UNIVERSIDAD DE LAS CIENCIAS INFORMTICAS

Seminario 5 de Historia de la Informtica

Evolucin de los macro virus y los virus adjuntos.

Yunier Lpez Martnez David Gonzlez Gonzlez Nstor Enrique Gonzlez Bravo 20/11/2012

ndice
Introduccin...................................................................................................3 Desarrollo.......................................................................................................5 Definicin....................................................................................................5 Macrovirus................................................................................................5 Virus adjuntos..........................................................................................5 Historia a partir del perodo comprendido...................................................6 Medidas preventivas para evitar la infeccin..............................................8 Cmo eliminarlos luego de la infeccin? ................................................10 Conclusiones................................................................................................11 Referencias bibliogrficas .....................................................................................................................12

Introduccin
La paternidad de la idea de un programa capaz de reproducirse se le atribuye a John von Neumann por su artculo "Theory and Organization of Complicated Automata" del ao 1949. Von Neumann estaba interesado en la creacin de vidas artificiales electrnicamente, a las que daba el nombre de autmatas que, segn l, podan reproducirse sin excesiva dificultad. Tambin por aquel entonces, cuando empezaban a desarrollarse los primeros ordenadores, se vio la necesidad de llevar a la computadora a un estado inicial conocido, eliminando rastros de otros programas previamente cargados. Una solucin muy ingeniosa consista en implementar una instruccin que simplemente se copiaba a la siguiente posicin de memoria y saltaba a ella para seguir ejecutndose. De esta forma todo el mapa de memoria se llenaba con un nico valor conocido: el cdigo correspondiente a la instruccin. Este fue otro ejemplo claro de cdigo capaz de reproducirse. Seguramente basado en l, ms adelante, en los aos 60, cobr gran popularidad el juego "Core Wars", diseado en los laboratorios Bell de AT&T: dos jugadores lanzaban simultneamente sus programas que se reproducan en memoria hasta que sta se agotaba. Ganaba aquel que fuera capaz de "conquistar" ms memoria, para lo cual era perfectamente legal "matar" a las copias del adversario y "robarle" esa memoria. Aparte del mramente ldico, tambin se trat de darle un uso algo ms prctico a este tipo de programas, y as, a finales de los aos 70, dos investigadores del Centro de Investigacin Xerox de Palo Alto, California, idearon un programa que deba encargarse de las labores de mantenimiento y administracin del complejo, al que dieron el nombre de "gusano". El programa "dorma" por el da y por la noche se propagaba por todos los ordenadores del Centro haciendo copias de seguridad y otras tareas de gestin. Todo esto en la teora, porque en la prctica el gusano escap de los ordenadores de prueba del laboratorio, se extendi por toda la red y paraliz todas las mquinas. Al intentar eliminarlo, segua reapareciendo, as que no hubo ms remedio que crear otro programa vermicida que fuera por todas las mquinas matando copias del gusano. Por otra parte, ya no en el caso de un particular, sino en el de las empresas, es muy posible que no puedan permitirse esperar a que se saque la siguiente versin de un 3

antivirus que elimine el que les afecta, y necesiten que alguien realice un estudio inmediato de su virus, identifique su forma de actuar, sus efectos, y se pueda poner a corregirlos cuanto antes. Esta serie de artculos tratar de dar cumplida visin del funcionamiento y tcnicas de estos programas, pensando que el conocimiento y el entendimiento son dos armas bsicas en la lucha contra cualquier amenaza.

Desarrollo

Definicin
Macrovirus.
Un Macrovirus es un virus programado en lenguaje de "macro" de una aplicacin, que infecta a los archivos de informacin generados por dicha aplicacin para generar copias de s mismo, tomar el control del sistema y generar algn tipo de dao. En la actualidad la mayora de los macrovirus estn escritos con el lenguaje de programacin de macros del Microsoft Office para Windows (Word Basic es un subconjunto del lenguaje Visual Basic) y pueden ser desarrollados para cualquiera de sus aplicaciones (Word, Excell y Access). Los macrovirus cumplen tambin con la norma D.A.S. (Dao, Autor reproductores y Subrepticios).[1] Los documentos de texto, las bases de datos o las hojas de clculo, no son programas y por ello no deberan ser infectados por ningn virus. No obstante, en cada uno de los ficheros creados con este tipo de aplicaciones (Word, Excel, PowerPoint, o Access) se pueden definir macros y stas s son susceptibles de ser infectadas. Los virus de macro son aquellos que infectan exclusivamente este tipo de documentos, hojas de clculo, presentaciones, o bases de datos que pueden incluir macros. A travs de las macros infectadas, los virus de macro pueden infectar otros documentos, otros programas, las plantillas, etc. Para extenderse de forma sencilla y rpida, este tipo de virus se encarga de infectar la plantilla genrica (de Word o de Excel). Mediante esta accin, ser posible infectar todos aquellos documentos o libros que se abran con la plantilla infectada. Los virus de macro, se pueden identificar por su nombre: W97M..., W00M... (Virus de macro que afectan a Word 97 y Word 2000, respectivamente); X97M..., X00M... (Virus de macro que afectan a Excel 97 y Excel 2000, respectivamente); O97M (Virus de macro que afectan a Word 97 y a Excel 97); etc.[2] Virus adjuntos. Los virus en archivos anexados (adjuntos) no constituyen una tcnica de programacin de virus, son tan slo una modalidad de propagarlos. 5

