde la primera versión de
Windows 95, para permitir que los textos y gráficos puedan ser arrastrados y colocados
(drag and drop) dentro de las aplicaciones de Microsoft Office.

Este nuevo archivo Scrap, puede ser renombrado con cualquier otra extensión y
ejecutará el programa que contiene en forma oculta, al hacerle un doble click. Cuando
es distribuido a través del correo electrónico, transferido como mensaje dentro de la Red
u otro medio basado en la Web, la extensión .SHS se hace visible, pero una vez que es
grabado al disco duro, desaparecerá otra vez.

Al tener estas características, puede ocultar archivos ejecutables, mayormente usados


como troyanos en Windows 95/98, Millenium, Windows 2000 y NT.

Con esta nueva modalidad de propagación se facilita e incrementa el factor de riesgo de


infección de virus entre los usuarios de Internet, quienes a su vez infectarán a los que se
conecten sus estaciones de trabajo, dentro de redes locales o Intranets.

 ¿QUE ES UNA MUTACION ?

Se conoce con el nombre de mutación a la alteración intencional o accidental de un

virus informático que ya fue creado con anterioridad.

Decimos que es una mutación accidentada cuando son ocasionadas por programadores
que buscan la eliminación de estos virus, provocando en sus investigaciones variaciones
en el código original del virus, dando lugar a nuevas versiones del mismo virus.

Pero también hay mutaciones intencionales cuando los programadores solo buscan
causar daños perjudiciales a las computadoras, haciendo que estos virus se vuelvan cada
vez más peligrosos.

Montes B. Carlen M Página 22


Virus Informáticos

 SINTOMAS DE UN EQUIPO INFECTADO

 Del procedimiento de Detección


 El Procedimiento de Detección de los virus
informáticos debe garantizar que la posible existencia de un virus en un medio
magnético u óptico no ingrese directamente al Sistema.

Para ello, el programa de detección de virus debe ser instalado en la memoria, a fin de
que permanentemente se controle cualquier medio de almacenamiento que sea utilizado
con el equipo de cómputo.

 Se consideran medios de infección por


virus a los siguientes :

De un diskette infectado proveniente de una fuente exterior al equipo de


cómputo.

A través de la adquisición o movimiento de máquinas infectadas en el centro de


cómputo.

A través de los diferentes tipos de comunicación entre equipos de cómputo.

Cuando un Sistema Operativo está infectado, se presenta cualquiera de los


siguientes síntomas :
o El cargado de los programas toma más tiempo de lo normal.
o Demora excesiva en los accesos al disco, cuando se efectúan operaciones
sencillas de escritura.
o Se producen inusuales mensajes de errores.
o Se encienden las luces de acceso a los dispositivos, cuando no son
requeridos en ese momento.
o Disposición de menos memoria de lo normal.
o Desaparecen programas o archivos misteriosamente.
o Se reduce repentinamente el espacio del disco.
o Los archivos ejecutables cambian de tamaño.
o Aparecen, inexplicablemente, algunos archivos escondidos.
o Aparece en la pantalla una serie de caracteres especiales sin ninguna
explicación lógica.
o Algunos comandos no pueden ser ejecutados, principalmente los
archivos con extensión .COM y .EXE.
o A veces infectan primero el COMMAND.COM, pero como su función
es la de seguir infectando éste continuará operando.
o La razón por la que ciertos ejecutables no pueden ser activados se debe a
que simplemente el virus puede haberlos borrado.
o Al prender el equipo no se puede accesar al disco duro, esto es debido a
que el virus ya malogró el comando COMMAND.COM y se muestra el siguiente
mensaje :

Montes B. Carlen M Página 23


Virus Informáticos

<>"bad or missing command

o Los archivos ejecutables de los gestores de bases de datos como dBase,


Clipper, FoxPro, etc., están operativos, sin embargo la estructura de los archivos DBF
están averiados o cambiados. Lo mismo puede ocurrir con las hojas de cálculo como
Lotus 1-2-3, Q-Pro, Excel, etc.
o El sistema empieza a ´colgarse´. Puede ser un virus con la orden de
provocar reseteos aleatorios.
o Cierto periféricos tales como : la impresora, módem, tarjeta de sonido,
entre otros no funcionan.
o El sistema no carga normalmente o se interrumpe en los procesos.
o Los archivos ejecutables seguirán existiendo pero como el código del
virus está presente en la mayoría de los casos aumentará el tamaño de los archivos
infectados.
o La pantalla muestra símbolos ASCII muy raros comúnmente conocidos
como basura, se escuchan sonidos intermitentes, se producen bloqueos de ciertas teclas.

