Entorno nuclear
LOS VIRUS INFORMTICOS
Por Ing. Armando Lpez Miranda
(alm@nuclear.inin.mx) y M.C. Jos Luis Angeles
Vargas (jav@nuclear.inin.mx)
Introduccin
Por muchos aos, nuestro grupo de trabajo
de servicio a bienes informticos ha brindado
mantenimiento a los equipos personales de
cmputo y sus perifricos, tanto software como
hardware. Ante la proliferacin de virus
informticos se ha incrementado la cantidad
de servicios derivados de la actividad de estos
cdigos maliciosos; por tal razn, en este art-
culo se explican la actividad y el comporta-
miento de estos cdigos y sus diversas tcni-
cas de programacin o modalidades de pro-
pagacin, tales como gusanos, troyanos y
backdoors de control remoto, transmitidos a
travs de mensajes de correo electrnico, ca-
nales de Chat, redes de archivos compartidos
Peer to Peer, como Kazaa, Morpheous,
BearShare, FTP, HTTP, Telnet, servicios de
mensajera instantnea tales como MSN
Messenger, Yahoo Messenger, Netscape o AOL
Messenger, ICQ u otros medios.
Qu son los virus?
Son programas o cdigos que han sido dise-
ados y desarrollados con el propsito de in-
filtrarse en un sistema de cmputo, para infec-
tar archivos y programas del equipo cada vez
que se activa el virus. Estos cdigos malicio-
sos tienen la caracterstica inherente de pro-
3 6 Contacto Nuclear
pagar copias de s mismos y, en ocasiones, se
ocultan en otras aplicaciones o archivos. Son
programas que ejecutan una accin que pue-
de resultar una broma o una rutina que causa
dao.
Usualmente el dao se limita a borrar y alterar
archivos. En algunos casos puede borrar el
disco duro, y en otros, corromper el FLASH BIOS
e inutilizar la mquina hasta que se restaure
esa memoria. Aunque en ocasiones se reciben
mensajes que hablan de un virus que destruye
el disco duro o algo as, hoy da no hay
virus que causen daos fsicos a las
computadoras.
Para que un virus infecte un sistema, se debe
ejecutar. No puede infectar un sistema si slo
se ha copiado. En el caso de los virus de macro
(Word y Excel) el sistema avisa, ya que pre-
gunta si se desea ejecutar la macro, que des-
graciadamente puede ser un programa inofen-
sivo o un virus. Adems, usualmente lo prime-
ro que hacen es desactivar ese aviso. Actual-
mente existe una nueva generacin de virus
en los mensajes de correo HTML, que bajo
Windows pueden activarse al ver el correo
dentro de Outlook.
Caballos de Troya
Existe otro tipo de programas, llamados tam-
bin virus, aunque en realidad funcionan de
una manera distinta. Sin embargo muchas ve-
ces estn asociados con los virus. Entre ellos X
estn son los llamados troyanos debido a
que, por lo general, vienen ocultos dentro de
un programa. Picture.exe y Show.exe son dos
ejemplos claros pues se pueden confundir con
juegos, pero liberan el troyano, que sin darse
uno cuenta, se introduce al sistema. El prop-
sito de los troyanos es muy variado: tomar
control de una mquina, robar passwords,
enviar correo, espiar, utilizar la mquina para
atacar un sistema de cmputo. Su uso est
libre a la imaginacin del autor. Para los es-
pecialistas, stos no son realmente virus pues-
to que no se reproducen por s solos, ni infec-
tan archivos. Algunos virus son portadores de
troyanos.
Gusanos
Otra variante de estos programas son los lla-
mados gusanos (worms, en ingls), que son
programas que se introducen en los sistemas
de cmputo, pero no infectan archivos. Pue-
den permanecer ocultos y responder a algu-
nas acciones de parte del usuario o esperar a
cierta fecha para ejecutar alguna accin. Ac-
tualmente, los virus ms recientes son mezcla
de virus y gusanos, lo que muchas veces cau-
sa controversia entre los especialistas sobre
como clasificarlos.