Esta consiste en enviar un mensaje de correo con un archivo anexado o adjunto, que contiene el virus, el cual al ser abierto ejecuta su payload, con consecuencias de dao inmediato o mediato a los sistemas de los usuarios, que por motivos de curiosidad o descuido cometan el error de abrir estos archivos.

Historia a partir del perodo comprendido.

Anterior a la dcada de los 90 el sistema de ataque de los virus era simple y catastrfico, y dado que an no exista una conciencia de la correcta utilizacin de las primeras herramientas antivirus disponibles los daos eran mucho mayores. Este estudio prev una tendencia de cuadruplicacin anual de las prdidas al menos por dos aos. Los factores determinantes de esta tendencia son: la creciente dependencia computacional de las corporaciones y el progresivo uso de Internet para aplicaciones corporativas.[2] La idea de un virus programado en el lenguaje de macros comenz a considerarse a principios de la dcada del 90. Los primeros macrovirus de difusin masiva fueron programados para Word 6.0. Su aparicin produjo una gran alarma en los mbitos de la seguridad informtica porque estos virus rompan una parte del paradigma de seguridad informtica: los archivos que podan ser infectados eran slo ejecutables.[2] El funcionamiento bsico de un macrovirus consiste en que cuando una aplicacin abre un archivo infectado, la aplicacin se infecta y cada vez que se genera un archivo nuevo o se modifique uno existente, se infectar tambin. As contina una cadena de dispersin de crecimiento altamente exponencial pues las personas generan muchos documentos.[2] Cuando un macrovirus infecta un documento sano, este documento deja de ser autntico de Word y se convierte en una plantilla. El formato interno de una plantilla difiere del de un documento puro; la encargada de realizar esta transformacin es una rutina de macrovirus. El cdigo del macrovirus tambin tiene que asegurarse de que cuando se infecta un nuevo documento, este sea grabado como plantilla pero manteniendo la extensin original. Esta caracterstica se debe a que slo en las plantillas pueden grabarse las macros y a que, adems de tener que abrirse el documento deben interpretarse sus macros. [3]

El lenguaje para programacin de macros desarrollado por Microsoft para las aplicaciones Office es el Word Basic que a su vez es un subconjunto del Visual Basic. Hasta la aparicin de Internet, los virus se propagaban de pas a pas va telefnica o transportados en disquete. Internet aport un canal de propagacin de virus que permite que estos se transmitan con la misma velocidad de un mensaje electrnico. La causa de esta vulnerabilidad se basa en el poco o nulo nivel de seguridad antivirus de las redes que la componen y de los usuarios que la utilizan. El servicio de Internet que ms aporta a la dispersin de virus es el correo electrnico (gracias a los macrovirus). Segn la International Security Association, los virus macro conforman el 80% de todos los virus circulantes en el mundo y son los que ms rpidamente han crecido en la historia de las computadoras los ltimos 7 aos. Los virus macro no son exclusivos de ningn sistema operativo y se diseminan fcilmente a travs de archivos adjuntos de e-mails, disquetes, programas obtenidos en Internet, transferencia de archivos y aplicaciones compartidas. Algunos documentos (WORD, EXCEL, Algunos documentos del Paquete Smart Suite de LOTUS) si bien no son ejecutables, sino documentos, tiene la posibilidad de ser PROGRAMADOS a travs de una serie de comandos conocidos como MACROS a travs de un subconjunto de instrucciones conocidas como Visual Basic para Aplicaciones. Algunas macros son tan potentes que deben considerarse instrucciones de programacin. Este es el caso de las macros del paquete Office de Microsoft (que engloba entre otros productos a Word y Excel), y a travs de ellas, es posible programar rutinas que borren archivos o destruyan informacin. Las macros del paquete Office, son en realidad un subconjunto de instrucciones de Visual Basic y son muy fciles de crear. Pueden infectar diferentes puntos de un archivo en uso, por ejemplo, cuando ste se abre, se graba, se cierra o se borra. Este tipo de virus se activa al abrir un archivo infectado dentro del procesador de texto, o planilla de clculo. En el caso de Word, que es el tpico caso de reproduccin de virus de Macro, al momento de abrir el procesador, se abre un archivo que contiene informacin llamado NORMAL.DOT, que es la plantilla maestra del procesador de textos. Este archivo es abierto cada vez que se inicia el procesador de textos. Ahora bien, los virus aprovechan esta debilidad del programa Word para directamente (al activarse), infectar el archivo NORMAL.DOT. Con eso se aseguran que cada vez que se inicie el procesador de texto, se escriba una carta, o abra un archivo, se reproduzca el virus a travs de la ejecucin de sus rutinas dentro de la plantilla maestra.[2] 7