o COMO PREVENIR LOS VIRUS INFORMATICOS


 Control de la Información Ingresada :
 No deben utilizarse diskettes usados, provenientes del
exterior de la Institución.
 Utilizar siempre software comercial original.
 Mantener la protección de escritura en todos los discos de
programas originales y de las copias de seguridad

En especial de los discos del sistema operativo y de las herramientas antivirus.

 Si por razones de trabajo fuera necesario la utilización de


un medio magnético u óptico venido del exterior, éste deberá necesariamente pasar por
los controles siguientes :
 Identificar el medio de almacenamiento
que contiene la información. Los medios magnéticos u ópticos de
almacenamiento(diskettes, cintas, cartuchos, discos u otros) que contienen archivos de
información, deben estar debidamente etiquetados, tanto interna como externamente.
 Chequear el medio magnético u óptico,
mediante un procedimiento de detección de virus, establecido por el organismo
competente de la Institución.
 Registrar el medio magnético u óptico, su
origen y la persona que lo porta.

Los medios de detección de virus deben ser actualizados mensualmente, de acuerdo a


las nuevas versiones de los detectores de virus que adquiera la Institución. Deberá
utilizarse programas antivirus originales.

Montes B. Carlen M Página 24


Virus Informáticos

 Del Personal Usuario de las Computadoras :


 El personal que tiene acceso a las computadoras en forma
monousuaria, deberá encargarse de detectar y eliminar en los medios magnéticos u
ópticos, la infección o contagio con virus. A tal efecto, utilizará los procedimientos
establecidos por el órgano competente de la Institución.

Este personal es responsable del control de los medios magnéticos u ópticos venidos del
exterior así como de la posible introducción de virus en el equipo de computo.

 Las computadoras conectadas a una Red,


preferentemente, no deberán tener unidades de diskettes, a fin de prevenir la infección
de virus informáticos. El uso de los diskettes deberá ser efectuado por el administrador
de red.
 Otras Medidas de Prevención Contra Virus :
 Semanalmente deberá efectuarse un respaldo de toda la
información útil que se encuentra almacenada en el disco duro.

Dicha actividad será realizada por el responsable designado para este fin.

 En caso de que se labore en red o en modo multiusuario,


el administrador de la red hará un respaldo diario de la información útil del disco.
 Por ningún motivo debe usarse los servidores de red como
estaciones de trabajo.
 Sólo los archivos de datos y no los programas ejecutables
deberán ser copiados de una computadora a otra.
 Todo diskette debe, normalmente, estar protegido contra
escritura para evitar su posible infección al momento de la lectura.
 El Sistema debe cargarse desde un diskette que sea
original, o en su defecto desde una copia, especialmente preparada y verificada para que
no contenga virus informáticos.
 Nunca se debe de ejecutar programas de origen
desconocidos.
 No se debe añadir archivos de datos o programas a
diskettes que contienen programas originales.
 Efectuar periódicamente la depuración de archivos en los
discos duros de la computadora.

11. DAÑOS DE LOS VIRUS.

Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de
tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por
los virus, de acuerdo a la gravedad.

o DAÑOS TRIVIALES.

Sirva como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18
de cada mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus
implica, generalmente, segundos o minutos.

o DAÑOS MENORES.

Montes B. Carlen M Página 25


Virus Informáticos

Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes
13, todos los programas que uno trate de usar después de que el virus haya infectado la
memoria residente. En el peor de los casos, tendremos que reinstalar los programas
perdidos. Esto nos llevará alrededor de 30 minutos.

o DAÑOS MODERADOS.

Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT (File
Allocation Table, Tabla de Ubicación de Archivos), o sobrescribe el disco rígido. En
este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos
reinstalar el sistema operativo y utilizar el último backup. Esto quizás nos lleve una
hora.

o DAÑOS MAYORES.

Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar


desapercibidos, pueden lograr que ni aún restaurando un backup volvamos al último
estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta
archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a
16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives … somewhere
in time" (Eddie vive … en algún lugar del tiempo).

Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en
que detectemos la presencia del virus y queramos restaurar el último backup notaremos
que también él contiene sectores con la frase, y también los backups anteriores a ese.

Puede que lleguemos a encontrar un backup limpio, pero será tan viejo que muy
probablemente hayamos perdido una gran cantidad de archivos que fueron creados con
posterioridad a ese backup.

o DAÑOS SEVEROS.

Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y
progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay
pistas obvias como en el caso del DARK AVENGER (es decir, no podemos buscar la
frase Eddie lives ...).

o DAÑOS ILIMITADOS.

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen


la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no
son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los
privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces
realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.

LOS MACRO VIRUS

los macro virus, son las especies virales que rompieron los esquemas de programación y
ejecución de los virus tradicionales

Montes B. Carlen M Página 26


Virus Informáticos

Los macro virus son una nueva familia de virus que infectan documentos y hojas de
cálculo. Fueron reportados a partir de 1995, cambiando el concepto que los virus tan
sólo podían infectar o propagarse a través de archivos ejecutables.

Los daños que ocasionan estos virus depende de sus autores siendo capaz desde cambiar
la configuración del Windows, borrar archivos de nuestro disco duro, enviar por correo
cualquier archivo que no nos demos cuenta, mandar a imprimir documentos
inesperadamente, guardar los documentos como plantillas, entre otros.

Los Macro Virus, son capaces de tomar el control de ambiente en el que viven.

o CARACTERISTICAS DE LOS MACRO VIRUS :

Los macro virus tienen 2 características básicas :

 Infectan únicamente documentos de MS-Word o Ami Pro


y hojas de cálculo Excel.
 Poseen la capacidad de infectar y propagarse por sí
mismos.

Los macro virus, no pueden grabar los documentos infectados en ningún otro formato
que no sean las plantillas, el archivo es convertido a plantilla y tiende a no permitir
grabar el archivo o documento en ningún otro directorio, usando el comando SAVE AS.

Estos son algunos de los virus más conocidos que afectan a las macros :

 CAP : Es un conjunto de diez macros encriptados (el usuario


infectado no puede verlos ni editarlos), muestra el siguiente texto en la pantalla :

C.A.P : Un virus social...Y ahora digital...


"j4cKy Qw3rTy" (jqw3rty@hotmail.com)
Venezuela, Maracay, Dic 1996

PD : Que haces gochito ? Nunca serás Simón


Bolívar...Bolsa !

Cuando infecta el Word, el virus modifica cinco menús existentes, redireccionándolos al


código del virus. Los problemas que crea son diferentes, dependiendo del tipo de
instalación y el lenguaje del Word que este en uso. Al infectar los documentos, borra
todos los macros preexistentes, pero no tiene un efecto destructivo en sí mismo. Oculta
en el menú de Herramientas la opción Macros.

 WM.CONCEPT : Es un macro virus MS-Word que usa


cinco macros para infectar, y propagarse. Los macros se llaman :

AAAZAO, AAAZFS, AutoOpen, FileSavesAs, Payload.

 WAZZU : Es un macro virus que infecta documentos de


Microsoft Word para Windows, solo contiene la macro Autoopen. Cuando un

Montes B. Carlen M Página 27


Virus Informáticos

documento es abierto el virus genera un número aleatorio mayor a 0 y menor a 1. Si este


número es menor que 0.2, el virus mueve la palabra a otro lugar al azar, dentro del
mismo documento, si el número es menor que 0.25, el virus insertará la palabra :

"wazzu"

 MDMA : Es un virus que borra archivos


específicos de Windows 95, haciendo uso de la macro AutoClose, o el FORMAT.C, el
virus dentro de la macro AutoOpen ordena formatear el disco duro.
 XM.LAROUX :Es el primer macro virus
funcional en EXCEL, descubierto en julio de 1996. El código del macro consiste de dos
macros llamados : Auto_Open y Check_Files. Los macros son almacenados en una hoja
de datos escondida, llamada ´Laroux´.
 XM.SOFA : Descubierto en diciembre de 1996, se
propaga por medio de un archivo llamado BOOK.XLT. Este virus contiene cuatro
macros :

Auto_Open, Auto_Range, Current_Open y Auto_Close.