Engaos
Cada ao aparecen miles de virus reales y
tambin cientos de virus imaginarios, descri-
tos en correos que siempre incluyen una frase
invitando a alertar a sus conocidos. Estos
mensajes de engao (hoax) tienen el propsi-
to de generar pnico. Es importante no caer
en el juego y no distribuir dichos avisos por-
que son aprovechados para vulnerar la segu-
ridad y recolectar direcciones de los
manejadores de correo electrnico. Usualmen-
te al reenviarse una y otra vez, los correos
pueden conservar las direcciones de todas las
personas que los han enviado. Estas direccio-
nes pueden usarse para producir correo spam
(anuncios no solicitados) o para realizar ata-
ques por programadores de virus.
La mayora de estos mensajes son fciles de
identificar ya que tienen un tono alarmista y
dicen que el virus destruir su computadora
en cuanto el mensaje es ledo. Esto ltimo es
muy importante, ya que a pesar de que ya
existen algunos virus como bubbleboy que
pueden infectar con slo leer el correo, el 99.9%
de todos los virus, troyanos y gusanos, slo
pueden actuar si se activa el ejecutable, que
es usualmente un archivo adjunto en el co-
rreo. La gran mayora son virus de macro que
pueden venir en los archivos de Word. La
mejor proteccin ante estos casos, es que, si
usted recibe un archivo COM .EXE .DOC .HLP
y no sabe qu contiene o quien lo envi, no lo
abra a menos que tenga un antivirus actuali-
zado que examine primero el archivo.
Muchos de los hoax anuncian que Norton,
McAfee, Microsoft o alguna otra empresa ha
lanzado el aviso. Sin embargo, es poco pro-
bable que estas corporaciones hagan notifi-
caciones por correo. Ante la duda, refirase a
la pgina Web de dicha compaa antes que
enviar los correos. Otros de estos engaos
hacen declaraciones tcnicamente imposibles
como: destruir la tarjeta de audio, formatear el
teclado, borrar los disquetes que estn cerca
de la computadora, esconderse en la memo-
ria de la computadora o destruir el disco duro.
As que si recibe algn mensaje con estos te-
mas, por favor, lalo, rase, brrelo, y no los
enve... por lo menos, no a sus amigos.
X
Contacto Nuclear 37
 Qu son los antivirus?
Son programas creados para prevenir o evitar
la activacin de los virus, as como su propa-
gacin y contagio. Cuentan adems con ruti-
nas de deteccin, eliminacin y reconstruccin
de los archivos y las reas infectadas del siste-
ma.
Un antivirus tiene tres principales funciones y
componentes:
5 Vacuna: Es el componente del
antivirus que se activa y permanece
en la memoria, acta como filtro
de los archivos que son movidos para
ser ledos o copiados, esta funcin se
realiza en tiempo real.
5 Detector: Es el programa que exami-
na todos los archivos existentes en el
disco o en las partes de ste que se
les indique en una determinada ruta.
Tiene instrucciones de control y reco-
nocimiento exacto de los cdigos que
identifican a los virus registrados y
rpidamente desarman su estructu-
ra.
5 Eliminador: Es el programa que una
vez desactivada la estructura del vi-
rus procede a eliminarlo e inmedia-
tamente despus a reparar o recons-
truir los archivos y reas afectadas.
Es importante aclarar que todo antivirus es un
programa y que como todo programa, slo
funcionar correctamente si es adecuado y est
bien configurado. Cualquier antivirus es una
herramienta eficiente para el usuario en la
ayuda contra ataques de virus, aunque nin-
guno de ellos es efectivo al 100% ni es capaz
de proteger contra un virus en particular, de
forma definitiva, ya que la velocidad de apari-
3 8 Contacto Nuclear
cin de nuevos virus o variantes es muy acele-
rada.
