miércoles, 7 de mayo de 2014
LOS VIRUS INFORMATICOS
son programas de ordenador
que se reproducen a sí mismos e interfieren con el hardware de
una computadora o
con su sistema
operativo (el software básico
que controla la computadora). Los virus están diseñados para reproducirse y
evitar su detección. Como cualquier otro programa informático, un virus debe
ser ejecutado para que funcione: es decir, el ordenador debe cargar el virus
desde la memoria del
ordenador y seguir sus instrucciones. Estas instrucciones se conocen como
carga activa del virus. La carga activa puede trastornar o modificar
archivos de datos,
presentar un determinado mensaje o provocar fallos en el sistema operativo.
Existen otros programas informáticos nocivos similares a los
virus, pero que no cumplen ambos requisitos de reproducirse y eludir su
detección. Estos programas se dividen en tres categorías: Caballos de
Troya, bombas lógicas
y gusanos. Un caballo de Troya aparenta ser algo interesante e inocuo,
por ejemplo un juego,
pero cuando se ejecuta puede tener efectos dañinos. Una bomba lógica libera
su carga activa cuando se cumple una condición determinada, como cuando se
alcanza una fecha u hora determinada o cuando se teclea una combinación de
letras. Un gusano se limita a reproducirse, pero puede ocupar memoria de
la computadora y hacer que sus procesos vayan
más lentos.
Algunas de las características de estos agentes víricos:
·
Son programas de computadora: En informática
programa es sinónimo de Software, es decir el conjunto de instrucciones que
ejecuta un ordenador o computadora.
·
Es dañino: Un virus informático siempre causa
daños en el sistema que infecta, pero vale aclarar que el hacer daño no
significa que valla a romper algo. El daño puede ser implícito cuando lo que se
busca es destruir o alterar información o pueden ser situaciones con efectos
negativos para la computadora,
como consumo de
memoria principal, tiempo deprocesador.
·
Es auto reproductor: La característica más importante de
este tipo de programas es la de crear copias de sí mismos, cosa que ningún otro
programa convencional hace. Imaginemos que si todos tuvieran esta capacidad
podríamos instalar un procesador de textos y un par de días más tarde
tendríamos tres de ellos o más.
·
Es subrepticio: Esto significa que utilizará varias técnicas para
evitar que el usuario se de cuenta de su presencia. La primera medida es tener
un tamaño reducido para poder disimularse
a primera vista. Puede llegar a manipular el resultado de una petición al
sistema operativo de mostrar el tamaño del archivo e
incluso todos sus atributos.
Las acciones de
los virus son diversas, y en su mayoría inofensivas, aunque algunas pueden
provocar efectos molestos y, en ciertos, casos un grave daño sobre la
información, incluyendo pérdidas de datos. Hay virus que ni siquiera están
diseñados para activarse, por lo que sólo ocupan espacio en disco, o en la
memoria. Sin embargo, es recomendable y posible evitarlos.
Generalidades sobre los virus de computadoras
La primer aclaración que cabe es que los virus de computadoras, son
simplemente programas, y como tales, hechos por programadores. Son programas
que debido a sus características particulares, son especiales. Para hacer un
virus de computadora, no se requiere capacitación especial,
ni una genialidad significativa, sino conocimientos de lenguajes deprogramación,
de algunos temas no difundidos para público en general y algunos conocimientos
puntuales sobre el ambiente de
programación y arquitectura de
las computadoras.
En la vida diaria, más allá de las especificaciones técnicas, cuando un
programa invade inadvertidamente el sistema, se replica sin conocimiento del
usuario y produce daños, pérdida de información o fallas del sistema. Para el
usuario se comportan como tales y funcionalmente lo son en realidad.
La clave de los virus radica justamente en que son programas. Un virus para
ser activado debe ser ejecutado y funcionar dentro del sistema al menos una
vez. Demás está decir que los virus no "surgen" de las computadoras
espontáneamente, sino que ingresan al sistema inadvertidamente para el usuario,
y al ser ejecutados, se activan y actúan con la computadora huésped.