Cuando se abre un archivo infectado, el virus toma el control y cambia el título arriba de
la ventana a ´Microsofa Excel´ en lugar de ´Microsoft Excel´.

 METODO DE INFECCION Y EFECTOS DE LOS


MACRO VIRUS

INFECCIÓN

Cuando un documento es abierto por primera vez, la aplicación (Word, Excel, etc.)
buscan la presencia del macro AutoOpen, si lo encuentra y la variable global
DisableAutoMacros no está seleccionada, entonces Word o Excel automáticamente
ejecutan el macro AutoOpen (sin notificar nada al usuario). Al igual sucede cuando se
cierra la aplicación, se ejecuta la macro AutoClose si está presente.

En Word, los macros son guardados en archivos denominados "plantillas", así que
durante una infección, los macro virus son capaces de convertir los documentos a
plantillas y copiarse en ellos.

Al momento de ser infectado, los datos son mezclados con código ejecutable, que
normalmente están escondidos a la vista del usuario. Entonces cuando se vea el
documento, este estará infectado, se podrá trabajar normalmente pero la plantilla con
virus seguirá infectando documentos y las macros que utilice.

Los macro Virus infectan la macro global Normal.dot y FileSaveAs, las cuales se
graban automáticamente al final de cada sesión de trabajo.

EFECTOS

Una vez que se infecta un documento u hoja de cálculo, los macro virus son capaces de
adueñarse de las funciones de la aplicación, evitando por ejemplo, que el usuario guarde

Montes B. Carlen M Página 28


Virus Informáticos

la información que ha estado escribiendo por minutos u horas, no se puede mandar a


imprimir, entre otros.

En el caso de Word los macro virus se instalan en la plantilla Normal.dot, que es la que
el usuario utiliza para crear archivos nuevos. Cuando abramos un archivo o lo
guardemos, estaremos infectando los documentos. En Excel ocurre algo similar con el
archivo Personal.XLS. En el menú de la Barra de Herramientas desaparece la opción
Macros.

Los macros virus más conocidos actualmente son de documentos de Microsoft Word.

Los macros son un conjunto de instrucciones y comandos. El lenguaje de macros, es


una herramienta poderosa, nos permite ejecutar tareas como por ejemplo : copiar
archivos, ejecutar programas, cambiar archivos, etc.

 ELIMINACION DE UN MACRO VIRUS


MANUALMENTE.
 El documento
infectado se convierte en plantilla.
 En el menú de
herramientas el virus oculta la opción "Macros".
 Para descubrirlo :
 Menú "Ver" se
escoge la opción "Barra de Herramientas"

Montes B. Carlen M Página 29


Virus Informáticos

 Se pulsa el botón
"personalizar".

Montes B. Carlen M Página 30


Virus Informáticos

 Se escoge la opción
"Herramientas", después "Menú" y por último "Lista de Macros"

Montes B. Carlen M Página 31


Virus Informáticos

 Se pulsa el botón
"Agregar".
 Abrimos el menú
"Herramientas", hacemos click en la opción Macros, luego la opción Normal.dot, ahí
observaremos las macros del virus.

Montes B. Carlen M Página 32


Virus Informáticos

Montes B. Carlen M Página 33


Virus Informáticos

 Crear un nuevo
directorio de archivos.
 Abrir el documento
infectado.
 Seleccionar el
documento y en el menú "Edición", darle la opción copiar.
 Abrir el Word Pad o
el Write y en el menú "Edición" escoger la opción "Pegar".
 Guardar el
documento en el directorio previamente creado.
 Repetir todos los
pasos anteriores con los documentos infectados.
 Eliminar todos los
documentos infectados.

Montes B. Carlen M Página 34


Virus Informáticos

 Borrar la plantilla
"Normal.dot".

ANTIVIRUS

¿QUÉ ES UN ANTIVIRUS?.