La funcin de un programa antivirus es detec-
tar la presencia o el accionar de un virus
informtico en la computadora. Este es el as-
pecto ms importante, independientemente de
las prestaciones adicionales que pueda ofre-
cer, ya que detectar la posible presencia de un
virus informtico, detener su trabajo y tomar
las medidas necesarias es suficiente para ata-
car un buen porcentaje de los daos posibles.
Adicionalmente, un antivirus puede dar la op-
cin de erradicar un virus informtico de una
entidad infectada.
La funcin bsica de deteccin e identifica-
cin se realiza mediante tres tcnicas bsicas:
el escaneo de cdigos, el escaneo heurstico y
el monitoreo de actividad maliciosa.
Escaneo de cdigos
La primera tcnica que se populariz para la
deteccin de virus informticos y que se sigue
utilizando (aunque cada vez con menos fre-
cuencia), es la tcnica de escaneo. Consiste en
revisar el contenido binario de los archivos,
principalmente en los archivos ejecutables, en
busca de porciones de cdigo que puedan ser
un virus informtico. La deteccin se realiza a
partir de la comparacin acelerada entre el
contenido del archivo y una base de datos que
contiene porciones de cdigo representativos
de cada virus conocido. Resultaba eficiente
cuando la cantidad de virus era pequea y la
velocidad de aparicin y complejidad, permi-
ta a los desarrolladores de antivirus, analizar
el virus, extraer el pequeo trozo de cdigo
que lo iba a identificar y agregarlo a la base
de datos del programa para lanzar una ac-
tualizacin. Sin embargo, este mecanismo de
X
identificacin se ha hecho menos eficiente en
virtud de que la cantidad de virus crece da
con da a una velocidad impresionante y los
cdigos se vuelven ms complejos, por lo que
el modelo de reaccin representa una debili-
dad ya que se ofrecen soluciones con poste-
rioridad a la propagacin. La respuesta pue-
de demorar cierto tiempo, suficiente para oca-
sionar un dao en el sistema antes de que se
identifique. Finalmente, este modelo consiste
en una sucesin infinita de soluciones parcia-
les y momentneas, cuya sumatoria jams
constituir una solucin definitiva, ya que de-
ben actualizarse peridicamente debido a la
aparicin de nuevos virus. Una firma de se-
guridad que usa esta tcnica es MCAfee.
Escaneo heurstico
En virtud del agotamiento tcnico del escaneo
de cdigos, los desarrolladores de programas
de antivirus han dotado a sus creaciones de
otros mtodos para bsquedas de virus y de
la actividad que realizan, ya que no identifi-
can especficamente al virus sino a algunas
de sus caractersticas generales y comporta-
mientos generalizados. Este mtodo rastrea
rutinas de alteracin de informacin que no
puedan ser controladas por el usuario, modi-
ficacin de sectores crticos de las unidades
de almacenamiento: master boot record, boot
sector y FAT, entre otras. Un ejemplo de este
tipo de mtodos es el que utiliza algoritmos
heursticos. Mediante esta tcnica, se orienta
la bsqueda de manera muy eficiente en ar-
chivos, de instrucciones que puedan pertene-
cer a un virus informtico. Los antivirus basa-
dos en esta tcnica son altamente efectivos en
la deteccin de virus conocidos y apropiados
para la deteccin de nuevos virus. Un incon-
veniente de los algoritmos, radica en que la
sospecha de virus puede recaer en otras co-
sas que no son virus. Esto hace necesario que
el usuario que lo utiliza conozca un poco acer-
ca de la estructura del sistema operativo, a fin
de poseer herramientas que le faciliten una
discriminacin de cualquier falsa alarma ge-
nerada por un mtodo heurstico. Algunos de
los antivirus de esta clase son: F-Prot, Norton
Anti Virus y Dr. Solomons Toolkit.