LOS NUEVOS VIRUS E INTERNET
Hasta la aparición del programa Microsoft Outlook,
era imposible adquirir virus mediante el correo electrónico. Los e-mails no
podían de ninguna manera infectar una computadora. Solamente si se adjuntaba un
archivo susceptible de infección, se bajaba a la computadora, y se ejecutaba,
podía ingresar un archivo infectado a la máquina. Esto fue posible porque el gestor de correo Microsoft
Outlook 97 es capaz de ejecutar programas escritos en Visual Basicpara
Aplicaciones (antes conocido como Visual Languaje, propiedad de
Microsoft), algo que no sucedía en Windows 95. Esto fue negado por el gigante
del software y se intentó ridiculizar a Peterson de diversas maneras a través
de campañas de marketing,
pero como sucede a veces, la verdad no siempre tiene que ser probada. A los
pocos meses del anuncio, hizo su aparición un nuevo virus, llamado BubbleBoy,
que infectaba computadoras a través del e-mail, aprovechándose del agujero
anunciado por Peterson. Una nueva variedad de virus había nacido. Para ser infectado por el BubbleBoy, sólo es necesario que el usuario
reciba un mail infectado y tenga instalados Windows 98 y el programa gestor de
correo Microsoft Outlook. La innovación
tecnológica implementada por Microsoft y que permitiría mejoras
en la gestión del
correo, resultó una vez más en agujeros de seguridad que vulneraron las
computadoras de desprevenidos usuarios.
Las mejoras que provienen de los lenguajes de macros de la familia Microsoft
facilitan la presencia de "huecos" en los sistemas que permiten la
creación de técnicas y herramientas aptas para la violación nuestros sistemas.
La gran corriente de creación de virus de Word y Excel,
conocidos como Macro-Virus, nació como consecuencia de la introducción delLenguaje de
Macros WordBasic (y su actual sucesor Visual Basic para Aplicaciones), en
los paquetes de Microsoft Office.
Actualmente los Macrovirus representan el 80 % del total de los virus que
circulan por el mundo.
COMO SE PRODUCEN LAS INFECCIONES
Los virus informáticos se difunden cuando las instrucciones
o código ejecutable
que hacen funcionar los programas pasan de un ordenador a otro. Una vez que un
virus está activado, puede reproducirse copiándose en discos flexibles, en el
disco duro, en programas informáticos legítimos o a través de redes informáticas.
Estas infecciones son mucho más frecuentes en las computadoras que en sistemas
profesionales de grandes ordenadores, porque los programas de las computadoras
se intercambian fundamentalmente a través de discos flexibles o de redes
informáticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas
activas sólo cuando se ejecutan. Por eso, si un ordenador está simplemente
conectado a una red informática infectada o se limita a cargar un programa
infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta
conscientemente un código informático potencialmente nocivo; sin embargo, los
virus engañan frecuentemente al sistema operativo de la computadora o al
usuario informático para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas
legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el
programa legítimo. Cuando se ejecuta dicho programa, ocurre lo mismo con el
virus. Los virus también pueden residir en las partes del disco duro o flexible
que cargan y ejecutan el sistema operativo cuando se arranca el ordenador, por
lo que dichos virus se ejecutan automáticamente. En las redes informáticas,
algunos virus se ocultan en el software que permite al usuario conectarse al
sistema.
Cuando uno esta recibiendo correos electrónicos, debe ser selectivo en los
archivos que uno baja en nuestras computadoras. Es más seguro bajarlos
directamente a nuestra computadora para luego revisarlos con un antivirus antes
que ejecutarlos directamente de donde están. Un virus
informático puede estar oculto en cualquier sitio, cuando un
usuario ejecuta algún archivo con extensión .exe que es portador de un algún
virus todas las instrucciones son leídas por la computadora y procesadas por
ésta hasta que el virus es alojado en algún punto del disco duro o en la
memoria del sistema. Luego ésta va pasando de archivo en archivo infectando
todo a su alcance añadiéndole bytes adicionales a los demás archivos y
contaminándolos con el virus. Los archivos que son infectados mayormente por
los virus son tales cuyas extensiones son: .exe, .com, .bat, .sys, .pif, .dll y
.drv.