El nico peligro de que una computadora se infecte con un virus informtico a travs de Internet es a travs de la ejecucin de un archivo ejecutable o documento con macros que haya sido adosado a un mensaje de un correo electrnico o bajado de algn sitio. Dentro de este grupo, se incluyen a dos tipos de virus: los que adjuntos a un correo electrnico hacen llegar un archivo que necesariamente debe abrirse o ejecutarse para activar el virus, un ejemplo es Melissa un virus precursor de esta variedad o modalidad, tambin se encuentran los gusanos (worms) que aprovechan los agujeros de seguridad de programas de correo electrnico para infectar a las computadoras, de los cuales BubbleBoy fue el precursor. Esta variedad difiere de los otros virus en el hecho de que no necesitan de la ejecucin de un programa independiente (adjuntos) para ser activados, sino que ingresan e infectan a las PC's con la simple visualizacin del mail. Hasta la aparicin de estos virus, la infeccin era provocada por un descuido del usuario, pero a partir de ellos, la infeccin puede producirse aun manteniendo protocolos de seguridad impecables. Aprovechan fallas de los programas y de ese modo ingresan a las computadoras. De este modo, no es necesaria la impericia del usuario, sino mantenerse informado constantemente de los fallos de seguridad de los programas usados, cosa muy difcil de realizar para el usuario comn. Por todos es conocida la poltica obsesiva de las empresas productoras de software de producir programas "amigables", que complican la programacin y llevan a cuidar estticamente un producto y a fallar en funciones esenciales. [2]

Medidas preventivas para evitar la infeccin.

Con slo comprobar cada uno de los archivos ejecutables y de informacin con lenguaje de macro que llegue por va Internet, se tendr controlado el riesgo (aunque en seguridad informtica no hay nada 100% seguro). Algunas medidas que deben ser tomadas para garantizar la seguridad de una computadora: [4] 1. Instalar un buen y confiable Antivirus: Actualizndolo diariamente o cada vez que hubiera actualizaciones disponibles. Estas deben tener vacunas en tiempo real (evitara el acceso de virus en tiempo real) y protecciones heursticas. 2. Utilizar un Sistema Operativo seguro: Gran porcentaje de los virus tienen como objetivo atacar a los sistemas operativos de Microsoft por ser los ms utilizados por los 8