Monitoreo de actividad maliciosa
La ltima tcnica para detectar la presencia
de un virus informtico consiste en monitorear
la actividad del sistema, alertando si algn
proceso intenta modificar los sectores crticos
de los dispositivos de almacenamiento o ar-
chivos ejecutables. Los programas que reali-
zan esta tarea se denominan verificadores de
integridad. Sobre la base de estas considera-
ciones podemos consignar que un buen siste-
ma antivirus debe estar compuesto por un pro-
grama detector de virus, que siempre est resi-
dente en memoria y un programa que verifi-
que la integridad de los sectores crticos del
disco duro y sus archivos ejecutables. Existen
productos antivirus que cubren los dos aspec-
tos, o bien pueden combinarse productos di-
ferentes configurados de forma que no se pro-
duzcan conflictos entre ellos.
Que es pop-up y pop-up killer?
Una de las plagas que ms irrita a los usua-
rios de Internet es la aparicin de ventanas
emergentes no solicitadas (pop-up windows)
cuando se navega por Internet. Su aparicin
es tal que la mayora de los habituados a
navegar por Internet han desarrollado unos
buenos reflejos para cerrar estas ventanas.
En general, las ventanas emergentes no de-
seadas se caracterizan por lo siguiente:
X
Contacto Nuclear 39
 a) Se abre una ventana sin que el usua-
rio lo solicite
b) Normalmente no contienen contro-
les de navegacin, su tamao es re-
ducido y su intencin es publicitaria.
En ocasiones son slo una molestia, basta con
cerrarlas y no aparecen ms mientras se na-
vega en un sitio. A veces son un poco ms
insidiosas y aparecen cada vez que cambia-
mos de pgina. En ocasiones se aterriza en
un sitio Web diseado con pocos escrpulos,
que abre ventana tras ventana. Algunos ca-
sos extremos son aquellas que se encadenan
con otras hasta llenar el escritorio de venta-
nas. Se agota la memoria de la PC, hacindo-
la tan lenta que resulta imposible navegar (sa-
turacin).
Tras descubrir que los anuncios publicitarios
incrustados en sus pginas Web no funciona-
ban tan bien como se haba previsto, muchas
empresas de Internet que necesitaban finan-
ciar las grandes inversiones que acarrea ofre-
cer un servicio gratuito, eligieron colocar pop-
ups en sus pginas de entrada. Para evitarlas,
existen multitud de programas que anulan la
aparicin de estas molestas ventanas, llama-
dos Mata Emergentes (Pop-up Killers), los
hay de uso libre y a la venta como producto
comercial.
Para detener las ventanas emergentes hay dos
estrategias bsicas a seguir:
a) No ejecutar el cdigo que las abre,
lo que significa evitar hacer clic en
botones o ligas que se desconoce
qu activan.
b) Reconocer la ventana emergente y
cerrarla sin hacer el intento por ver
ms all de las ligas que presenta.
4 0 Contacto Nuclear
Qu es un firewall?
Un firewall es una aplicacin que restringe las
conexiones a nivel de direccionamiento TCP/
IP que puede iniciar o recibir una computado-
ra conectada a una red. Hay varios tipos de
firewalls. Los ms comunes son los perimetrales
que hacen de compuerta entre una red local
de una organizacin e Internet. Dejan entrar y
salir slo el trfico que defina el administrador
de la red, escaneando el trfico en busca de
paquetes con las direcciones restringidas. Cuan-
do esto sucede, bloquean el paso en ambos
sentidos.
Al generalizarse el acceso domstico a Internet
han aparecido los firewalls personales. En ge-
neral, estn pensados para instalarse en una
PC domstica (o de un negocio pequeo) co-
nectada directamente a Internet. Son especial-
mente recomendables para conexiones con
direccin IP fija. A diferencia de uno corporati-
vo, comprueba qu programas son los que
acceden o reciben conexiones de Internet. El
control de las conexiones entrantes o salientes
es necesario para evitar que programas espas
o troyanos puedan enviar informacin a Internet
sin el consentimiento del usuario. El control de
las conexiones entrantes sirve para impedir que
los servicios de la PC sean visibles en Internet,
como el compartir archivos de Windows. Ade-
ms, suelen descartar todo el trfico no desea-
do, haciendo a la PC invisible a barridos
aleatorios de hackers. Tambin es habitual que
incorporen un modo de aprendizaje, en el que
preguntan al usuario cada vez que se inicia
una conexin no reconocida si debe permitir-
se o no.