ESTRATEGIAS DE INFECCIÓN USADAS POR LOS VIRUS
Añadidura o empalme
El código del virus se agrega al final del archivo a infectar, modificando
las estructuras de
arranque del archivo de manera que el control del programa pase por el virus
antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas
específicas y luego entregue el control al programa. Esto genera un incremento
en el tamaño del archivo lo que permite su fácil detección.
Inserción
El código del virus se aloja en zonas de código no utilizadas o en
segmentos de datos para que el tamaño del archivo no varíe. Para esto se
requieren técnicas muy avanzadas de programación, por lo que no es muy
utilizado este método.
Reorientación
Es una variante del anterior. Se introduce el código principal del virus en
zonas físicas del disco rígido que se marcan como defectuosas y en los archivos
se implantan pequeños trozos de código que llaman al código principal al
ejecutarse el archivo. La principal ventaja es que al no importar el tamaño del
archivo el cuerpo del virus puede ser bastante importante y poseer mucha
funcionalidad. Su eliminación es bastante sencilla, ya que basta con reescribir
los sectores marcados como defectuosos.
Polimorfismo
Este es el método mas avanzado de contagio. La técnica consiste en insertar
el código del virus en un archivo ejecutable, pero para evitar el aumento de
tamaño del archivo infectado, el virus compacta parte de su código y del código
del archivo anfitrión, de manera que la suma de ambos sea igual al tamaño
original del archivo. Al ejecutarse el programa infectado, actúa primero el
código del virus descompactando en memoria las porciones necesarias. Una
variante de esta técnica permite usar métodos de encriptación dinámicos para
evitar ser detectados por los antivirus.
Sustitución
Es el método mas tosco. Consiste en sustituir el código original del archivo
por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el
virus, para disimular este proceder reporta algún tipo de error con el archivo
de forma que creamos que el problema es del archivo.
ESPECIES DE VIRUS
Existen seis categorías de virus: parásitos, del sector
de arranque inicial, multipartitos, acompañantes, de vínculo y de fichero de
datos. Los virus parásitos infectan ficheros ejecutables o programas de la
computadora. No modifican el contenido del programa huésped, pero se adhieren
al huésped de tal forma que el código del virus se ejecuta en
primer lugar. Estos virus pueden ser de acción directa
o residentes. Un virus de acción directa selecciona uno o más programas para
infectar cada vez que se ejecuta. Un virus residente se oculta en la memoria
del ordenador e infecta un programa determinado cuando se ejecuta dicho
programa. Los virus del sector de arranque inicial residen en la primera parte
del disco duro o flexible, conocida como sector de arranque inicial, y
sustituyen los programas que almacenan información sobre el contenido del disco
o los programas que arrancan el ordenador. Estos virus suelen difundirse
mediante el intercambio físico de discos flexibles. Los virus multipartitos
combinan las capacidades de los virus parásitos y de sector de arranque
inicial, y pueden infectar tanto ficheros como sectores de arranque inicial.
Los virus acompañantes no modifican los ficheros, sino que crean
un nuevo programa con el mismo nombre que un programa legítimo y engañan al
sistema operativo para que lo ejecute. Los virus de vínculo modifican la forma
en que el sistema operativo encuentra los programas, y lo engañan para que
ejecute primero el virus y luego el programa deseado. Un virus de vínculo puede
infectar todo un directorio (sección) de una computadora, y cualquier programa
ejecutable al que se acceda en dicho directorio desencadena el virus. Otros
virus infectan programas que contienen lenguajes de macros potentes (lenguajes
de programación que permiten al usuario crear nuevas características y
herramientas) que pueden abrir, manipular y cerrar ficheros de datos. Estos virus,
llamados virus de ficheros de datos, están escritos en lenguajes de macros y se
ejecutan automáticamente cuando se abre el programa legítimo. Son
independientes de la máquina y del sistema operativo.
Los virus se pueden clasificar de dos formas: Por su destino de
infección y pos sus acciones o modo de activación.
VIRUS POR SU DESTINO DE INFECCIÓN
Infectores de archivos ejecutables:
Estos también residen en la memoria de la computadora e infectan archivos
ejecutables de extensiones .exe, .com, .bat, .sys, .pif, .dll, .drv, .bin,
.ovl. A su vez, comparten con los virus de área de boot el estar en vías de
extinción desde la llegada de sistemas operativos que reemplazan al viejo DOS.