No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos
y cada uno de los virus existentes.

Es importante aclarar que todo antivirus es un programa y que, como todo programa,
sólo funcionará correctamente si es adecuado y está bien configurado. Además, un
antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los
casos, sino que nunca será una protección total ni definitiva.

Montes B. Carlen M Página 35


Virus Informáticos

La función de un programa antivirus es detectar, de alguna manera, la presencia o el


accionar de un virus informático en una computadora.

Este es el aspecto más importante de un antivirus, independientemente de las


prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible
presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es
suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un
antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.

LOS ANTIVIRUS INFORMATICOS

Un antivirus es cualquier metodología, programa o sistema para prevenir la activación


de los virus, su propagación y contagio dentro de un sistema y su inmediata eliminación
y la reconstrucción de archivos o de áreas afectadas por los virus informáticos.

Los antivirus permiten la detección y eliminación de virus. Un virus es identificado


mediante una cadena del antivirus que busca, encuentra y elimina los distintos virus
informáticos.

El software antivirus contrarresta de varias maneras los efectos de los virus informáticos
para detectarlos. La mayoría de las soluciones se basan en tres componentes para la
detección : exploración de acceso, exploración requerida, y suma de comprobación.

La exploración de acceso : Inicia automáticamente una exploración de virus, cuando se


accede a un archivo, es decir al introducir un disco, copiar archivos, ejecutar un
programa, etc.

La exploración requerida : El usuario inicia la exploración de virus. Las exploraciones


se pueden ejecutar inmediatamente, en un directorio o volumen determinado.

La suma de comprobación o comprobación de integridad : Método por el que un


producto antivirus determina si se ha modificado un archivo.

Como el código vírico se une físicamente a otro archivo, se puede determinar tal
modificación guardando la información del archivo antes de la infección.

La suma de comprobación es generalmente exacta y no necesita actualizaciones. Sin


embargo la suma de comprobación no proporciona ni el nombre, ni el tipo de virus.

Los programas antivirus se componen fundamentalmente de dos partes : un programa


que rastrea (SCAN), si en los dispositivos de almacenamiento se encuentra alojado
algún virus, y otro programa que desinfecta (CLEAN) a la computadora del virus
detectado.

TIPOS DE ANTIVIRUS

 Antivirus Detectores o Rastreadores :


Son aquellos antivirus que usan técnicas de búsqueda y detección explorando o
rastreando todo el sistema en busca de un virus. Estos programas se utilizan para
detectar virus que pueden estar en la memoria, en el sector de arranque del disco duro,

Montes B. Carlen M Página 36


Virus Informáticos

en la zona de partición del disco y en algunos programas. Dependiendo de la forma de


analizar los archivos los podemos clasificar a su vez en antivirus de patrón y heurístico.
 Antivirus de Patrón : Realizan el análisis
de los archivos por medio de la búsqueda en el archivo de una cualidad particular de los
virus. Existen antivirus específicos para un determinado virus, conociendo su forma de
atacar y actuar.
 Antivirus Heurístico : Este antivirus
busca situaciones sospechosas en los programas, simulando la ejecución y observando
el comportamiento del programa.
 Limpiadores o Eliminadores : Una vez
desactivada la estructura del virus procede a eliminar o erradicar el virus de un archivo,
del sector de arranque de un disco, en la zona de partición de un disco y en algunos
programas.

Estos antivirus deben tener una base de datos con información de cada virus para saber
que método de desinfección deben usar para eliminar el virus.

Dependiendo de los efectos de la especie viral procederá a reconstruir las partes


afectadas por el virus informático.

 Protectores o Inmunizadores: Es un
programa para prevenir la contaminación de virus, estos programas no son muy usados
porque utilizan mucha memoria y disminuyen la velocidad de la ejecución de algunos
programas y hasta del computador.
 Residentes: Permanecen en memoria para
el reconocimiento de un virus desde que es ejecutado. Cada vez que cargamos un
programa, el antivirus lo analiza para verificar si el archivo esta infectado o no, con
algún virus informático.