usuarios (o los ms vulnerables). Las versiones de Windows diseadas para el mercado domstico son especialmente vulnerables, por lo que se recomienda utilizar los que tengan gestin de usuarios, permisos, seguridad, etc., como Windows 2000, Windows 7 (teniendo activado el Control de cuentas de usuario), etc. 3. Evitar instalar programas desconfiables o inseguros: No descargar programas que se desconozcan y que no se sepa si son seguros. Tambin evitar utilizar programas P2P (programa de descarga de msica, videos, etc.) como Ares, eMule, entre otros. 4. Ejecutar Windows Update: Es una herramienta de Microsoft que ayuda a parchar su sistema operativo con el fin de evitar ataques virales o de hackers producto de vulnerabilidades. Puede descargar estos parches desde la web oficial de "Windows Update" en el siguiente enlace: www.windowsupdate.com. En algunos Sistemas Operativos como Windows 7/Vista/XP las actualizaciones son automticas previa configuracin del "Centro de Seguridad" en el "Panel de Control".[5] 5. No abrir archivos adjuntos por correo, chat, etc.: No abrir ni ejecutar archivos de personas desconocidas o que no se hayan pedido. 6. No arrancar desde un disco flexible o usb: Retirar cualquier disco flexible (disquete) o usb cuando inicie el ordenador. 7. Poner contraseas al ordenador: Establecer contraseas seguras tanto para el acceso a su sistema operativo como para sus carpetas compartidas (solo lectura), de preferencia estas deben tener caracteres especiales (ejemplo: R3nz0, Pctov4r, etc.). 8. No visitar pginas de hackeo, paginas xxx, casinos online y no aceptar "certificados de confiabilidad": Cuando usted visita paginas de dudosa procedencia es probable que estas intenten instalar o ejecutar en su ordenador algunos componente peligrosos (activex, scripts, etc.) con la finalidad de acceder a su ordenador o instalar un programa espa. Si acepta algunos permisos o certificados es muy probable tambin que abra las puertas de su PC hacia un ataque inminente. 9. Instalar un programa cortafuegos (Firewall): Los Firewalls son un buen mecanismo de seguridad contra ataques que provienen de Internet/Red, estos evitan intrusiones hacia nuestro ordenador o el robo de informacin. Actualmente varios antivirus ya vienen con firewall. 10. No permitir utilizar su PC a otras personas: Si se presta el ordenador personal a otras personas, no se sabr lo que hacen o lo que instalan y es probable que lo infecten. 11. Un programa 'Congelador' (opcional): Se puede utilizar un programa 'congelador' que evita que se graben cualquier archivo, programa o 'virus' en su ordenador.

Cmo eliminarlos luego de la infeccin?

Si su ordenador se infect con virus, spyware o cualquier tipo de malware y le es difcil desinfectarlo, le recomendamos realizar las siguientes indicaciones, para una eliminacin efectiva de estos parsitos informticos (si se trabaja con un sistema operativo de la familia Windows): [6] 1. Reiniciar en "Modo Seguro":

Inicie en "Modo Seguro" (7/Vista/XP/2003/2000)

Nota: Si Windows no inicia con ninguna de estas formas, intente con "La ltima configuracin buena conocida" (7/Vista/XP/2003/2000) 2. Mostrar los archivos y las extensiones ocultas: Para "Mostrar los archivos y carpetas ocultos y las extensiones para tipos de archivos conocidos": mostrar archivos ocultos y extensiones. 3. Proceder a la limpieza:

Elimine todos los archivos temporales Vace la papelera de reciclaje. Desinstale los programas sospechosos Ejecute su antivirus actualizado y analice toda su PC. Ejecute su antispyware actualizado y analice su PC.

4. Instalar un cortafuegos temporalmente: Es probable que el virus o el hacker quiera atacar nuevamente su Ordenador, para evitar esto sera recomendable que instale un Firewall temporalmente. 5. Instalar los parches de Microsoft Corp: Instale los parches crticos e importante de Microsoft Corp. desde el siguiente enlace: http://www.windowsupdate.com/, esta pgina analizar en lnea su Ordenador y le mostrar lo que debe instalar para estar protegido.

10

Conclusiones
Con el avance de las tecnologas, informacin y las comunicaciones han avanzado los virus informticos, entre ellos los entre ellos los macro virus y virus adjuntos, ya que con la aparicin de internet se han incrementado exponencialmente, la propagacin de los mismos, y a su vez se ha convertido en un gran negocio para las compaas que se dedican al negocio de seguridad, produccin de antivirus, lo que nos obliga a los usuarios a estar cada vez ms pendientes de la seguridad de nuestros ordenadores y cada vez gastar ms dinero pagando programas que aseguren esta seguridad tan deseada por todos.

11

Referencias bibliogrficas
[1] [2] [3] [4] [5] [6] Macrovirus. Available: http://www.oni.escuelas.edu.ar/2003/buenos_aires/73/Macrovirus.htm C. d. autores, "VIRUS & ANTIVIRUS ". A. Caravantes. (1997). Virus macro. Available: http://www.eumed.net/grumetes/macrovir.htm/ Seguridadpc.net. (2012). Cmo prevenir los virus. Available: http://www.seguridadpc.net/evita_infect.htm Microsoft. (2012). Cmo eliminar y evitar los virus informticos. Available: http://www.microsoft.com/es-xl/security/pc-security/antivirus.aspx Seguridadpc.net. (2012). Eliminar los virus informticos. Available: http://www.seguridadpc.net/elimina_virus.htm

12