Los virus de infección de archivos se replican en la memoria toda vez que un
archivo infectado es ejecutado, infectando otros ejecutables.
Pueden permanecer residentes en memoria durante mucho tiempo después de
haber sido activados, en ese caso se dice que son virus residentes, o pueden
ser virus de acción directa, que evitan quedar residentes en memoria y se
replican o actúan contra el sistema sólo al ser ejecutado el programa
infectado. Se dice que estos virus son virus de sobre escritura,
ya que corrompen al fichero donde se ubican.
INFECTORES RESIDENTES EN MEMORIA
El programa infectado no necesita estar ejecutándose, el virus se aloja en
la memoria y permanece residente infectando cada nuevo programa ejecutado y
ejecutando su rutina de destrucción.
Virus multipartitos (Multi-partite):
Una suma de los virus de área de boot y de los virus de infección de
archivos, infectan archivos ejecutables y el área de booteo de discos.
Infectores directos:
El programa infectado tiene que estar ejecutándose para que el virus pueda
funcionar (seguir infectando y ejecutar sus acciones destructivas).
INFECTORES DEL SECTOR DE ARRANQUE
los discos rígidos contienen un Sector de
Arranque, el cual contiene información específica relativa al formato del disco
y los datos almacenados en él. Además, contiene un pequeño programa llamado
Boot Program que se ejecuta al bootear desde ese disco y que se encarga de
buscar y ejecutar en el disco los archivos del sistema operativo. Este programa
es el que muestra el
famoso mensaje de "Non-system Disk" o "Disk Error" en caso
de no encontrar los archivos del sistema operativo. Este es el programa
afectado por los virus de sector de arranque. La computadora se infecta con un
virus de sector de arranque al intentar bootear desde un disquete infectado. En
este momento el virus se ejecuta e infecta el sector de arranque del disco
rígido, infectando luego cada disquete utilizado en la computadora. A pesar del riesgo que
parecen esconder estos virus, son de una clase que
está tendiendo a desaparecer, sobre todo desde la explosión de Internet, las
redes y los sistemas operativos posteriores al DOS. Algunos virus de boot
sector no infectan el sector de arranque del disco duro (conocido como MBR).
Usualmente infectan sólo disquetes como se menciona anteriormente, pero pueden
afectar también al Disco Rígido, CD, unidades ZIP, etc. Para erradicarlos, es
necesario inicializar la Computadora desde un disquete sin infectar y proceder
a removerlo con un antivirus, y en caso necesario reemplazar el sector
infectado con el sector de arranque original.
MACROVIRUS
Son los virus más populares de la actualidad. No se transmiten a través de
archivos ejecutables, sino a través de los documentos de
las aplicaciones que poseen algún tipo de lenguaje de macros. Por ende, son
específicos de cada aplicación, y no pueden afectar archivos de otro programa o
archivos ejecutables. Entre ellas encontramos todas las pertenecientes al paquete
Office (Microsoft Word, Microsoft Excel, Microsoft PowerPoint,
Microsoft Access)
y también el Corel Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el virus toma
el control y se copia a la plantilla base de nuevos documentos (llamada en el
Word normal.dot), de forma que sean infectados todos los archivos que se abran
o creen en el futuro.
Los lenguajes de macros como el Visual Basic For Applications son muy
poderosos y poseen capacidades como para cambiar la configuración del sistema
operativo, borrar archivos, enviar e-mails, etc. Estos virus pueden llevar a
cabo, como en el caso de los otros tipos, una gran variedad de acciones, con
diversos efectos.
El ciclo completo de infección de un Macro-Virus sería así:
1. Se abre el archivo
infectado, con lo cual se activa en memoria.
2. Infecta sin que el
usuario se dé cuenta al normal.dot, con eso se asegura que el usuario sea un
reproductor del virus sin sospecharlo.
3. Si está programado para
eso, busca dentro de la Computadora los archivos de Word, Excel, etc., que
puedan ser infectados y los infecta.
4. Si está programado,
verifica un evento de activación, que puede ser una fecha, y genera el problema
dentro de la computadora (borrar archivos, destruir información, etc.)