TECNICAS DE LOS ANTIVIRUS

 Escaneo de Firmas : La mayoría de los


programas antivirus utilizan esta técnica. Revisan los programas para localizar una
secuencia de instrucciones que son únicas de los virus.
 Chequeo de Integridad: Utilizan el
Chequeo de Redundancia Cíclica (CRC), es decir toman las instrucciones de un
programa como si fuesen datos y se hace un cálculo, se graban en un archivo los
resultados, y luego se revisa si el programa fué modificado o alterado.
 Monitoreo: Interceptan o bloquean
instrucciones sospechosas o riesgosas, por ejemplo cuando un programa pide cargarse
en memoria y permanecer residente, alterar el área de arranque o modificar un archivo
de algún programa. Esta técnica funciona residente en memoria supervisando
continuamente cuando se ejecuta un programa, entonces intercepta los llamados a
funciones sospechosas.
 Análisis Heurístico : Analiza cada
programa sospechoso sin ejecutar sus instrucciones, lo que hace es desensamblar el
código de máquina para saber que haría el programa si se ejecuta. Avisa al usuario si el
programa tiene instrucciones para hacer algo raro en un programa normal, pero que es
común en los virus, puede revisar varios o todos los programas de un disco, e indica que
puede suceder algo raro cuando se ejecute el programa.

Montes B. Carlen M Página 37


Virus Informáticos

ANTIVIRUS INTERNACIONALES

La primera generación de antivirus eran vacunas TSR o eliminadores para cada especie
de virus. Entre ellos estaban el BBSTOP para el Bouncing Ball, BRSTOP para el Brain,
MBSTOP para el Marihuana, los cuales debían instalarse en el Autoexec.bat para poder
proteger el sistema contra estos virus. Cuando la programación de virus aumentó se
volvió imposible ubicar las diferentes vacunas residentes en la memoria y ello motivó la
generación de los softwares antivirus.

Uno de los primeros programas antivirus fueron : FLU-SHOT, VPROTECT y


VIRUSCAN.

Actualmente existen muchos programas antivirus, con diversos estilos de programación


nombres como el Dr. SOLOMON´S Toolkit de Alan Solomon, NORTON ANTIVIRUS
de Symantec, CPAV de Central Point, F-PROT de Fridrik Skulason, VIRUSSCAN de
McAfee entre otros.

A continuación algunos antivirus extranjeros y sus características :

 TBAV : THUNDERBYTE ANTIVIRUS

El Thunderbyte Antivirus provee : Detección por firmas (TbScan), chequeo de


integridad por cálculo (TbSetup y TbScan), bloqueo de instrucciones sospechosas
(TbMem, TbFile y TbDisk).

 F-PROT ANTIVIRUS

Brinda detección de virus por firmas y detección heurística de instrucciones


sospechosas.

 ANTIVIRUS ANYWARE

Protección permanente, reconoce y elimina más de 11,400 virus, incluyendo los macro
virus. Detecta virus no conocidos mediante el método heurístico, analiza los archivos
comprimidos.

 VIRUSSCAN DE MCAFEE

Fácil de instalar no ocupa mucha memoria, tiene una grande base de datos, incluyendo
los virus macros, permanece en memoria, se actualiza constantemente por Internet.

Entre otros antivirus extranjeros tenemos :

 Cheyenne Antivirus
 Forefront Antivirus
 IBM Antivirus
 Pc-Cillin II
 Panda Software

Montes B. Carlen M Página 38


Virus Informáticos

ANTIVIRUS NACIONALES

 THE HACKER

Hacksoft es una empresa peruana dedicada al desarrollo de software de seguridad de


datos.

La empresa tiene un prestigio ganado por su producto THE HACKER, el cual protege,
detecta y elimina a virus informáticos, esta empresa también brinda el servicio de
asesoramiento y recuperación de la información.

Las primeras investigaciones en el área se inician a finales de 1,990 la primera versión


del antivirus THE HACKER es emitida en agosto de 1,992.

 PER ANTIVIRUS

En 1,993 se crea PER SYSTEM S.A., que tiene como principal servicio el desarrollo de
software aplicativo para PC´s, haciendo uso en primera instancia del Lenguaje BASIC,
luego del Quick BASIC y posteriormente del Turbo Pascal.