Cabe sealar que el sistema operativo de
Microsoft, Windows XP, incorpora un firewall,
X
junto con la caracterstica de compartir la co-
nexin a Internet. Aunque se limita a bloquear
puertos, resulta efectivo para la mayora de
los usuarios. Un inconveniente de este com-
ponente de Windows XP es que la configura-
cin debe realizarse manualmente.
Conclusin
Los llamados virus informticos se reconocen
de tres tipos: Los virus en si, los troyanos y los
gusanos. Cada uno presenta caractersticas
particulares, no obstante, el dao que produ-
Glosario
BIOS. Acrnimo de Basic input - Output System.
Son rutinas esenciales que prueban y soportan
la transferencia de datos entre los diferentes com-
ponentes del hardware.
BOOT SECTOR. El sector de Boot es el primer
sector absoluto (Track 0, head 0, sector 1) de una
unidad de disco, ya sea diskette o disco duro en
una PC, y est compuesto por los primeros 512
bytes. En ellos se almacenan los archivos ocul-
tos (hidden files) del sistema de Inicio del Siste-
ma Operativo, tanto en el MS-DOS como en
Windows 95/98, Millenium, NT, 2000 XP.
FAT. Es el sistema de archivos ms simple que
admite Windows NT. El sistema de archivos FAT
se caracteriza por la tabla de asignacin de ar-
chivos (FAT, File Allocation Table), que es real-
mente una tabla que se halla al principio del
volumen. Para proteger el volumen, se conser-
van dos copias de la tabla FAT por si una se
daa. Adems, las tablas FAT y el directorio raz
deben estar almacenados en una ubicacin fija
para que se puedan encontrar correctamente los
archivos de inicio del sistema.
FLASH BIOS. En la actualidad se utiliza un tipo
de memoria no voltil flash (Flash BIOS) que
Referencias
www.fprot.com,
www.pandasoftware.com.
www.vsantivirus.com,
cen en las computadoras es similar. La mane-
ra de evitarlo es instalar un antivirus que per-
mita identificar, aislar el virus y reconstruir la
informacin daada. Los mas recomendables
son aquellos diseados con base en escaneo
heurstico y que cuenten con una aplicacin
de monitoreo en tiempo real. Las Ventanas
emergentes pueden ser evitadas si se incorpo-
ra un pop-up killer de los que existen para
uso libre. Finalmente, se recomienda amplia-
mente el uso de firewall personal en los equi-
pos, particularmente los que se usan en casa
y que tienen acceso a Internet.
puede ser regrabada sin utilizar ningn disposi-
tivo de borrado o grabacin especial, lo que per-
mite actualizarla muy cmodamente. Por lo ge-
neral, solo es necesario bajar de Internet la
versin adecuada (normalmente del sitio del fa-
bricante de la placa base) y seguir las instruccio-
nes que acompaan al programa.
HTML. Acrnimo de Hyper Text Mark-up Lan-
guage. Lenguaje de programacin para armar
pginas web.
IP. Acrnimo de Internet Protocol. Dentro de l
se dirige la separacin de los datos de los men-
sajes en paquetes para su transmisin, el
enrutamiento entre emisario y destinatario y el
ensamblaje de los paquetes en el mensaje ori-
ginal, al ser recibidos.
MASTER BOOT RECORD (MBR). Es un peque-
o programa que es ejecutado en cada Inicio
del sistema operativo.
OUT LOOK. Administrador de correo electrnico.
Forma parte de Windows.
TCP/IP: Acrnimo de Transfer Control Protocol /
Internet Protocol. Se le llama TCP/IP a la familia
de protocolos que nos permite estar conectados
a la red Internet
www.free-av.com,
www.download.zonelabs.com,
www.hacksoft.com,
www.antivirus-china.org.cn
Contacto Nuclear 41