En 1,985, inicia sus investigaciones sobre los virus informáticos debido a la aparición
en Lima y rápida propagación de los virus (c) Brain y Bouncing Ball (Bolita Saltarina),
concibiendo así el antivirus PER cumpliendo con las expectativas de los usuarios de esa
época, desarrollando permanentemente estudios de investigación como aporte
empresarial para la detección, eliminación y prevención de virus a las diferentes
Instituciones y Entidades Públicas como a usuarios.

Montes B. Carlen M Página 39


Virus Informáticos

CONCLUSIONES GENERALES

En razón de lo expresado pueden extraerse algunos conceptos que pueden considerarse


necesarios para tener en cuenta en materia de virus informáticos:

 No todo lo que afecte el normal funcionamiento de


una computadora es un virus.
 TODO virus es un programa y, como tal, debe ser
ejecutado para activarse.
 Es imprescindible contar con herramientas de
detección y desinfección.
 NINGÚN sistema de seguridad es 100% seguro.
Por eso todo usuario de computadoras debería tratar de implementar estrategias de
seguridad antivirus, no sólo para proteger su propia información sino para no
convertirse en un agente de dispersión de algo que puede producir daños graves e
indiscriminados.

Para implementar tales estrategias deberían tenerse a mano los siguientes elementos:

 UN DISCO DE SISTEMA PROTEGIDO CONTRA


ESCRITURA Y LIBRE DE VIRUS: Un disco que contenga el sistema operativo
ejecutable (es decir, que la máquina pueda ser arrancada desde este disco) con
protección contra escritura y que contenga, por lo menos, los siguientes comandos:
FORMAT, FDISK, MEM y CHKDSK (o SCANDISK en versiones recientes del MS-
DOS).
 POR LO MENOS UN PROGRAMA ANTIVIRUS
ACTUALIZADO: Se puede considerar actualizado a un antivirus que no tiene más de
tres meses desde su fecha de creación (o de actualización del archivo de strings). Es
muy recomendable tener por lo menos dos antivirus.
 UNA FUENTE DE INFORMACIÓN SOBRE VIRUS
ESPECÍFICOS: Es decir, algún programa, libro o archivo de texto que contenga la
descripción, síntomas y características de por lo menos los cien virus más comunes.
 UN PROGRAMA DE RESPALDO DE ÁREAS
CRÍTICAS: Algún programa que obtenga respaldo (backup) de los sectores de
arranque de los disquetes y sectores de arranque maestro (MBR, Master Boot Record)
de los discos rígidos. Muchos programas antivirus incluyen funciones de este tipo.
 LISTA DE LUGARES DÓNDE ACUDIR: Una buena
precaución es no esperar a necesitar ayuda para comenzar a buscar quién puede
ofrecerla, sino ir elaborando una agenda de direcciones, teléfonos y direcciones
electrónicas de las personas y lugares que puedan servirnos más adelante.

Si se cuenta con un antivirus comercial o registrado, deberán tenerse siempre a mano los
teléfonos de soporte técnico.

 UN SISTEMA DE PROTECCIÓN RESIDENTE:


Muchos antivirus incluyen programas residentes que previenen (en cierta medida), la
intrusión de virus y programas desconocidos a la computadora.
 TENER RESPALDOS: Se deben tener respaldados en
disco los archivos de datos más importantes, además, se recomienda respaldar todos los
archivos ejecutables. Para archivos muy importantes, es bueno tener un respaldo doble,

Montes B. Carlen M Página 40


Virus Informáticos

por si uno de los discos de respaldo se daña. Los respaldos también pueden hacerse en
cinta (tape backup), aunque para el usuario normal es preferible hacerlo en discos, por el
costo que las unidades de cinta representan.
 REVISAR TODOS LOS DISCOS NUEVOS ANTES
DE UTILIZARLOS: Cualquier disco que no haya sido previamente utilizado debe ser
revisado, inclusive los programas originales (pocas veces sucede que se distribuyan
discos de programas originales infectados, pero es factible) y los que se distribuyen
junto con revistas de computación.
 REVISAR TODOS LOS DISCOS QUE SE HAYAN
PRESTADO: Cualquier disco que se haya prestado a algún amigo o compañero de
trabajo, aún aquellos que sólo contengan archivos de datos, deben ser revisados antes de
usarse nuevamente.
 REVISAR TODOS LOS PROGRAMAS QUE SE
OBTENGAN POR MÓDEM O REDES: Una de las grandes vías de contagio la
constituyen Internet y los BBS, sistemas en los cuales es común la transferencia de
archivos, pero no siempre se sabe desde dónde se está recibiendo información.
 REVISAR PERIÓDICAMENTE LA
COMPUTADORA: Se puede considerar que una buena frecuencia de análisis es, por
lo menos, mensual.

Finalmente, es importante tener en cuenta estas sugerencias referentes al


comportamiento a tener en cuenta frente a diferentes situaciones:

 Cuando se va a revisar o desinfectar una


computadora, es conveniente apagarla por más de 5 segundos y arrancar desde un disco
con sistema, libre de virus y protegido contra escritura, para eliminar virus residentes en
memoria. No se deberá ejecutar ningún programa del disco rígido, sino que el antivirus
deberá estar en el disquete. De esta manera, existe la posibilidad de detectar virus
stealth.
 Cuando un sector de arranque (boot sector) o de
arranque maestro (MBR) ha sido infectado, es preferible restaurar el sector desde algún
respaldo, puesto que en ocasiones, los sectores de arranque genéricos utilizados por los
antivirus no son perfectamente compatibles con el sistema operativo instalado. Además,
los virus no siempre dejan un respaldo del sector original donde el antivirus espera
encontrarlo.
 Antes de restaurar los respaldos es importante no
olvidar apagar la computadora por más de cinco segundos y arrancar desde el disco libre
de virus.
 Cuando se encuentran archivos infectados, es
preferible borrarlos y restaurarlos desde respaldos, aún cuando el programa antivirus
que usemos pueda desinfectar los archivos. Esto es porque no existe seguridad sobre si
el virus detectado es el mismo para el cual fueron diseñadas las rutinas de desinfección
del antivirus, o es una mutación del original.
 Cuando se va a formatear un disco rígido para
eliminar algún virus, debe recordarse apagar la máquina por más de cinco segundos y
posteriormente arrancar el sistema desde nuestro disquete limpio, donde también debe
encontrarse el programa que se utilizará para dar formato al disco.
 Cuando, por alguna causa, no se puede erradicar
un virus, deberá buscarse la asesoría de un experto directamente pues, si se pidiera

Montes B. Carlen M Página 41


Virus Informáticos

ayuda a cualquier aficionado, se correrá el riesgo de perder definitivamente datos si el


procedimiento sugerido no es correcto.
 Cuando se ha detectado y erradicado un virus es
conveniente reportar la infección a algún experto, grupo de investigadores de virus,
soporte técnico de programas antivirus, etc. Esto que en principio parecería innecesario,
ayuda a mantener estadísticas, rastrear focos de infección e identificar nuevos virus, lo
cual en definitiva, termina beneficiando al usuario mismo.

Ranking de los más difundidos

1) VBS/LoveLetter: Este virus se distribuye a través del e-mail, en un


archivo llamado LOVE-LETTER-FOR-YOU.TXT.vbs. El LoveLetter worm se
activa sobresescribiendo archivos de imágenes y música en drives locales y de red,
específicamente archivos con extensión JPG, JPEG, MP3 y MP2

2) Win32/SKA: Este virus generalmente es enviado con el nombre


Happy99.exe. Este troyano se encarga de enviar una copia de si mismo a todas las
personas a las cuales se les envía un E-mail.

3) W97/Melissa: El virus se propaga tomando las primeras 50 direcciones del Outlook


Global Address Book del usuario

4) Win32/Pretty Park: Este programa cuando corre se copia a si mismo


al FILES32.VXD, Y usa al VXD vía el entorno para ejecutar algunos
archivos ejecutables. Esto hace que el virus se re-envía a si mismo a toda la libreta de
direcciones

5) W97M/Ethan.A: es un virus de macro de Word97, El virus se propaga a si mismo


por la Normal.dot. Hay 3 de 10 chances que el virus modifique las propiedades del
documento in fectado de archivos infectados.

¡¡HACKERS!!

Montes B. Carlen M Página 42